Postagem de teste - ignore isso

(1)

Postagem de teste - ignore isso

Introduction

Este documento descreve como usar um proxy reverso para acessar o desktop do Cisco Finesse sem se conectar a uma VPN (Virtual Private Network).

Prerequisites

Requirements

(2)

Versão do Cisco Unified Contact Center Enterprise ● Cisco Finesse ● administração Linux ●

Administração de rede e administração de rede Linux

●

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware: Finesse - 12,6 ES01 ● CUIC - 12,6 ES01 ● IdS - 12.6 ES01 ●

UCCE/HCS para CC - 11.6 ou superior

●

PCCE - 12.0 ou superior

●

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Note: 12.6 ES01 suporta a conectividade do agente para VPN com menos acesso ao Finesse Desktop. Os supervisores devem se conectar à VPN para acessar o desktop. A configuração fornecida neste documento foi configurada, reforçada e testada com o proxy reverso Nginx implantado no CentOS 8.0, em uma amostra de implantação do UCCE de 2k. Os números de desempenho e escala estão disponíveis no guia de recursos.

Informações de Apoio

Esse modelo de implantação é compatível com as soluções Unified Contact Center Enterprise (UCCE)/Packaged Contact Center Enterprise (PCCE) e Hosted Collaboration Solution (HCS) para Contact Center Enterprise (CCE).

A implantação de um proxy reverso agora é suportada como uma opção para acessar o desktop do Cisco Finesse sem se conectar a uma VPN (Virtual Private Network). Este recurso oferece a flexibilidade para que os agentes acessem o desktop Finesse de qualquer lugar através da Internet.

Para habilitar esse recurso, um par de proxy reverso deve ser implantado na Zona Desmilitarizada (DMZ).

O acesso à mídia permanece inalterado em implantações de proxy reverso. Para se conectar à mídia, os agentes podem usar o Cisco Jabber sobre MRA ou o recurso de agente móvel do Contact Center Enterprise com um PSTN ou endpoint móvel. O diagrama aqui mostra como a implantação da rede será quando você acessar 2 clusters Finesse e 2 nós do Cisco Unified Intelligence Center (CUIC) por meio de um único par HA de nós de proxy reverso.

O acesso simultâneo de agentes na Internet e agentes que se conectam da LAN é suportado como mostrado na imagem.

(3)

Implantação de proxy reverso

Note: Qualquer proxy reverso que suporte os critérios exigidos (descritos no guia de recursos vinculado aqui) pode ser usado no lugar do Nginx para dar suporte a essa implantação.

Guia de recursos do UCCE 12.6 - Fornece visão geral e design de recursos, bem como detalhes de configuração para o recurso VPN menor.

UCCE 12.6 Security Guide - Fornece diretrizes de configuração de segurança para a implantação de proxy reverso.

Note: É recomendável rever o guia de recursos e o guia de segurança vinculados

anteriormente para obter uma visão geral do recurso VPN-less antes de ler este documento.

Configurar

Este documento descreve a configuração do Nginx como o proxy reverso a ser usado para ativar o Finesse VPN menos acesso. O componente da solução do Contact Center Enterprise, as versões de proxy e SO usadas para verificar as instruções fornecidas estão listadas abaixo. As instruções relevantes devem ser adaptadas ao SO/proxy de sua escolha.

Versão Nginx usada - compilação Nginx 1.20 de código aberto com módulos OpenResty Lua

●

SO usado para configuração - CentOS 8.0

●

Note: A configuração do Nginx descrita foi anexada a este artigo e pode ser encontrada abaixo nesta página.

(4)

Note: Os próximos problemas específicos não são suportados pelo Cisco TAC e podem ser discutidos no Fórum da Comunidade DevNet Cisco.

Instalar o Nginx como um proxy reverso em DMZ

Esta seção detalha as etapas de instalação do proxy do Nginx. O proxy reverso é normalmente configurado como um dispositivo dedicado na rede DMZ, como mostrado no diagrama de implantação mencionado anteriormente.

