Configurar o Nginx Reverse Proxy para VPN com menos acesso ao Cisco Finesse

Configurar o Nginx Reverse Proxy para VPN com menos acesso ao Cisco Finesse

Contents

Introduction Prerequisites Requirements

Componentes Utilizados Informações de Apoio Configurar

Instalar o Nginx como um proxy reverso em DMZ Configurar Nginx

Configurar Cache Nginx Configurar certificados SSL Nginx Conf

Configurar porta de proxy reverso Limpar cache

Diretrizes padrão

Configurar arquivo de mapeamento

Usar proxy reverso como o servidor de arquivos de mapeamento Endurecimento do kernel CentOS 8

Restringir conexões do cliente Bloquear conexões do cliente Bloquear endereços IP distintos

Bloquear um intervalo de endereços IP

Bloquear todos os endereços IP em uma sub-rede Parâmetros De Criação Do Nginx De Código Aberto Verificar a configuração sem VPN

Finesse

CUIC e dados ao vivo IdS

Desempenho Troubleshoot

Introduction

Este documento descreve como usar um proxy reverso para acessar o desktop do Cisco Finesse sem se conectar a uma VPN (Virtual Private Network).

Note: A instalação e a configuração do Nginx não são suportadas pela Cisco. Consultas

sobre o mesmo assunto podem ser discutidas nos fóruns da comunidade Cisco.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

Versão do Cisco Unified Contact Center Enterprise

●

Cisco Finesse

●

administração Linux

●

Administração de rede e administração de rede Linux

●

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Finesse - 12,6 ES01

●

CUIC - 12,6 ES01

●

IdS - 12.6 ES01

●

UCCE/HCS para CC - 11.6 ou superior

●

PCCE - 12.0 ou superior

●

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Note: 12.6 ES01 suporta a conectividade do agente para VPN com menos acesso ao Finesse Desktop. Os supervisores devem se conectar à VPN para acessar o desktop. A configuração fornecida neste documento foi configurada, reforçada e testada com o proxy reverso Nginx implantado no CentOS 8.0, em uma amostra de implantação do UCCE de 2k.

Os números de desempenho e escala estão disponíveis no guia de recursos.

Informações de Apoio

Esse modelo de implantação é compatível com as soluções Unified Contact Center Enterprise (UCCE)/Packaged Contact Center Enterprise (PCCE) e Hosted Collaboration Solution (HCS) para Contact Center Enterprise (CCE).

A implantação de um proxy reverso agora é suportada como uma opção para acessar o desktop do Cisco Finesse sem se conectar a uma VPN (Virtual Private Network). Este recurso oferece a flexibilidade para que os agentes acessem o desktop Finesse de qualquer lugar através da Internet.

Para habilitar esse recurso, um par de proxy reverso deve ser implantado na Zona Desmilitarizada (DMZ).

O acesso à mídia permanece inalterado em implantações de proxy reverso. Para se conectar à

mídia, os agentes podem usar o Cisco Jabber sobre MRA ou o recurso de agente móvel do Contact Center Enterprise com um PSTN ou endpoint móvel. O diagrama aqui mostra como a implantação da rede será quando você acessar 2 clusters Finesse e 2 nós do Cisco Unified Intelligence Center (CUIC) por meio de um único par HA de nós de proxy reverso.

O acesso simultâneo de agentes na Internet e agentes que se conectam da LAN é suportado como mostrado na imagem.

Implantação de proxy reverso

Note: Qualquer proxy reverso que suporte os critérios exigidos (descritos no guia de recursos vinculado aqui) pode ser usado no lugar do Nginx para dar suporte a essa implantação.

Guia de recursos do UCCE 12.6 - Fornece uma visão geral de recursos, um projeto e também detalhes de configuração para o recurso sem VPN.

UCCE 12.6 Security Guide - Fornece diretrizes de configuração de segurança para a implantação de proxy reverso.

Note: É recomendável rever o guia de recursos e o guia de segurança vinculados

anteriormente para obter uma visão geral do recurso VPN-less antes de ler este documento.

