Segurança : Cisco Web Security Appliance

Teamviewer não trabalha sobre WSA no modo transparente quando a autenticação é permitida

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Pergunta

Por que o agente de Teamviewer não trabalha quando a autenticação é permitida na Segurança Aplliance da Web de Cisco (WSA)?

Contribuído por Sebastian Dullinger e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

Ambiente

Ferramenta de segurança da Web de Cisco (WSA), e alguma versão de AsyncOS.

Sintomas

Os tempos do agente de Teamviewer para fora e as entradas das mostras dos accesslogs que contêm 401 ou 407 erros que indicam a “autenticação de proxy exigiram”.

Os agentes de Teamviewer não trabalham com autenticação - significado quando os pedidos WSA para a autenticação do aplicativo de TeamViewer, o aplicativo não podem fornecer as credenciais do domínio. Assim é necessário exclui-lo da autenticação.

A isenção da autenticação é exigida se WSA é configurado para usar Cookie como substitutos nas identidades (GUI > gerenciador de segurança > identidades da Web).

Se as identidades são configuradas aos substitutos do endereço IP de Um ou Mais Servidores Cisco ICM NT, a seguir as etapas abaixo não podem ser exigidas porque as credenciais do cliente são postas em esconderijo por um período igual ao intervalo substituto (padrão = 1 hora) uma vez que elas alcançam alguns Web site usando seu navegador.

  • Nota: No modo explícito (usando ajustes do proxy do arquivo ou de navegador PAC), assegure-se de por favor que a aplicação os mesmos ajustes substitutos à opção dianteira explícita dos pedidos esteja verificada
  • Nós podemos ainda usar as etapas abaixo para contornear a autenticação se nós vemos intermitentemente 401s/407s em logs do acesso ao alcançar Teamviewer.

Para configurar a isenção da autenticação para Teamviewer, siga por favor estas etapas:

Passo 1: Crie uma categoria do costume URL

O agente de Teamviewer conecta aos server diferentes com os endereços IP de Um ou Mais Servidores Cisco ICM NT diferentes, assim que é necessário estabelecer algumas expressões regulares.

  1. Navegue à Web GUI > gerenciador de segurança da Web > categorias feitas sob encomenda URL.

  2. Clique o botão feito sob encomenda da categoria adicionar….

  3. Escolha um nome da categoria.

  4. Nos locais coloque, entre no seguinte:  .teamviewer.com, dyngate.com.

  5. O clique avançado e no campo das expressões regulares, adiciona o seguinte: 
    ruído \ .aspx  
    dout \ .aspx

  6. Submeta e comprometa suas mudanças.

Passo 2: Adicionar uma identidade nova

  1. Navegue à Web GUI > gerenciador de segurança > identidades da Web.

  2. Clique o botão da identidade adicionar….

  3. Crie a identidade sem a autenticação.

  4. Clique o menu suspenso avançado e não clique então o nenhuns link selecionado à direita das categorias URL.

  5. Adicionar a categoria recém-criado do costume URL (veja por favor acima) à identidade selecionando a fileira correta.

  6. Submeta e comprometa suas mudanças.

Passo 3: Adicionar a identidade nova a uma política de acesso

Há duas possibilidades para fazer isto; você pode usar uma política de acesso existente ou criar um novo.

Workaround para usar uma política de acesso existente

  1. Navegue à Web GUI > gerenciador de segurança > políticas de acesso da Web.
  2. Para a política de acesso nomeie onde o costume URL deve ser permitido, clicam o link sob a coluna das categorias URL.

  3. Clique o link do [include] na categoria feita sob encomenda recém-criado, e ajuste a ação para reservar ou monitorar.

  4. Submeta e comprometa suas mudanças.

Workaround para usar uma política de acesso nova

  1. Navegue à Web GUI > gerenciador de segurança > políticas de acesso da Web.

  2. Clique sobre o botão da política adicionar….

  3. Escolha um <Policy Name>.

  4. Clique sobre as identidades e os usuários deixam cair para baixo a lista e escolhem a identidade recém-criado.

  5. Submeta e comprometa suas mudanças.


Document ID: 118282