Instale o SO de sua escolha com a especificação de hardware necessária. Observe que os ajustes dos parâmetros kernel e ipv4 podem variar dependendo do SO selecionado e os usuários devem verificar novamente esses aspectos se a versão do SO escolhida for diferente.

1.

Configure duas interfaces de rede. Será necessária uma interface para o acesso público dos clientes da Internet e outra para a comunicação com os servidores na rede interna.

2.

Instalar o NGINX - https://docs.nginx.com/nginx/admin-guide/installing-nginx/. Observe que: O Nginx deve ser executado com uma conta de serviço não privilegiada dedicada, que deve estar bloqueada e ter uma shell inválida (ou, conforme aplicável, para o SO escolhido). Quaisquer sabores do Nginx podem ser usados para esse fim, desde que sejam baseados no Nginx 1.19+ e tenham suporte para a Lua:

Nginx PlusNginx Public com OpenResty Lua (Instruções fornecidas abaixo)OpenRestyExtras GetPageSpeed

3.

Open Source Nginx Build com Lua

Essas instruções podem ser usadas para criar e instalar o Nginx a partir da fonte do sabor Linux que está sendo direcionado. A construção do Nginx deve evitar a adição de módulos extras que não são conhecidos como necessários para melhorar a postura de segurança.

Compilação Nginx com integração Lua

1. Siga as instruções da página de criação do Nginx Open Source para baixar a fonte do Nginx e compilá-la.

2. Crie um diretório chamado /root/lua e altere seu diretório atual para o mesmo. 3. Faça o download destes recursos dentro deste diretório:

luajit2-2.1-agentzh.zip (https://github.com/openresty/luajit2) ● lua-resty-core-master.zip (https://github.com/openresty/lua-resty-core) ● lua-resty-http-master.zip (https://github.com/ledgetech/lua-resty-http) ● lua-nginx-module-0.10.19.tar (https://github.com/openresty/lua-nginx-module/releases) ● ngx_devel_kit-0.3.1.tar ( https://github.com/vision5/ngx_devel_kit/releases) ●

Descompacte todos os arquivos tar.gz recém-baixados usando tar -xvf <tar file name>.

(5)

Descompacte (unzip) todos os arquivos zipados recém-baixados usando unzip <zip file name>.

●

Diretórios extraídos

4. Navegue até /root/lua/luajit2-2.1-agentzh diretory e execute: fazer

fazer instalação

●

Instale o openreIndustry conforme descrito aqui. https://openresty.org/en/linux-packages.html#rhel

(consulte a seção Nota da seção Instalação do OpenResty para Nginx)

Observe que, ao executar as etapas de instalação,Para resolver o problema de conexão para baixar arquivos, você pode fazer o seguinte:

Adicione o proxy da Internet em /etc/yum.conf por exemplo, proxy=http://70.16.21.42:8080. ●

Adicione seu IP de proxy de Internet com porta em /etc/wgetrc.

●

use_proxy=yes

http_proxy=70.16.21.42:8080 https_proxy=70.16.21.42:8080

5. Navegue até o diretório de onde Nginx está sendo cumprido (por exemplo,/root/nginx-1.20.1/). 6. Defina as variáveis de shell LUAJIT_INC & LUAJIT_LIB no console.

export LUAJIT_INC=/usr/local/include/luajit-2.1 export LUAJIT_LIB=/usr/local/lib

7. Módulos como http_dav_module,http_gzip_module, http_gzip_static_module,

http_index_module, http_ssi_module não devem ser instalados, a menos que seja necessário por razões específicas. Durante a instalação do pacote Nginx, configure a compilação com o

comando abaixo para ignorar os módulos indesejados.

8. Configure o nginx adicionando module=/root/lua/ngx_devel_kit-0.3.1 —add-module=/root/lua/lua-nginx-module-0.10.19 e, finalmente, execute e faça a instalação para compilação e reinstalação do nginx.

