概要
このドキュメントでは、Cisco Webセキュリティアプライアンス(WSA)、すべてのAsyncOSバージョン7.x以降の特定のユーザエージェントの認証をバイパスする方法について説明します。
特定のユーザエージェントの認証をバイパスするにはどうすればよいですか。
特定のアプリケーションの認証をユーザエージェントでバイパスできます。これは2ステップのプロセスです。
- アプリケーションで使用されるユーザエージェント文字列を決定します。
- 標準アプリケーションでは、次のWebサイトでユーザエージェント文字列を検索できます。
http://www.user-agents.org/
http://www.useragentstring.com/pages/useragentstring.php
http://www.infosyssec.com/infosyssec/security/useragentstrings.shtml
- アプライアンスのアクセスログからユーザエージェント文字列を判別することもできます。次のステップを実行します。
- GUIで、[System Administration] > [Log Subscription] > [Access logs]を選択します。
- カスタムフィールドに%uを追加します。
- 変更を送信し、保存します。
- クライアントのIPアドレスに基づいてアクセスログを追加または追跡します。
- ユーザエージェント文字列は、アクセスログ行の末尾に配置する必要があります。
例:Chromeブラウザでは、ユーザエージェント文字列がMozilla/5.0(Windows;U;Windows NT 5.1;en-US) AppleWebKit/525.13 (KHTML, like Gecko) Chrome/0.X.Y.Z Safari/525.13.)
- ユーザエージェント文字列の認証をバイパスするようにWSAを設定します。
- [Web Security Manager] > [Identities]を選択します。[IDの追加]をクリックします。
- [Name]:ユーザエージェント認証免除ID
- [Insert Above]:順序 1 に設定します。
- [Define Members by Subnet ]:空白(またはIPアドレス範囲/サブネットを定義することもできます)
- [Define Members by Authentication]:No Authentication Required
- [Advanced] > [User Agents]:「選択なし」をクリックします。[Custom user Agents]で、[User Agent]文字列を指定します。
- [Web Security Manager] > [Access Policies]を選択します。[ポリシーの追加]をクリックします。
- [Policy Name]:ユーザエージェントの認証免除
- [Insert Above Policy]:順序 1 に設定します。
- [Identity Policy]:ユーザエージェント認証免除ID
- [Advanced]:なし
この設定では、指定されたユーザエージェントの認証を免除する必要があります。アクセスポリシーは、アクセスポリシーの設定に従って、(URLカテゴリに基づいて)トラフィックをフィルタリングし、スキャンします(McAfee、Webroot)。