セキュリティ : Cisco Web セキュリティ アプライアンス

HTTPS トラフィックのためのログオンされたアクセス ログとは何か。

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次


著者:Cisco TAC エンジニア、Kei Ozaki および Siddharth Rajpathak

質問:

HTTPS トラフィックのためのログオンされたアクセス ログとは何か。

環境: AsyncOS バージョン 7.1.x および それ 以上を実行する Cisco Web セキュリティ アプライアンス(WSA)有効に なる HTTPS プロキシ

正常な HTTPトラフィックと比較される方法 Cisco Web セキュリティ アプライアンス(WSA)ログ HTTPS トラフィックは異なっています。  アクセスログに記録された HTTPS エントリは要求がどのようにによって扱われたか異なっている検知 します。 一般にそれに正常な HTTPトラフィックと比較される異なる特性があります。

記録 される何がどんな配置モードをによって使用しているか決まります(明示的 な前方モードか透過モード)。

最初に読み取り アクセス ログ容易に助けるいくつかのキーワードを検知 しよう。

TCP_CONNECT -トラフィックが透過的に受信されたことをこれは示します(WCCP か L4 リダイレクトによって…等)
接続応答-トラフィックが明示的に受信されたことをこれは示します
DECRYPT_WBRS - WSA が WBRS スコアによるトラフィックを復号化することにしたことをこれは示します
PASSTHRU_WBRS - WSA がパススルーに WBRS スコアによるトラフィックを決定したことをこれは示します
DROP_WBRS - WSA が WBRS スコアによるトラフィックを廃棄することにしたことをこれは示します

  • HTTPS トラフィックが復号化される場合、WSA は 2 つのエントリを記録 します。
  • 受け取った要求および復号化された URL を示す「GET https://」の種類による TCP_CONNECT接続応答
  • 完全な URL は WSA がトラフィックを復号化する場合だけ目に見えます。

またそれに注意して下さい:

  • 透過モードでは、WSA は宛先 IP アドレスだけを最初に見ます
  • 明示モードでは、WSA は宛先ホスト名を見ます

アクセスログで見るものをのいくつかの例は下記にあります:

透過的な-復号化
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 イメージ/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> -
透過パススルー
1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
透過的な-ドロップする
1252543418.175 430 192.168.30.103 TCP_DENIED/403 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,-9.1.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
明示的-復号化
10.66.71.105 252543558.405 385 TCP_CLIENT_REFRESH_MISS_SSL/200 40 接続応答 tunnel://www.example.com:443/ -直接 www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - www.example.com 直接イメージ/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> -
明示的-パススルー
10.66.71.105 1252543491.302 568 TCP_CLIENT_REFRESH_MISS/200 2256 接続応答 tunnel://www.example.com:443/ -直接 www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
明示的-ドロップする
10.66.71.105 1252543668.375 1 TCP_DENIED/403 1578 接続応答 tunnel://www.example.com:443/ -どれも- DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,-,-,-,-,-,-,-> -


Document ID: 118152