Configurar

Este documento descreve a configuração do Nginx como o proxy reverso a ser usado para ativar

o Finesse VPN menos acesso. O componente da solução do Contact Center Enterprise, as

versões de proxy e SO usadas para verificar as instruções fornecidas estão listadas abaixo. As

instruções relevantes devem ser adaptadas ao SO/proxy de sua escolha.

Versão Nginx usada - código aberto Nginx 1.20

●

SO usado para configuração - CentOS 8.0

●

Note: A configuração do Nginx descrita pode ser baixada desta página

Note: Os próximos problemas específicos não são suportados pelo Cisco TAC e podem ser discutidos no Fórum da Comunidade DevNet Cisco.

Instalar o Nginx como um proxy reverso em DMZ

Esta seção detalha as etapas de instalação do proxy do Nginx. O proxy reverso é normalmente configurado como um dispositivo dedicado na rede DMZ, como mostrado no diagrama de implantação mencionado anteriormente.

Instale o SO de sua escolha com a especificação de hardware necessária. Observe que os ajustes dos parâmetros kernel e ipv4 podem variar dependendo do SO selecionado e os usuários devem verificar novamente esses aspectos se a versão do SO escolhida for diferente.

1.

Configure duas interfaces de rede. Será necessária uma interface para o acesso público dos clientes da Internet e outra para a comunicação com os servidores na rede interna.

2.

Instalar o NGINX - https://docs.nginx.com/nginx/admin-guide/installing-nginx/.  (Consulte esta seção para obter instruções de criação personalizadas para uma instalação mais segura).

Observe que:

3.

Quaisquer sabores do Nginx podem ser utilizados para este fim, desde que se baseiem no Nginx 1.19+

Nginx Plus

●

Fonte aberta Nginx

●

OpenResty

●

Extras GetPageSpeed

●

Note: A configuração fornecida foi testada com o Nginx Open Source 1.20 e espera-se que funcione com outras distribuições com apenas pequenas atualizações, se houver. 

Note: Futuras atualizações de configuração provavelmente envolverão configurações baseadas em Lua. Portanto, as instalações da Nginx devem usar uma implantação que tenha Lua para evitar interrupções posteriormente.

Note: A configuração fornecida pode exigir edições para garantir a compatibilidade com os

sabores mencionados anteriormente e não foi testada explicitamente em relação a essas

distribuições. 

Configurar Nginx

Baixe e extraia o arquivo tar/zip fornecido (12.6-ES01-reverse-proxy-config.zip) que contém a configuração de proxy reverso para NGINX.

1.

Localize a string "must-change" nos arquivos nas pastas extraídas nomeadas html, conf.d e substituir os valores indicados por entradas adequadas.

2.

Certifique-se de que todas as substituições obrigatórias estejam feitas, que estão descritas com os comentários de alteração obrigatória nos arquivos de configuração.

3.

Copie nginx.conf, nginx/conf.d/ e nginx/html/ do diretório de configuração de proxy reverso extraído para <nginx-install-diretory>, <nginx-install-diretory>/conf.d/ e <nginx-install- diretory>/html/ respectivamente.           

4.

Altere a propriedade da pasta <nginx-install-diretory> para raiz (ou conforme aplicável para o SO escolhido) recursivamente.

5.

Defina a permissão para que o <nginx-install-diretory> seja 644(rw-r-r-) recursivamente.

6.

Configure a rotação do registro nginx copiando o arquivo nginx/logrotate/saproxy para /etc/logrotate.d/ pasta. Modifique o conteúdo do arquivo para apontar para os diretórios de log corretos se os padrões nginx não forem usados.

7.

O Nginx deve ser executado com uma conta de serviço não privilegiada dedicada, que deve estar bloqueada e ter uma shell inválida (ou, conforme aplicável, para o SO escolhido).

8.

Note: A configuração fornecida é para uma implantação de 2k de amostra e precisa ser expandida adequadamente para uma implantação maior

Configurar Cache Nginx

Por padrão, os caminhos do cache de proxy são armazenados no sistema de arquivos.

Recomendamos alterá-los para unidades na memória criando a localização do cache em tmpfs, como mostrado aqui. 