(6)

error-log-path=/var/log/nginx/error.log http-log-path=/var/log/nginx/access.log with-pcre pid-path=/var/run/nginx.pid with-compat with-file-aio with-threads with-http_addition_module with-http_auth_request_module without-http_gzip_module with-http_realip_module with-http_secure_link_module with-http_slice_module with-http_ssl_module with-http_stub_status_module with-http_sub_module

http_v2_module stream stream_realip_module stream_ssl_module --with-stream_ssl_

preread_module --add-module=/root/lua/ngx_devel_kit-0.3.1 --add-module=/root/lua/lua-nginx-module-0.10.19

#compile make #install make install

9. Navegue até /root/lua/lua-resty-core-master e execute: fazer

●

fazer instalação

●

10. Navegue até /root/lua/lua-resty-http-master e execute: fazer

●

fazer instalação

●

11. Copiar /usr/local/openresty/lualib/resty para /usr/local/share/luajit-2.1.0-beta3/resty.

12. Defina export LD_LIBRARY_PATH=/usr/local/lib:$LD_LIBRARY_PATH no arquivo ~/.bashrc. 13. Execute source ~/.bashrc do console e inicie o processo Nginx.

Configurar Nginx

Extraia o arquivo tar/zip fornecido que contém a configuração de proxy reverso para o NGINX.

1.

Localize a string "must-change" nos arquivos nas pastas extraídas nomeadas html, conf.d e substituir os valores indicados por entradas adequadas.

2.

Certifique-se de que todas as substituições obrigatórias estejam feitas, que estão descritas com os comentários de alteração obrigatória nos arquivos de configuração.

3.

Copie nginx.conf, nginx/conf.d/ e nginx/html/ do diretório de configuração de proxy reverso extraído para diretory>, diretory>/conf.d/ e <nginx-install-diretory>/html/ respectivamente.

4.

Altere a propriedade da pasta <nginx-install-diretory> para raiz (ou conforme aplicável para o SO escolhido) recursivamente.

5.

Defina a permissão para que o <nginx-install-diretory> seja 644(rw-r-r-) recursivamente. 6.

Configure a rotação do registro nginx copiando o arquivo nginx/logrotate/saproxy para /etc/logrotate.d/ pasta. Modifique o conteúdo do arquivo para apontar para os diretórios de log corretos se os padrões nginx não forem usados.

(7)

Atualize os caminhos do cache de proxy, por padrão, os caminhos do cache de proxy são armazenados no sistema de arquivos. Recomendamos alterá-los para na memória criando a localização do cache em tmpfs.

a. Criar diretórios para caminhos de cache de proxy diferentes em /home

b. É necessário criar um exemplo a seguir para primaryFinesse. As mesmas etapas devem ser seguidas para servidores secundáriosFinesse e CUIC.

c. Monte os novos pontos de montagem com o uso do comando mount -av.

d. Confirme se o sistema de arquivos montado montou os novos pontos de montagem inserindo o comando df -h.

e. Agora, altere os locais de proxy_cache_path em arquivos de configuração de cache finesse e CUIC.

f. Observe que ao usar caches tmpfs, cada cluster do Finesse exigirá 2 GB extra de memória para ser adicionado à base 6 GB de memória exigida pelo proxy

Por exemplo, para alterar os caminhos do finesse primary, navegue para <nginx-install-diretory>/conf.d/finesse/caches e altere a localização do cache existente

/etc/nginx/cache/finesse25/ para a localização do sistema de arquivos recém-criado /home/primaryFinesse. mkdir -p /home/primaryFinesse/rest mkdir -p /home/primaryFinesse/desktop mkdir -p /home/primaryFinesse/shindig mkdir -p /home/primaryFinesse/notification_service echo "tmpfs /home/primaryFinesse/rest tmpfs size=1510M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >> /etc/fstab echo "tmpfs /home/primaryFinesse/desktop tmpfs size=20M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >> /etc/fstab echo "tmpfs /home/primaryFinesse/shindig tmpfs size=500M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >> /etc/fstab echo "tmpfs /home/primaryFinesse/notification_service tmpfs size=10M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >> /etc/fstab Follow the same steps for Finesse secondary and CUIC servers.

