Imposta ISL Conference Proxy
Soddisfa severi requisiti di sicurezza, oltre a godere della privacy e della piena indipendenza installando ISL Online nei tuoi server. Tutte le connessioni remote verranno quindi stabilite tramite i server dell'azienda, mantenendo tutti i dati come le informazioni utente o la cronologia delle sessioni in un ambiente aziendale chiuso.
Registra la licenza del server
Crea account licenza server
1. Registrati per creare un account (salta questo passaggio se hai già un account ISL Online).
2.Accedi al tuo account tramite il sito web ISL Online. Fai clic su "Nome utente" nell'angolo in alto a destra, quindi fai clic su "Licenza server" dal menu.
3.Fai clic su "Inizia la tua PROVA GRATUITA di 30 GIORNI della licenza ISL Online-server ora".
Requisiti server
Microsoft Windows
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows 10 (32bit e 64bit)
- Microsoft Windows Server 2012 R2
- Microsoft Windows 8.1 (32bit e 64bit)
- Microsoft Windows Server 2012
- Microsoft Windows 8 (32bit e 64bit)
- Microsoft Windows Server 2008 R2
- Microsoft Windows 7 (32bit e 64bit)
Linux
Linux Kernel 2.6.32 o successivo e glibc 2.12 o successivo (equivalente di RHEL/CentOS 6.0)
Requisiti hardware
CPU
- Minimo: INTEL o AMD 1.4 GHz (processore x86 o processore x64)
- Consigliata: CPU multi-core, processore x64, 3 GHz o più veloce
Memoria
- Minimo: 2 GB RAM
- Consigliati: 4 GB RAM (standard) o 8 GB RAM (licenza server aziendale)
Spazio disponibile su disco
- Minimo: 10 GB
- Consigliati: 20 GB (standard) o 100 GB (licenza server aziendale)
Virtualizzazione hardware: supportiamo anche ambienti di virtualizzazione (come Hyper-V, Xen, VMware) con uno dei sistemi operativi supportati sistemi installati.
Importante: evita di eseguire client antivirus nei tuoi server Windows!
Se disponi di un programma antivirus installato nel server Windows, considerane la disinstallazione al fine di evitare qualsiasi interferenza con le operazioni di ISL Conference Proxy ed ottenere le migliori prestazioni.
Molti programmi antivirus aggiungono agganci per varie chiamate di sistema (accesso ai file, invio/ricezione di rete, ecc.) che possono avere un impatto sulle prestazioni o addirittura causare rallentamenti/problemi durante le operazioni.
Se non è possibile eseguire il server Windows senza un client antivirus è necessario aggiungi la cartella di ISL Conference Proxy (C:\Program File\ISL Conference Proxy) all'elenco autorizzati e disabilita la scansione in tempo reale per quella cartella e tutte le sottocartelle al suo interno.
Proxy inverso: ISL Conference Proxy 4.0.0 e versioni successive include il supporto per il proxy inverso. Se vuoi posizionare il server dietro un dispositivo di sicurezza della rete aziendale esistente, ad esempio F5 od un proxy inverso simile, fai riferimento al Manuale proxy inverso.
Configurazione iniziale
1. Definisci server
Per prima cosa devi aggiungere un server. Per scoprire come è fatto segui queste istruzioni.
2. Crea pacchetto
Successivamente, dovrai creare un pacchetto per il tuo server. Per scoprire come è fatto segui queste istruzioni.
3. Assegna licenze
Assegnare una licenza significa collegare una licenza al server specificato. Questa guida all'installazione presuppone che venga assegnata almeno una licenza ISL Online Server ad un server definito in precedenza.
Nota: questo passaggio può essere saltato per gli utenti di prova del server.
Installazione
1. Scarica programma installazione ISL Conference Proxy
Windows:
64-bit: https://www.islonline.com/system/installer_latest_win64
Linux:
64-bit: https://www.islonline.com/system/installer_latest_linux64
Windows:
Nota: se il server esegue Windows Server Core, procedi al seguente argomento: Installazione in Windows Server Core
Linux:
Nota: se il server non dispone di un'interfaccia utente grafica, segui i passaggi 1 e 2 e quindi esegui il comando confproxyctl e potrai modificare la password dell'aministratore di ISL Conference Proxy (come impostazione predefinita è asd) e di specificare reti attendibili per l'amministrazione web. Successivamente, esegui i passaggi rimanenti (a partire dal passaggio 3) da un computer con un'interfaccia utente grafica che si trova all'interno di una rete attendibile. Sostituisci localhost nell'indirizzo con l'indirizzo del server appropriato per la situazione. Un'alternativa è quella di creare un tunnel SSH con porta locale del server 7615 e accedere all'amministrazione web attraverso il tunnel SSH creato.
2. Esegui il programma di installazione ISL Conference Proxy
- Windows: si dovrebbe effettuare l'accesso come amministratore del computer o avere la password di amministratore. Trova il file nella cartella di download ed eseguilo. Segui la procedura guidata di installazione.