1.1. Criar diretórios para caminhos de cache de proxy diferentes em /home

1.2. Exemplo: esses diretórios devem ser criados para o Finesse principal. As mesmas etapas devem ser seguidas para servidores secundários Finesse e CUIC.

mkdir -p /home/primaryFinesse/rest mkdir -p /home/primaryFinesse/desktop mkdir -p /home/primaryFinesse/shindig mkdir -p /home/primaryFinesse/openfire mkdir -p /home/primaryCUIC/cuic

mkdir -p /home/primaryCUIC/cuicdoc mkdir -p /home/client_temp

mkdir -p /home/proxy_temp

echo "tmpfs /home/primaryFinesse/rest tmpfs

size=1510M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >>

/etc/fstab echo "tmpfs /home/primaryFinesse/desktop tmpfs

size=20M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >>

/etc/fstab echo "tmpfs /home/primaryFinesse/shindig tmpfs

size=500M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >>

/etc/fstab echo "tmpfs /home/primaryFinesse/openfire tmpfs

size=10M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >>

/etc/fstab echo "tmpfs /home/primaryCUIC/cuic tmpfs

size=100M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >>

/etc/fstab echo "tmpfs /home/primaryCUIC/cuicdoc tmpfs

size=100M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >>

/etc/fstab echo "tmpfs /home/client_temp tmpfs

size=2048M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >>

/etc/fstab echo "tmpfs /home/proxy_temp tmpfs

size=2048M,rw,auto,noexec,nodev,nosuid,gid=root,uid=root,mode=1700 0 0" >> /etc/fstab

Note: Aumente os caches cliente e proxy_temp em 1 GB para cada novo cluster Finesse adicionado à configuração.

1.3. monte os novos pontos de montagem usando o comando mount -av

1.4. valide se o sistema de arquivos montou os novos pontos de montagem inserindo o comando df -h.

1.5. Agora, altere os locais de proxy_cache_path em arquivos de configuração de cache finesse e CUIC.

Por exemplo, para alterar os caminhos do finesse primary, vá para <nginx-install- diretory>/conf.d/finesse/caches e altere a localização do cache existente

/etc/nginx/cache/finesse25/ para a localização do sistema de arquivos recém-criado /home/primaryFinesse.

##Must-change /etc/nginx/cache/ location would change depending on folder extraction ##

Nginx config file to cache the desktop/shindig and notification service related static files.

proxy_cache_path /home/primaryFinesse/desktop levels=1:2 use_temp_path=on keys_zone=desktop_cache_primary:10m max_size=15m

inactive=3y use_temp_path=off; proxy_cache_path /home/primaryFinesse/shindig levels=1:2 use_temp_path=on keys_zone=shindig_cache_primary:10m

max_size=500m inactive=3y use_temp_path=off; proxy_cache_path /home/primaryFinesse/openfire levels=1:2 use_temp_path=on

keys_zone=openfire_cache_primary:10m max_size=10m inactive=3y use_temp_path=off;

proxy_cache_path /home/primaryFinesse/rest

levels=1:2 use_temp_path=on keys_zone=rest_cache:10m max_size=1500m inactive=40m use_temp_path=off;

Siga as mesmas etapas para os servidores Finesse secundário e CUIC.

Note: Certifique-se de que a soma de todos os tmpfs do tamanho da unidade criada em todas as etapas acima seja adicionada ao tamanho final da memória para a implantação, pois esses drives são blocos de memória configurados para parecerem discos para o aplicativo e consomem tanto espaço de memória.

Configurar certificados SSL

Gerar certificados Nginx para conteúdo de pasta SSL. Observe que, antes de gerar

certificados, você precisa criar uma pasta chamada ssl em /etc/nginx. Como você usará dois nomes de host (mesmo servidor proxy) para acessar o Finesse node1 e o Finesse node2, você precisará gerar dois certificados com a ajuda desses comandos (um para

<reverseproxy_primary_fqdn> e outro para <reverseproxy_secondary_fqdn>)

1.1. sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout

1.

/etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt (passe o nome do host como :

<reverseproxy_primary_fqdn>)

1.2. sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout

/etc/nginx/ssl/nginxnode2.key -out /etc/nginx/ssl/nginxnode2.crt (passe o nome do host como :<reverseproxy_secondary_fqdn>)

1.3. Certifique-se de que o caminho do certificado seja etc/nginx/ssl/nginx.crt e

/etc/nginx/ssl/nginxnode2.crt, uma vez que estes já estão configurados em arquivos de configuração finesse NGINX.