##Must-change /etc/nginx/cache/ location would change depending on folder extraction ## Nginx config file to cache the desktop/shindig and notification service related static files.

proxy_cache_path /home/primaryFinesse/desktop levels=1:2

keys_zone=desktop_cache_primary:10m max_size=15m inactive=3y use_temp_path=off; proxy_cache_path /home/primaryFinesse/shindig levels=1:2

keys_zone=shindig_cache_primary:10m max_size=500m inactive=3y use_temp_path=off; proxy_cache_path /home/primaryFinesse/notification_service levels=1:2

keys_zone=openfire_cache_primary:10m max_size=10m inactive=3y use_temp_path=off; proxy_cache_path /home/primaryFinesse/rest levels=1:2 keys_zone=rest_cache:10m max_size=1500m inactive=40m use_temp_path=off;

8.

Gerar certificados Nginx para conteúdo de pasta SSL. Observe que, antes de gerar

certificados, você precisa criar uma pasta chamada ssl em /etc/nginx. Como você usará dois 9.

(8)

nomes de host (mesmo servidor proxy) para acessar o Finesse node1 e o Finesse node2, será necessário gerar dois certificados com a ajuda desses comandos (um para

<reverseproxy_primary_fqdn> e outro para <reverseproxy_secondary_fqdn>) a. sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout

/etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt (passe o nome do host como : <reverseproxy_primary_fqdn>)

b. sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout

/etc/nginx/ssl/nginxnode2.key -out /etc/nginx/ssl/nginxnode2.crt (passe o nome do host como :<reverseproxy_secondary_fqdn>)

c. Certifique-se de que o caminho do certificado seja etc/nginx/ssl/nginx.crt e

/etc/nginx/ssl/nginxnode2.crt, uma vez que estes já estão configurados em arquivos de configuração finesse NGINX.

Alterar a permissão da chave privada 400 (r—). 10.

Configurar o firewall/iptables no proxy reverso para ativar a comunicação do firewall, correspondendo às portas nas quais o servidor Nginx foi configurado para ouvir. 11.

Adicione IP e nome de host do Finesse, IdS, CUIC sob /etc/entrada de hosts no servidor proxy reverso.

12.

Consulte o guia de recursos da solução para as configurações a serem executadas nos servidores de componentes para configurar o host Nginx como um proxy reverso. 13.

Nginx Conf

O arquivo de conf Nginx padrão (/etc/nginx/nginx.conf) deve ser modificado para conter essas entradas para reforçar a segurança e fornecer desempenho

Este conteúdo deve ser usado para modificar o arquivo conf padrão criado pela instalação do Nginx.

# Increasing number of worker processes will not increase the processing the request. The number of worker process will be same as number of cores

# in system CPU. Nginx provides "auto" option to automate this, which will spawn one worker for each CPU core.

worker_processes auto; # Process id file location pid /var/run/nginx.pid;

# Binds each worker process to a separate CPU worker_cpu_affinity auto;

#Defines the scheduling priority for worker processes. This should be calculated by "nice" command. In our proxy set up the value is 0

worker_priority 0;

#Nginx error log location

error_log /var/log/nginx/error.log info;

# current limit on the maximum number of open files by worker processes, keeping 10 times of worker_connections

worker_rlimit_nofile 102400; events {

#Worker process to accept all new connections at a time. multi_accept on;

(9)

# Sets the maximum number of simultaneous connections that can be opened by a worker process. # This should not be more the current limit on the maximum number of open files i.e. hard limit of the maximum number of open files for the user (ulimit -Hn)

# The appropriate setting depends on the size of the server and the nature of the traffic, and can be discovered through testing.

worker_connections 10240; } http { include mime.types; default_type application/octet-stream; include conf.d/*.conf;

#Unblock disk I/O and improve async data load sendfile on;

#This is used with sendfile directive.

#sending the response header and the beginning of a file in one packet, on Linux and FreeBSD 4.*;

#sending a file in full packets. tcp_nopush on;

#To process static sets of data such as server names, map directive’s values, MIME types, names of request header strings, nginx uses hash tables.

#This parameter sets the bucket size for the hash tables. The default value depends on the size of the processor’s cache line.

