セキュリティ : Cisco Web セキュリティ アプライアンス

トラフィックはどのように Cisco Web セキュリティ アプライアンス(WSA)ハンドル Skype か。

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

著者:Vladimir Sousa および Siddharth Rajpathak、Cisco TAC エンジニア

質問:

トラフィックはどのように Cisco Web セキュリティ アプライアンス(WSA)ハンドル Skype か。

環境: Cisco WSA、Skype

Skype は独自のインターネットテレフォニー(VoIP)ネットワークです。 Skype はピアツーピア な プログラムとして主に動作します、従ってセントラルサーバと動作するために直接通信しません。 Skype は多くのさまざまな方法で接続するように試みるのでブロックし特ににくい場合もあります。

Skype はプリファレンスの以下の順で接続します:

  1. ランダム ポート番号を使用して他の同位への直接 UDP パケット
  2. ランダム ポート番号を使用して他の同位への直接 TCP パケット
  3. ポート 80 および/またはポート 443 を使用して他の同位への直接 TCP パケット
  4. ポート 443 への HTTP 接続応答を使用して Web プロキシによるトンネル伝送されたパケット

明示的 な プロキシ 環境で展開されたとき、メソッドは Cisco WSA に 1-3 決して送られません。 Skype をブロックするために、それはネットワークの別の位置から最初にブロックする必要があります。 Skype ステップは 1-3 を使用してブロックすることができます:

  • ファイアウォール: Skype バージョン 1 をブロックするのに NBAR を使用して下さい。 http://ciscotips.wordpress.com/2006/06/07/how-to-block-skype/ を参照して下さい
  • Cisco IPS (ASA): Cisco ASA はシグニチャによって可能性としては Skype を検出してブロックすることができます。

Skype が明示的 な プロキシの使用に戻って下るとき、Skype は慎重に HTTP 接続要求(ユーザ エージェント ストリング無し)のクライアント詳細を提供しません。 これは Skype と有効な接続要求を区別すること困難にします。 Skype はポート 443 に常に接続し、宛先アドレスは IP アドレス常にです。

例:

接続応答 10.129.88.111:443 HTTP/1.0
プロキシ接続: キープアライブ


次のアクセスポリシーは IP アドレスおよびポート 443 と一致する WSA によって接続要求をブロックします。 これは Skype すべてのトラフィックを一致する。 ただし、ポート 443 の IP アドレスにトンネル伝送することを試みる非Skype プログラムは同様にブロックされます。


Skype ブロックします- HTTPS プロキシがディセーブルの状態で明示的 な 環境

IP およびポート 443 トラフィックを一致するためにカスタム URL カテゴリを作成して下さい:

  1. 「Security Manager」へのナビゲートは- > 「カスタム URL カテゴリー」- > 「カスタム カテゴリ」を追加します。
  2. 「カテゴリ名」に記入し、「進みました」拡張して下さい。
  3. 正規表現 ウィンドウで "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" を使用して下さい。

アクセスポリシーで否定するためにこのカテゴリを設定 して下さい:

  1. 「Web セキュリティ マネージャ」へのナビゲート- > 「アクセスポリシー」。
  2. 適切なポリシー グループのための「URL カテゴリー」カラムの下でリンクをクリックして下さい。
  3. 「カスタム URL カテゴリ フィルタリング」セクションでは、Skype 新しいカテゴリのために"Block"を 選択する。
  4. 変更を入れ、保存して下さい

注: 明示的 な 接続要求は HTTPS プロキシサービスが無効である場合だけブロックすることができます!


WSA HTTPS 復号化が有効に なるとき、Skype トラフィックはそれが全く HTTPS トラフィック(443) 接続応答およびポートを使用する悪意ではないので多分壊れるかもしれません。 これは WSA によって生成された 502 エラーという結果に終り、接続は破棄されます。 (WSA で復号化されるが) IP アドレスへのどの実質 HTTPS Webトラフィックでもはたらき続けます。


Skype ブロックします-有効に なる HTTPS プロキシの明示的 で/透過的な環境

IP およびポート 443 トラフィックを一致するためにカスタム カテゴリを作成して下さい:

  1. 「Security Manager」へのナビゲートは- > 「カスタム URL カテゴリー」- > 「カスタム カテゴリ」を追加します。
  2. 「カテゴリ名」に記入し、「進みました」拡張して下さい。
  3. 正規表現 ウィンドウで "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" を使用して下さい。

復号化ポリシーで復号化するためにこのカテゴリを設定 して下さい:

  1. 「Web セキュリティ マネージャ」へのナビゲート- > 「復号化ポリシー」。
  2. 適切なポリシー グループのための「URL カテゴリー」カラムの下でリンクをクリックして下さい。
  3. 「カスタム URL カテゴリ フィルタリング」セクションでは、Skype 新しいカテゴリのために"Decrypt"を 選択する。
  4. 変更を入れ、保存して下さい。

注: Skype トラフィックが IP に送信 されるので、それは「未分類 URL」の一部として考慮されます。 操作はまたはパススルー復号化するべきであるかどうかによって上で発生すると同じ効果。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118094