Altere a permissão da chave privada 400 (r—).

2.

Configurar o firewall/iptables no proxy reverso para ativar a comunicação do firewall, correspondendo às portas nas quais o servidor Nginx foi configurado para ouvir.

3.

Adicione IP e nome de host do Finesse, IdS, CUIC sob /etc/hosts entrada no servidor de proxy reverso.

4.

Consulte o guia de recursos da solução para as configurações a serem executadas nos servidores de componentes para configurar o host Nginx como um proxy reverso.

5.

Nginx Conf

O arquivo de conf Nginx padrão (/etc/nginx/nginx.conf) deve ser modificado para conter essas entradas para reforçar a segurança e fornecer desempenho

Este conteúdo deve ser usado para modificar o arquivo conf padrão criado pela instalação do Nginx.

# in system CPU. Nginx provides "auto" option to automate this, which will spawn one worker for each CPU core.

worker_processes auto;

# Process id file location pid /var/run/nginx.pid;

# Binds each worker process to a separate CPU worker_cpu_affinity auto;

#Defines the scheduling priority for worker processes. This should be calculated by "nice"

command. In our proxy set up the value is 0 worker_priority 0;

#Nginx error log location

error_log /var/log/nginx/error.log info;

# current limit on the maximum number of open files by worker processes, keeping 10 times of worker_connections

worker_rlimit_nofile 102400;

events {

#Worker process to accept all new connections at a time.

multi_accept on;

# Sets the maximum number of simultaneous connections that can be opened by a worker process.

# This should not be more the current limit on the maximum number of open files i.e. hard limit of the maximum number of open files for the user (ulimit -Hn)

# The appropriate setting depends on the size of the server and the nature of the traffic, and

can be discovered through testing.

worker_connections 10240;

} http {

include mime.types;

default_type text/plain;

include conf.d/*.conf;

#Unblock disk I/O and improve async data load sendfile on;

#This is used with sendfile directive.

#sending the response header and the beginning of a file in one packet, on Linux and FreeBSD 4.*;

#sending a file in full packets.

tcp_nopush on;

#To process static sets of data such as server names, map directive’s values, MIME types, names of request header strings, nginx uses hash tables.

#This parameter sets the bucket size for the hash tables. The default value depends on the size of the processor’s cache line.

#lscpu command can be helpful to identify the cache size server_names_hash_bucket_size 512;

}

Configurar porta de proxy reverso

Por padrão, a configuração do Nginx ouve na porta 8445 para solicitações finesse. De cada vez, somente uma porta pode ser ativada de um proxy reverso para suportar solicitações finesse, como 8445. Se a porta 443 precisar de suporte, verifique o <NGINX_HOME>/conf.d/finesse.conf para habilitar a escuta no 443 e desabilitar a escuta no 8445.

Limpar cache

O cache de proxy reverso pode ser limpo executando o comando

<NGINX_HOME>/clearCache.sh.

Diretrizes padrão

Esta seção descreve brevemente as diretrizes padrão que precisam ser seguidas ao configurar o Nginx como um servidor proxy.

As diretrizes a seguir são obtidas em https://www.cisecurity.org/benchmark/nginx/ Para obter mais detalhes sobre cada diretriz, consulte a mesma.

É sempre recomendável usar a versão mais recente do NGINX estável e a versão OpenSSL.

1.

Recomenda-se instalar o NGINX em uma montagem de disco separada.

2.

A id do processo do NGINX deve ser de propriedade do usuário raiz (ou, conforme aplicável, do SO escolhido) e deve ter a permissão 644 (rw—) ou mais rigorosa.

3.

O NGINX deve bloquear solicitações de hosts desconhecidos. Verifique se cada bloco de servidor contém a diretiva server_name explicitamente definida. Para verificar, pesquise todos os blocos do servidor no diretório nginx.conf e nginx/conf.d e verifique se todos os blocos do servidor contêm o server_name.

4.

