Serviços de rede de aplicativos : Mecanismos de cache Cisco 500 Series

Configurando o tunelamento SSL com Cisco Cache Engine 2.2

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Essa configuração de exemplo mostra como configurar um Mecanismo de Cache Cisco como um servidor proxy de protocolo HTTPS para retransmitir solicitações HTTPS sobre HTTP iniciadas pelos navegadores de clientes, os quais foram configurados para apontar tráfego HTTPS para o cache da Web.

O Cache Engine não pode encerrar o tráfego de SSL, portanto, o Protocolo de comunicação de cache da Web (WCCP) e o cache transparente não podem ser usados. O cliente tentará abrir uma sessão SSL com o Cache Engine em modo transparente e, como o Cache Engine possui um certificado SSL, ele não conseguirá encerrar a sessão, e a conexão falhará. O Cache Engine pode passar tráfego no modo proxy, mas isso requer que todos os navegadores que estejam usando o Cache Engine para solicitações de SSL tenham seu endereço de proxy definido como o Cache Engine de protocolos de segurança. Isso é feito individualmente ou em cada navegador.

O motor do esconderijo cria uma conexão ao servidor de origem diretamente ou através de um outro servidor proxy e permite que o cliente web e o servidor de origem estabeleçam um túnel SSL através do motor do esconderijo. O tráfego HTTPS é criptografado e não pode ser interpretado pelo Mecanismo de Cache ou por qualquer outro dispositivo entre o cliente Web e o servidor original. Objetos HTTPS não são colocados em cache.

Nota:  O PIX não pode olhar nos pacotes SSL, assim que o SL FTP não trabalha com o comando fixup. O FTP seguro encapsula uma cópia do endereço IP de Um ou Mais Servidores Cisco ICM NT do host dentro do payload cifrado. Desde que o pacote é cifrado, o PIX não pode reparares o endereço privado ao endereço público no payload.

Antes de Começar

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Pré-requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Esta configuração foi desenvolvida e testada com as versões de software e hardware.

  • Cisco Cache Engine 550 executando a Versão 2.2 do Software de Cache da Cisco

  • Cisco 2600 Router que executa o Software Release 12.0 de Cisco IOS�

  • Liberação de software de firewall running do PIX seguro do Firewall do intercâmbio de Internet privada (PIX) de Cisco 5.2(3)

Configurar

Diagrama de Rede

ssl_tunneling.jpg

O tráfego HTTPS iniciado pelo cliente SSL PC1 proxied pelo motor 550 do esconderijo, que tem o único endereço IP de Um ou Mais Servidores Cisco ICM NT da LAN interna que é permitida no PIX sair ao Internet. O comando https proxy incoming seleciona as portas pelas quais o Mecanismo de Cache recebe as conexões HTTPS.

Configurações

Motor 550 do esconderijo (Software Cisco Cache versão 2.2)
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
wccp router-list 1 10.10.10.1
wccp web-cache router-list-num 1 password ****
wccp version 2
!
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
https proxy incoming 443
https destination-port allow all
!
!
end

Roteador Cisco 2600 (Cisco IOS Software Release 12.0)
!
ip subnet-zero
ip wccp web-cache password ww
no ip domain-lookup
!
!
!
interface FastEthernet0/0
ip address 8.8.8.1 255.255.255.0
ip wccp web-cache redirect out
ip route-cache same-interface
!
!
interface FastEthernet0/1
ip address 10.10.10.1 255.255.255.0
no ip route-cache
no ip mroute-cache
!

PIX 506 (liberação de software de firewall do PIX seguro 5.2(3)
!
PIX Version 5.2(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
logging buffered debugging
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 172.17.241.14 255.255.255.0
ip address inside 8.8.8.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
static (inside,outside) 172.17.241.50 10.10.10.50
netmask 255.255.255.255 00
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.17.241.29 1
route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
timeout xlate 3:00:00
terminal width 80
Cryptochecksum:a02a164a924492533b8272dd60665e29
:�
end

comandos debug e show

A seguir há exemplos de saídas do comando debug e show.

Antes de emitir comandos debug, consulte Informações importantes sobre comandos debug.

debug https header trace

O comando debug https header trace permite que você ver e pesquise defeitos o pedido recebido pelo PC1.

Wed Dec 13 02:41:37 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
�
Wed DEC 13 02:41:37 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�
HTTPS response headers sent:
Wed DEC 13 02:41:38 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:38 2000: HTTP/1.0 200 Connection Established�

Wed DEC 13 02:41:38 2000:��
Https request received from client:
Wed DEC 13 02:41:39 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Wed DEC 13 02:41:39 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�

HTTPS response headers sent:
Wed DEC 13 02:41:39 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:39 2000: HTTP/1.0 200 Connection Established

show statistics https

Use o comando show statistics https indicar estatísticas da conexão de HTTPS.

��������������������������������� HTTPS Statistics

����������������������������������������������� Total��������������� % of Total

���������������������������� ---------------------------------------------------

���������� Total connections:���������������������� 2������������������������ -
���������� Connection errors:���������������������� 0���������������������� 0.0
���������������� Total bytes:����������������� 116261������������������������ -
� Bytes received from client:������������������� 1069���������������������� 0.9
������� Bytes sent to client:����������������� 115192��������������������� 99.1

show https all

Use o comando show https indicar o status de proxy HTTPS e as políticas da porta.

Incoming HTTPS proxy:
� Servicing Proxy mode HTTPS connections on ports:� 443

Outgoing HTTPS proxy:
� Not using outgoing proxy mode.

Destination port policies:
� Allow� all

Estes comandos foram usados no PIX Firewall:

  • xlate da mostra — Use o comando show xlate ver ou a informação clara do slot de tradução (modo privilegiado).

    Global 172.17.241.50 Local 10.10.10.50 static
  • registo da mostra — Use o comando show logging a indica o estado de registo (Syslog).

    302001: Built outbound TCP connection 68 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091
    
    302001: Built outbound TCP connection 69 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092
    
    302002: Teardown TCP connection 68 faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091 duration 
            0:00:02 bytes 59513 (TCP FINs)
    
    302002: Teardown TCP connection 69 faddr 195.168.21.2/443
    ��������gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092 duration 
            0:00:02 bytes 58128 (TCP Fins)

Comandos relacionados

Você pode estender o exemplo acima para usar um outro servidor proxy de upstream (8.8.8.3) para atender as solicitações HTTPS, usando o comando proxy-protocols global configuration.

CE(config)# https proxy outgoing host 8.8.8.3 8880

Neste caso, é possível excluir domínios particulares do encaminhamento para servidores proxy de saída.

CE(config)# proxy-protocols transparent default-server�
CE(config)# proxy-protocols outgoing-proxy exclude enable�
CE(config)# proxy-protocols outgoing-proxy exclude list tronet.sk

Você igualmente pode negar a conexão dos HTTP de saída para as portas 6565 e 6566.

CE(config)# https destination-port deny 6565 6566

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 12570