Segurança : Cisco Web Security Appliance

Como impedir a ferramenta de segurança da Web para ser um proxy aberto

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Josh Wolfer e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

Pergunta:


Ambiente: Ferramenta de segurança da Web de Cisco (WSA), todas as versões de AsyncOS

Há duas áreas onde o WSA pode ser considerado para ser um proxy aberto:

  1. Os clientes HTTP que não residem em sua rede podem ao proxy completamente
  2. Os clientes estão usando requisições de conexão HTTP escavar um túnel não completamente o tráfego de HTTP

Cada um destas encenações tem implicações completamente diferentes e será discutida com maiores detalhes abaixo.

Os clientes HTTP que não residem em sua rede podem ao proxy completamente


O WSA, à revelia, proxy todo o pedido do HTTP enviado a ele, supor o pedido está ligada na porta que o WSA está escutando sobre (os padrões são 80 e 3128). Isto pode levantar para ser um problema para você, porque você não pode querer nenhum cliente de nenhuma rede poder usar o WSA. Isto é pode ser uma edição enorme se o WSA está usando o endereço IP público e é acessível do Internet.


Há 2 maneiras que este pode ser remediado:

1. Utilize um Firewall rio acima a WSA a fim obstruir origens não autorizada do acesso HTTP.

2. Crie grupos de política para permitir somente os clientes em suas sub-redes desejadas. Uma demonstração simples desta política está abaixo:

Grupo de política 1: Aplica-se à sub-rede 10.0.0.0/8 (supor isto é sua rede cliente). Adicionar suas ações desejadas.
Política padrão: Obstrua todos os protocolos - HTTP, HTTPS, FTP sobre o HTTP


Umas políticas mais detalhadas podem ser criadas acima do grupo de política 1. enquanto outras regras se aplicam somente às sub-redes apropriadas do cliente, todo tráfego restante travarão “negam toda a” regra na parte inferior.

Os clientes estão usando requisições de conexão HTTP escavar um túnel não completamente o tráfego de HTTP


As requisições de conexão HTTP são usadas escavar um túnel não dados HTTP através de um proxy HTTP. O uso o mais comum de uma requisição de conexão HTTP é escavando um túnel o tráfego HTTPS. Para que explicitamente um cliente configurado alcance um local HTTPS, DEVE primeiramente enviar a uma requisição de conexão HTTP o WSA.

Um exemplo de uma requisição de conexão é como esta'n: CONECTE http://www.website.com:443/ HTTP/1.1

Isto diz ao WSA que o cliente deseja escavar um túnel com o WSA a http://www.website.com/ na porta 443.


As requisições de conexão HTTP podem ser usadas para escavar um túnel toda a porta. Devido às edições de segurança potencial, o WSA permite somente requisições de conexão às seguintes portas à revelia:

20, 21, 443, 563, 8443, 8080


Se é precisado de adicionar adicional CONECTE portas do túnel, por razões de segurança, ele está recomendado que você as adiciona em um grupo de política adicional que se aplique somente às sub-redes do IP de cliente que precisam este acesso adicional. Permitidos CONECTAM portas podem ser encontrados em cada grupo de política, sob “aplicativos” - > “controles de protocolo”.


Um exemplo de enviar um pedido S TP com um proxy aberto está abaixo:
telnet proxy.mydomain.com 80 myhost$
Xxx.xxx.xxx.xxx de tentativa…
Conectado a proxy.mydomain.com.
O caractere de escape é “^]”.
CONECTE smtp.foreigndomain.com:25 HTTP/1.1
Host: smtp.foreigndomain.com

Conexão HTTP/1.0 200 estabelecida

220 smtp.foreigndomain.com ESMTP
Teste HELO
250 smtp.foreigndomain.com



Document ID: 117933