O NGINX deve estar ouvindo apenas nas portas autorizadas. Procure todos os blocos de servidores no diretório nginx.conf e nginx/conf.d e procure as diretivas de escuta para verificar se apenas as portas autorizadas estão abertas para escuta.

5.

É obrigatório ocultar o nome do Nginx e as informações da versão para atenuar possíveis invasores. Remova todas as linhas que fazem referência ao NGINX em páginas de erro padrão e index.html para evitar revelar o servidor como NGINX.

6.

Como o Cisco Finesse não suporta HTTP, é recomendável bloquear também a porta HTTP do servidor proxy.

7.

O protocolo SSL NGINX deve ser TLS 1.2. O suporte para protocolos SSL legados deve ser removido. Também deve desativar cifras SSL fracas.

8.

Recomenda-se que o erro de NGINX e os registros de acesso sejam enviados para o Servidor syslog remoto.

9.

Aconselha-se instalar o módulo mod_security que funciona como um firewall de aplicação Web. Siga o manual ModSecurity para obter mais informações. Observe que a carga do NGINX não foi verificada no módulo mod_security no lugar.

10.

Configurar arquivo de mapeamento

A implantação de proxy reverso do desktop Finesse requer um arquivo de mapeamento para configurar a lista de combinações de nome de host/porta visíveis externamente e seu

mapeamento para os nomes de servidor e portas reais que são usados pelos servidores Finesse, IdS e CUIC. Esse arquivo de mapeamento configurado em servidores internos é a configuração principal que permite que os clientes conectados pela Internet sejam redirecionados para os hosts e portas necessários que são usados na Internet.

O arquivo de mapeamento precisa ser implantado em um servidor Web acessível aos servidores de componentes e seu URI precisa ser configurado para que a implantação funcione.

Recomenda-se que o arquivo de mapeamento seja configurado usando um servidor Web dedicado disponível na rede. Se esse servidor não estiver disponível, o proxy reverso pode ser usado, o que exigirá que o proxy seja acessível de dentro da rede e também apresenta um risco de expor as informações a clientes externos que podem fazer acesso não autorizado à DMZ. A seção a seguir detalha como isso pode ser realizado.

Consulte o guia de recursos para obter as etapas exatas para configurar a URI do arquivo de mapeamento em todos os servidores de componentes e para obter mais detalhes sobre como criar os dados do arquivo de mapeamento.

Usar proxy reverso como o servidor de arquivos de mapeamento

Essas etapas são necessárias somente se o proxy reverso também for usado como host do arquivo de mapeamento de proxy.

Configure o nome de host de proxy reverso no controlador de domínio usado pelos hosts

1.

Finesse/CUIC e IdS para que seu IP possa ser resolvido.

Carregue os certificados assinados NGINX gerados nos dois nós em tomcat-trust da cmplatform e reinicie o servidor.

2.

Atualize os valores Obrigatórios em <NGINX_HOME>/html/proxymap.txt.

3.

Recarregue as configurações do Nginx com nginx -s reload.

4.

Confirme se o arquivo de configuração está acessível de outro host de rede com o uso do comando curl.

5.

Endurecimento do kernel CentOS 8

Se o sistema operacional escolhido for CentOS 8, é recomendável que o endurecimento/ajuste do kernel seja feito com o uso dessas configurações sysctl, para instalações que usam um servidor dedicado para hospedar o proxy.

## Configurations for kernel hardening - CentOS8. The file path is /etc/sysctl.conf

## Note that the commented configurations denote that CentOS 8's default value matches

## the recommended/tested value, and are not security related configurations.

# Avoid a smurf attack

net.ipv4.icmp_echo_ignore_broadcasts = 1

# Turn on protection for bad icmp error messages net.ipv4.icmp_ignore_bogus_error_responses = 1

# Turn on syncookies for SYN flood attack protection net.ipv4.tcp_syncookies = 1

# Turn on and log spoofed, source routed, and redirect packets net.ipv4.conf.all.log_martians = 1

net.ipv4.conf.default.log_martians = 1

# Turn off routing net.ipv4.ip_forward = 0

net.ipv4.conf.all.forwarding = 0 net.ipv6.conf.all.forwarding = 0 net.ipv4.conf.all.mc_forwarding = 0 net.ipv6.conf.all.mc_forwarding = 0