- Linux: cd per scaricare la cartella e inserire:
sh ISL_Conference_Proxy_4_4_2044_21_linux64.bin
3. Apri amministrazione ISL Conference Proxy
Apri l'amministrazione web, disponibile all'indirizzo http://localhost:7615/conf
4. Accedi all'amministrazione di ISL Conference Proxy
Nome utente predefinito: admin
Password predefinita: asd
5. Seleziona Configurazione base e inserisci tutti i campi necessari.
Nota: ti consigliamo di compilare la sezione di installazione email in modo che ISL Conference Proxy sia in grado di inviare informazioni sullo stato alla tua email e ti informerà su eventi critici, inviti di sessione ecc.
6. Seleziona Licenze e carica il file licenza (confproxy-4-x.license).
7. Seleziona Aggiornamento online e scarica tutti i componenti software necessari (ISL Light, ...).
Nota: potrebbe essere necessario eseguire l'aggiornamento online alcune volte, fino a quando tutti i componenti di ISL Conference Proxy non vengono aggiornati. Ripeti il passaggio 6 fino a quando non ci saranno più aggiornamenti disponibili.
Configura il firewall
ISL Conference Proxy richiede per funzionare correttamente l'uso di diverse porte TCP. Ti consigliamo di aprire le porte 80, 443 e 7615 nel tuo firewall. Se disponi di un server web in esecuzione sulle porte 80, 443 o entrambe, ISL Conference Proxy notificherà gli errori di associazione per tutte le porte in conflitto.
A seconda delle impostazioni attuali della rete e del server potresti ricevere errori sulle porte di associazione come nell'esempio seguente.
Il server (-1) segnala errori: - Impossibile assegnare la porta TCP 80
Tutti questi errori relativi al binding delle porte (se presenti) dovrebbero essere risolti dopo aver configurato il firewall.
Migliori pratiche
Ogni volta che si distribuisce ISL Conference Proxy ad un server, non importa se si tratta di una macchina Linux o Windows, è necessario assicurarsi che sia il più sicuro possibile.
Alcuni di questi passaggi sono abbastanza generali (non specifici di ICP, non specifici del sistema operativo), ma li elencheremo comunque per riferimento:
1.Riduci la possibile superficie di attacco, cioè disabilita (o meglio ancora, disinstalla se possibile) tutto ciò di cui non hai bisogno nel server (ICP non ha dipendenze esterne come server web, database ecc., quindi non hai bisogno di quei ruoli).
2.Mantieni aggiornato il server (sistema operativo e programmi installati).
3. Consenti l'accesso solo alle porte necessarie per ICP (per ulteriori informazioni controlla il manuale utente) e il tuo accesso (SSH, RDP), rilascia/blocca il resto.
4.Usa password complesse sia per la macchina stessa che per l'amministrazione ICP.
5.Assicurati di aver configurato il server di posta e le relative impostazioni in modo da ricevere segnalazioni di errori e email di notifica da ICP:
Configurazione -> Generale -> Server posta in uscita (SMTP)
Configurazione -> Generale -> Porta SMTP
Configurazione -> Generale-> Email predefinita dall'indirizzo
Configurazione -> Generale -> Email di sistema va a
6.Abilita SSL per le pagine web ICP- per ulteriori informazioni controlla il manuale utente.
7.Controlla i protocolli SSL e le impostazioni della suite di crittografia e assicurati che corrispondano ai tuoi requisiti di sicurezza e compatibilità. Le impostazioni predefinite del protocollo e della suite di crittografia dovrebbero essere un buon punto di partenza e nel caso in cui non si abbiano requisiti specifici è necessario lasciarli a i loro valori predefiniti.
Importante: prima di apportare modifiche permanenti alle impostazioni del protocollo o della suite di crittografia, ti consigliamo vivamente di testare tutti i casi d'uso principali per assicurati che queste modifiche non interrompano la compatibilità con le versioni precedenti dove ciò non è accettabile. Ulteriori letture suggerite:
https://en.wikipedia.org/wiki/Transport_Layer_Security#Applications_and_adoption [wikipedia.org]
https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations [mozilla.org]
8. Per impostazione predefinita, l'amministrazione ICP è possibile solo da localhost-se il piano è quello di accedere alla macchina di amministrazione ICP tramite RDP o tramite tunnel SSH, è possibile mantenere questa impostazione predefinita. Se vuoi accedere direttamente all'amministrazione ICP da un'altra macchina, assicurati di avere un certificato SSL sul tuo ICP e forza SSL per l'amministrazione:
Configurazione -> Sicurezza -> Usa SSL per l'amministrazione: Sì
Quindi è possibile impostare gli indirizzi di rete attendibili e/o le sottoreti che dovrebbero avere accesso all'amministrazione ICP:
Configurazione -> Sicurezza -> Indirizzi IP consentiti per l'amministrazione
9. Forza SSL per tutte le pagine web, websocket e webapi degli utenti ICP:
- Configurazione -> Sicurezza -> Usa SSL per l'amministrazione: Sì
- Configurazione -> Sicurezza -> Richiedi HTTPS per WebSockets quando 'Ridireziona HTTP a HTTPS' è abilitato: Sì
- Configurazione -> Sicurezza -> Richiedi HTTPS per WebAPI quando 'Ridireziona HTTP a HTTPS' è abilitato: Sì
- Configurazione -> Sicurezza -> Richiedi HTTPS per WebAPI2 quando 'Ridireziona HTTP a HTTPS' è abilitato: Sì
10. Potresti voler generare chiavi crittografiche personalizzate (firme software, client a server, client a client), e puoi farlo qui:
