セキュリティ : Cisco Web セキュリティ アプライアンス

Web セキュリティ アプライアンスを開いたプロキシであるために防ぐ方法

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

Cisco TAC エンジニア、Josh Wolfer および Siddharth Rajpathak により寄稿されました。

質問:


環境: Cisco Web セキュリティ アプライアンス(WSA)、AsyncOS のすべてのバージョン

WSA が開いたプロキシの考慮することができる 2 つのエリアがあります:

  1. ネットワークに住まない HTTP クライアントはプロキシにできます
  2. クライアントは HTTPトラフィックを非トンネル伝送する HTTP 接続要求を使用しています

これらのシナリオのそれぞれに全く異なる影響があり、後でより詳しく説明されています。

ネットワークに住まない HTTP クライアントはプロキシにできます


WSA は、デフォルトで、プロキシそれに送信 されるあらゆる HTTP 要求 要求を仮定することは WSA が受信しているポートについています(デフォルトは 80 3128)であり。 これは WSA を使用あらゆるネットワークからのクライアントをできてほしくない場合もあるのであなたのための問題であるために提起するかもしれません。 これは WSA がパブリックIPアドレスを使用していて、インターネットからアクセス可能なら巨大な問題である場合もありますあります。


これが直すことができること 2 つの方法があります:

1. HTTP アクセスからの許可されていないソースをブロックするために WSA にファイアウォール アップストリームを利用して下さい。

2. 望ましいサブネットのクライアントしか許可しないためにポリシー グループを作成して下さい。 このポリシーの簡単なデモは下記のようにあります:

ポリシー グループ 1: 適用対象 サブネット 10.0.0.0/8 (これを仮定することはクライアント ネットワークです)。 望ましい アクションを追加して下さい。
Default policy: ブロックして下さいすべてのプロトコル- HTTP、HTTPS、HTTP 上の FTP


より詳しいポリシーはポリシー グループ 1.の上で下部ので他のルールが適切なクライアント の サブネットにだけ適用される限り、他のすべてのトラフィックつかまえます「拒否をすべての」ルール作成されるかもしれません。

クライアントは HTTPトラフィックを非トンネル伝送する HTTP 接続要求を使用しています


HTTP 接続要求が HTTP プロキシによって HTTP データを非トンネル伝送するのに使用されています。 HTTP 接続要求のもっとも一般的な 使用方法は HTTPS トラフィックをトンネル伝送するのためです。 HTTPS サイトにアクセスする明示的に 設定 された クライアントのためにそれは WSA 最初に HTTP 接続要求を送信 する必要があります。

接続要求の例は自体あります: 接続応答 http://www.website.com:443/ HTTP/1.1

これはクライアントがポート 443 の http://www.website.com/ に WSA によってトンネル伝送することを望むことを WSA に告げます。


HTTP 接続要求がポートをトンネル伝送するのに使用することができます。 潜在的なセキュリティ上の問題が原因で、WSA は次のポートにだけ接続要求をデフォルトで可能にします:

20、21、443、563、8443、8080


追加接続応答 トンネル ポートを、セキュリティの理由から追加するためになら、必要この追加アクセスを必要とするクライアントIP サブネットにだけ適用する追加ポリシー グループでそれらを追加することが推奨されます。 許可された接続応答 ポートは「アプリケーション」の下の各ポリシー グループで- > 「プロトコル 制御」、検出することができます。


開いたプロキシによる SMTP 要求を送信 する例は下記のようにあります:
myhost$ telnet proxy.mydomain.com 80
試みる xxx.xxx.xxx.xxx…
proxy.mydomain.com に接続される。
Escape character is '^]'.
接続応答 smtp.foreigndomain.com:25 HTTP/1.1
ホスト: smtp.foreigndomain.com

確立される HTTP/1.0 200 接続

220 smtp.foreigndomain.com ESMTP
ヘリコプター テスト
250 smtp.foreigndomain.com


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117933