#lscpu command can be helpful to identify the cache size server_names_hash_bucket_size 512;

}

Configurar porta de proxy reverso

Por padrão, a configuração do Nginx ouve na porta 8445 para solicitações finesse. De cada vez, somente uma porta pode ser ativada de um proxy reverso para suportar solicitações finesse, como 8445. Se a porta 443 precisar de suporte, marque a <NGINX_HOME>/conf.d/finesse.conf para habilitar a escuta no 443 e desabilitar a escuta no 8445.

Limpando cache

O cache de proxy reverso pode ser limpo executando o comando <NGINX_HOME>/clearCache.sh.

Diretrizes padrão

Esta seção descreve brevemente as diretrizes padrão que precisam ser seguidas ao configurar o Nginx como um servidor proxy.

As diretrizes a seguir são obtidas em https://www.cisecurity.org/benchmark/nginx/ Para obter mais detalhes sobre cada diretriz, consulte a mesma.

(10)

É sempre recomendável usar a versão mais recente do NGINX estável e a versão OpenSSL.

1.

Recomenda-se instalar o NGINX em uma montagem de disco separada.

2.

A id do processo NGINX deve ser de propriedade do usuário raiz (ou, conforme aplicável, do SO escolhido) e deve ter a permissão 644 (rw—) ou mais estrita.

3.

O NGINX deve bloquear a solicitação de hosts desconhecidos. Certifique-se de que cada bloco de servidor contenha a diretiva server_name explicitamente definida. Para verificar, pesquise todos os blocos de servidor nos diretórios nginx.conf e nginx/conf.d e verifique se todos os blocos de servidor contêm o server_name

4.

O NGINX deve estar ouvindo apenas nas portas autorizadas. Pesquise todos os blocos de servidores nos diretórios nginx.conf e nginx/conf.d e verifique se há diretivas de escuta para verificar se apenas as portas autorizadas estão abertas para escuta.

5.

É obrigatório ocultar o nome do Nginx e as informações da versão para atenuar possíveis invasores. Remova todas as linhas que fazem referência ao NGINX em páginas de erro padrão e index.html para evitar revelar o servidor como NGINX.

6.

Como o Cisco Finesse não suporta HTTP, é recomendável bloquear também a porta HTTP do servidor proxy.

7.

O protocolo SSL NGINX deve ser TLS 1.2. O suporte para protocolos SSL legados deve ser removido. Também deve desativar cifras SSL fracas.

8.

Recomenda-se que os registros de acesso e erro do NGINX sejam enviados para o Servidor syslog remoto.

9.

Aconselha-se instalar o módulo mod_security que funciona como um firewall de aplicação

Web. Siga omanual ModSecurity para obter mais informações. Observe que a carga do

NGINX não foi verificada no módulo mod_security no lugar. 10.

Configurar arquivo de mapeamento

A implantação de proxy reverso do desktop Finesse requer um arquivo de mapeamento para configurar a lista de combinações de nome de host/porta visíveis externamente e seu

mapeamento para os nomes de servidor e portas reais que são usados pelos servidores Finesse, IdS e CUIC. Esse arquivo de mapeamento configurado em servidores internos é a configuração principal que permite que os clientes conectados pela Internet sejam redirecionados para os hosts e portas necessários que são usados na Internet.

O arquivo de mapeamento precisa ser implantado em um servidor Web acessível aos servidores de componentes e seu URI precisa ser configurado para que a implantação funcione.

Recomenda-se que o arquivo de mapeamento seja configurado usando um servidor Web dedicado disponível na rede. Se esse servidor não estiver disponível, o proxy reverso pode ser usado, o que exigirá que o proxy seja acessível de dentro da rede e também apresenta um risco de expor as informações a clientes externos que podem fazer um acesso não autorizado à DMZ. A seção a seguir detalha como isso pode ser realizado.

Consulte o guia de recursos para obter as etapas exatas para configurar a URI do arquivo de mapeamento em todos os servidores de componentes e para obter mais detalhes sobre como criar os dados do arquivo de mapeamento.

(11)

Essas etapas são necessárias somente se o proxy reverso também for usado como host do arquivo de mapeamento de proxy.

Configure o nome de host de proxy reverso no controlador de domínio usado pelos hosts Finesse/CUIC e IdS para que seu IP possa ser resolvido.

1.