# Block routed packets

net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0

# Block ICMP redirects

net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0

# Filter routing packets with inward-outward path mismatch(reverse path filtering)

net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1

# Router solicitations & advertisements related.

net.ipv6.conf.default.router_solicitations = 0 net.ipv6.conf.default.accept_ra_rtr_pref = 0 net.ipv6.conf.default.accept_ra_pinfo = 0 net.ipv6.conf.default.accept_ra_defrtr = 0 net.ipv6.conf.default.autoconf = 0

net.ipv6.conf.default.dad_transmits = 0 net.ipv6.conf.default.max_addresses = 1 net.ipv6.conf.all.accept_ra = 0

net.ipv6.conf.default.accept_ra = 0

# Backlog - increased from default 1000 to 5000.

net.core.netdev_max_backlog = 5000

# Setting syn/syn-ack retries to zero, so that they don't stay in the queue.

net.ipv4.tcp_syn_retries = 0 net.ipv4.tcp_synack_retries = 0

# Max tcp listen backlog. Setting it to 511 to match nginx config net.core.somaxconn = 511

# Reduce the duration of connections held in TIME_WAIT(seconds) net.ipv4.tcp_fin_timeout = 6

# Maximum resources allotted

# fs.file-max = 2019273

# kernel.pid_max = 4194304

# net.ipv4.ip_local_port_range = 32768 60999

# TCP window size tuning

# net.ipv4.tcp_window_scaling = 1

# net.core.rmem_default = 212992

# net.core.rmem_max = 212992

# net.ipv4.tcp_rmem = 4096 87380 6291456

# net.ipv4.udp_rmem_min = 4096

# net.core.wmem_default = 212992

# net.core.wmem_max = 212992

# net.ipv4.tcp_wmem = 4096 16384 4194304

# net.ipv4.udp_wmem_min = 4096

# vm.lowmem_reserve_ratio = 256 256 32 0 0

# net.ipv4.tcp_mem = 236373 315167 472746

# Randomize virtual address space kernel.randomize_va_space = 2

# Congestion control

# net.core.default_qdisc = fq_codel

# net.ipv4.tcp_congestion_control = cubic

# Disable SysReq kernel.sysrq = 0

# Controls the maximum size of a message, in bytes kernel.msgmnb = 65536

# Controls the default maximum size of a message queue kernel.msgmax = 65536

# Controls the eagerness of the kernel to swap.

vm.swappiness = 1

Uma reinicialização é recomendada após você fazer as alterações recomendadas.

Restringir conexões do cliente

As instalações que conhecem o intervalo de endereços para clientes que usam o proxy são recomendadas para usar esse conhecimento para proteger as regras de acesso de proxy. Isso pode proporcionar enormes retorno financeiro quando se trata de proteger o proxy de botnets de redes mal-intencionadas que são frequentemente criadas em uma faixa de endereços IP de países que têm regras mais laxistas e funcionam com segurança on-line. Portanto, é altamente recomendável restringir os intervalos de endereços IP aos intervalos IP baseados em país/estado ou provedor de ISP se você tiver certeza dos padrões de acesso.

Bloquear conexões do cliente

Também é útil saber como bloquear um intervalo específico de endereços quando um ataque é identificado para ser feito de um endereço IP ou de um intervalo de endereços IP. Nesses casos, as solicitações desses endereços IP podem ser bloqueadas usando regras iptable.

Bloquear endereços IP distintos

Bloqueie vários endereços IP distintos adicionando uma linha ao arquivo de configuração IPTables para cada endereço IP.

Por exemplo, para bloquear os endereços 192.0.2.3 e 192.0.2.4, digite:

iptables -A INPUT -s 192.0.2.3 -j DROP iptables -A INPUT -s 192.0.2.4 - j DROP.

Bloquear um intervalo de endereços IP

Bloqueie vários endereços IP em um intervalo e adicione uma única linha ao arquivo de configuração IPTables com o intervalo IP.

Por exemplo, para bloquear endereços de 192.0.2.3 a 192.0.2.35 , digite: iptables -A INPUT -m iprange —src-range 192.0.2.3-192.0.2.35 -j DROP.