Configurazione -> Avanzata -> Sicurezza
11. Ultimo ma non meno importante esegui regolari backup.
Domande principali
-
Come posso accedere alll'amministrazione di ISL Conference Proxy?
Vai a https://localhost:7615/conf usando il browser web.
-
Qual è la password di amministratore predefinita?
La password di amministratore predefinita è asd. Per motivi di sicurezza modificala dopo l'installazione.
-
Come posso reimpostare la mia password di amministratore?
Segui la procedura appropriata in base al sistema operativo:
Windows
Apri la cartella di installazione di ISL Conference Proxy (predefinita: C:\Program File\ISL Conference Proxy) ed esegui reset_adminpwd.bat come amministratore. Questo imposterà la password dell'amministratore su asd.
Linux
Esegui il seguente comando da un terminale nel tuo server: confproxyctl Ti chiederà una nuova password dell'amministratore di ISL Conference Proxy e potrai specificare reti attendibili per l'amministrazione web.
-
Come posso aggiornare il mio ISL Conference Proxy?
Fai riferimento ai capitoli Aggiornamento online o Aggiornamento manuale nel manuale ISL Conference Proxy.
-
Quali porte devono essere aperte, quale protocollo e direzione?
Server ISL Conference Proxy: 7615 (TCP, in entrata), 443 (TCP, in entrata) e 80 (TCP, in entrata)
ISL Light richiede almeno una delle seguenti porte: 7615 (TCP, in uscita), 443 (TCP, in uscita), 80 (TCP, in uscita)
Nota che è possibile modificare queste porte nell'amministrazione di ISL Conference Proxy.
Se la porta 80 è già in uso (ad es. se stai eseguendo IIS o Apache con lo stesso IP), vai in Configurazione - Porte generali HTTPT e rimuovi la porta 80 dall'elenco e ISL Conference Proxy non tenterà di associare quella porta. Se possibile, cerca di avere un indirizzo IP separato per ISL Conference Proxy e tutte e tre le porte disponibili al fine di consentire alla maggior parte degli utenti di connettersi.
-
C'è un modo per vedere quale servizio sta usando la porta 80 o 443?
Puoi provare l'utility a linea di comando netstat -ano. Un'altra opzione è trovare processi con pid in netstat nel task manager. Puoi anche controllare tcpdump da sysinternals. Per ulteriori informazioni fai riferimento al manuale utente.
-
È meglio avere ISL Conference Proxy in esecuzione in Linux o Windows?
Qualunque sistema ti si addice meglio. Per quanto riguarda le prestazioni, non ci sono differenze tra l'esecuzione di ISL Conference Proxy in Linux o Windows. Per maggiori info fai riferimento a requisiti server.
-
ISL Conference Proxy può essere eseguito in una macchina virtuale?
Sì, ISL Conference Proxy può essere installato in una macchina virtuale purché sia in esecuzione uno dei sistemi operativi supportati. Per ulteriori informazioni fai riferimento a requisiti sistema.
Tuttavia, tieni presente che un ambiente di virtualizzazione richiede una configurazione corretta e rappresenta un altro possibile punto di errore.
-
Come posso installare un certificato SSL personalizzato?
Fai riferimento a questo argomento nel manuale: Abilitazione SSL.
-
Come posso spostare la mia installazione ISL Conference Proxy esistente in un nuovo server?
i consigliamo di usare la funzionalità del modulo di backup per eseguire una migrazione del server. Questo approccio consente anche di migrare in altre piattaforme, ad esempio da un server Windows a un server Linux o viceversa. Per ulteriori informazioni fai riferimento a manuale utente.
-
Posso integrare ISL Conference Proxy con LDAP/SAML/FreeRADIUS/Radius/Active Directory/eDirectory?
Sì, fai riferimento al manuale utente.
-
C'è un modo per importare in blocco i dettagli dell'utente?
Sì, è possibile farlo usando il protocollo XMLMSG. Invia una email a support@islonline.com e potremo inviarti una breve guida.
Continua a leggere: Suggerimenti per la sicurezza