Carregue os certificados assinados NGINX gerados nos dois nós em tomcat-trust da cmplatform e reinicie o servidor.

2.

Atualize os valores Obrigatórios em <NGINX_HOME>/html/proxymap.txt. 3.

Recarregue as configurações do Nginx com nginx -s reload. 4.

Confirme se o arquivo de configuração está acessível de outro host de rede com o uso do comando curl.

5.

Endurecimento do kernel CentOS 8

Se o sistema operacional escolhido for CentOS 8, é recomendável que o endurecimento/ajuste do kernel seja feito com o uso dessas configurações sysctl, para instalações que usam um servidor dedicado para hospedar o proxy.

## Configurations for kernel hardening - CentOS8. The file path is /etc/sysctl.conf ## Note that the commented configurations denote that CentOS 8's default value matches ## the recommended/tested value, and are not security related configurations.

# Avoid a smurf attack

net.ipv4.icmp_echo_ignore_broadcasts = 1

# Turn on protection for bad icmp error messages net.ipv4.icmp_ignore_bogus_error_responses = 1 # Turn on syncookies for SYN flood attack protection net.ipv4.tcp_syncookies = 1

# Turn on and log spoofed, source routed, and redirect packets net.ipv4.conf.all.log_martians = 1

net.ipv4.conf.default.log_martians = 1 # Turn off routing

net.ipv4.ip_forward = 0

net.ipv4.conf.all.forwarding = 0 net.ipv6.conf.all.forwarding = 0 net.ipv4.conf.all.mc_forwarding = 0 net.ipv6.conf.all.mc_forwarding = 0 # Block routed packets

net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0

# Block ICMP redirects

net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0

(12)

net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0

# Filter routing packets with inward-outward path mismatch(reverse path filtering) net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

# Router solicitations & advertisements related. net.ipv6.conf.default.router_solicitations = 0 net.ipv6.conf.default.accept_ra_rtr_pref = 0 net.ipv6.conf.default.accept_ra_pinfo = 0 net.ipv6.conf.default.accept_ra_defrtr = 0 net.ipv6.conf.default.autoconf = 0 net.ipv6.conf.default.dad_transmits = 0 net.ipv6.conf.default.max_addresses = 1 net.ipv6.conf.all.accept_ra = 0 net.ipv6.conf.default.accept_ra = 0

# Backlog - increased from default 1000 to 5000. net.core.netdev_max_backlog = 5000

# Setting syn/syn-ack retries to zero, so that they don't stay in the queue. net.ipv4.tcp_syn_retries = 0

net.ipv4.tcp_synack_retries = 0

# Max tcp listen backlog. Setting it to 511 to match nginx config net.core.somaxconn = 511

# Reduce the duration of connections held in TIME_WAIT(seconds) net.ipv4.tcp_fin_timeout = 6

# Maximum resources allotted # fs.file-max = 2019273 # kernel.pid_max = 4194304

# net.ipv4.ip_local_port_range = 32768 60999 # TCP window size tuning

# net.ipv4.tcp_window_scaling = 1 # net.core.rmem_default = 212992 # net.core.rmem_max = 212992 # net.ipv4.tcp_rmem = 4096 87380 6291456 # net.ipv4.udp_rmem_min = 4096 # net.core.wmem_default = 212992 # net.core.wmem_max = 212992 # net.ipv4.tcp_wmem = 4096 16384 4194304 # net.ipv4.udp_wmem_min = 4096 # vm.lowmem_reserve_ratio = 256 256 32 0 0 # net.ipv4.tcp_mem = 236373 315167 472746 # Randomize virtual address space

kernel.randomize_va_space = 2 # Congestion control # net.core.default_qdisc = fq_codel # net.ipv4.tcp_congestion_control = cubic # Disable SysReq kernel.sysrq = 0

(13)

# Controls the maximum size of a message, in bytes kernel.msgmnb = 65536

# Controls the default maximum size of a message queue kernel.msgmax = 65536

# Controls the eagerness of the kernel to swap. vm.swappiness = 1

Uma reinicialização é recomendada após você fazer as alterações recomendadas.