Bloquear todos os endereços IP em uma sub-rede

Bloqueie todos os endereços IP em uma sub-rede inteira adicionando uma única linha ao arquivo de configuração IPTables com o uso da notação de roteamento entre domínios classless para o intervalo de endereços IP. Por exemplo, para bloquear todos os endereços de classe C, digite:

iptables -A INPUT -s 192.0.0.0/16 -j DROP.

Parâmetros De Criação Do Nginx De Código Aberto

Essas instruções podem ser usadas para criar e instalar o Nginx da origem sem adicionar módulos desnecessários à imagem final.  Esta compilação restrita melhorará a postura de segurança, mas será necessária uma reconstrução sempre que for necessário instalar uma atualização de segurança.

1. Siga as instruções da página de criação do Nginx Open Source para baixar a fonte do Nginx e compilá-la.

2. Módulos como http_dav_module,http_gzip_module, http_gzip_static_module,

http_index_module, http_ssi_module não devem ser instalados, a menos que seja necessário por razões específicas. Durante a instalação do pacote Nginx, configure a compilação com o

comando para ignorar módulos indesejados.

3. Configure, crie e instale o nó com o comando.

configure arguments: --sbin-path=/usr/bin/nginx --conf-path=/etc/nginx/nginx.conf --error-log- path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --with-pcre --pid- path=/var/run/nginx.pid --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --without-http_gzip_module --with-http_realip_module --with- http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-

http_stub_status_module --with-http_sub_module --with-http_v2_module --with-stream --with- stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --add- module=/root/lua/ngx_devel_kit-0.3.1 --add-module=/root/lua/lua-nginx-module-0.10.19

#compile make

#install make install

Verificar a configuração sem VPN

Use esta seção para confirmar se a sua configuração funciona corretamente.

Finesse

1. Solicite https://<reverseproxy:port>/finesse/api/SystemInfo. da DMZ e verifique se eles estão acessíveis.

2. Verifique <host> valores em <primaryNode> e <secondaryNode> são nomes de host de proxy reverso válidos. Não devem ser nomes de host finos.

CUIC e dados ao vivo

1. Se nomes de host finesse forem vistos na resposta em vez de nomes de host de proxy reverso, valide as configurações de mapeamento de proxy e os hosts permitidos serão adicionados

corretamente nos servidores Finesse conforme descrito no

seção "Popular dados de tradução de rede" de "Acesso VPN-Menos ao Finesse Desktop" no Guia de recursos do UCCE 12.6.

2. Se os gadgets LiveData forem carregados corretamente no Finesse Desktop, as configurações de proxy CUIC e LiveData serão adequadas.

3. Para validar a configuração do CUIC e LiveData, faça solicitações HTTP a esses URLs do DMZ

e veja se eles podem ser acessados.

https://<reverseproxy:cuic_port>/cuic/rest/about

●

https://<reversseproxy:ldweb_port>/livedata/segurança

●

https://<reverseproxy:ldsocketio_port>/security

●

IdS

Para validar a configuração de IdS, execute estas etapas:

Faça login na interface IdSAdmin @ https://<ids_LAN_host:ids_port>:8553/idsadmin da LAN como interface admin não é exposta por proxy reverso.

1.

Navegue até Configurações > Confiança de IdS.

2.

O nó do editor de cluster de proxy está listado na página de metadados Download SP e clique em Avançar.

3.

Validar proxy IDP é exibido corretamente se configurado na página Carregar metadados IDP e clicar em Avançar.

4.

Inicie o SSO de teste por meio de todos os nós de cluster de proxy na página Testar SSO e valide se todos foram bem-sucedidos. Isso exige conectividade de máquina cliente para reverter nós de proxy.

5.

Desempenho

Fornecida na página de download é a análise de nmon (load_result.zip) capturado do teste de carga, realizado para qualificar a configuração, em uma amostra de implantação UCCE de 2.000 usando logins SSO e relatórios CUIC LD, conforme configurado no layout padrão. Ele pode ser usado para derivar os requisitos de computação, disco e rede para uma instalação usando o Nginx.

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta

configuração.