Restringir conexões do cliente

As instalações que conhecem o intervalo de endereços para clientes que usam o proxy são recomendadas para usar esse conhecimento para proteger as regras de acesso de proxy. Isso pode proporcionar enormes retorno financeiro quando se trata de proteger o proxy de botnets de redes mal-intencionadas que são frequentemente criadas em uma faixa de endereços IP de países que têm regras mais laxistas e funcionam com segurança on-line. Portanto, é altamente recomendável restringir os intervalos de endereços IP aos intervalos IP baseados em país/estado ou provedor de ISP se você tiver certeza dos padrões de acesso.

Bloquear conexões do cliente

Também é útil saber como bloquear um intervalo específico de endereços quando um ataque é identificado para ser feito de um endereço IP ou de um intervalo de endereços IP. Nesses casos, as solicitações desses endereços IP podem ser bloqueadas usando regras iptable.

Bloquear endereços IP distintos

Bloqueie vários endereços IP distintos adicionando uma linha ao arquivo de configuração IPTables para cada endereço IP.

Por exemplo, para bloquear os endereços 74.125.229.164 e 74.125.229.174, digite:

iptables -A INPUT -s 74.125.229.164 -j DROP iptables -A INPUT -s 74.125.229.174 - j DROP.

Bloquear um intervalo de endereços IP

Bloqueie vários endereços IP em um intervalo e adicione uma única linha ao arquivo de configuração IPTables com o intervalo IP.

Por exemplo, para bloquear endereços de 74.125.229.164 a 74.125.229.174, digite: iptables -A INPUT -m iprange —src-range 74.125.229.164-74.125.229.174 -j DROP.

Bloquear todos os endereços IP em uma sub-rede

Bloqueie todos os endereços IP em uma sub-rede inteira adicionando uma única linha ao arquivo de configuração IPTables com o uso da notação de roteamento entre domínios classless para o

(14)

intervalo de endereços IP. Por exemplo, para bloquear todos os endereços de classe C, digite: iptables -A INPUT -s 192.168.0.0/16 -j DROP.

Verificar a configuração sem VPN

Use esta seção para confirmar se a sua configuração funciona corretamente.

Finesse

1. Solicite https://<reverseproxy:port>/finesse/api/SystemInfo. da DMZ e verifique se eles estão acessíveis.

2. Verifique se os valores de <host> em <primaryNode> e <secondaryNode> são nomes de host de proxy reverso válidos. Não devem ser nomes de host finos.

CUIC e dados ao vivo

1. Se nomes de host finesse forem vistos na resposta em vez de nomes de host de proxy reverso, valide as configurações de mapeamento de proxy e os hosts permitidos serão adicionados

corretamente nos servidores Finesse conforme descrito no

seção "Popular dados de tradução de rede" de "Acesso VPN-Menos ao Finesse Desktop" no Guia de recursos do UCCE 12.6.

2. Se os gadgets LiveData forem carregados corretamente no Finesse Desktop, as configurações de proxy CUIC e LiveData serão adequadas.

3. Para validar a configuração do CUIC e LiveData, faça solicitações HTTP a esses URLs do DMZ e veja se eles podem ser acessados.

https://<reverseproxy:cuic_port>/cuic/rest/about ● https://<reversseproxy:ldweb_port>/livedata/segurança ● https://<reverseproxy:ldsocketio_port>/security ●

IdS

Para validar a configuração de IdS, execute as seguintes etapas:

Faça login na interface IdSAdmin @ https://<ids_LAN_host:ids_port>:8553/idsadmin da LAN como a interface admin não é exposta por proxy reverso.

1.

Vá para Configurações → Confiança em IdS 2.

Validar o nó do editor de cluster de proxy está listado na página de metadados Download SP e clique em Avançar

3.

Validar o proxy do IDP é exibido corretamente se configurado na página Carregar metadados do IDP e clicar em Avançar

(15)

Inicie o SSO de teste por meio de todos os nós de cluster de proxy na página Testar SSO e valide se todos foram bem-sucedidos. Isso exige conectividade de máquina cliente para reverter nós de proxy.

5.

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Postagem de teste - ignore isso