セキュリティ : Cisco Web セキュリティ アプライアンス

コンピュータ マシン名か NULL ユーザ名はなぜログオンされたアクセスログですか。

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

質問

  • コンピュータ マシン名か NULL ユーザ名はなぜログオンされたアクセスログですか。
  • どのようにワークステーションを使用して要求かより遅い認証免除のための NULL 資格情報を識別しますか。

環境

  • Cisco Web セキュリティ アプライアンス(WSA) -すべてのバージョン
  • IP サロゲートとの認証機構 NTLMSSP
  • Windows Vista およびより新しいデスクトップおよびモービル Microsoft オペレーション システム

症状

WSA は何人かのユーザからの要求をブロックするか、または予想に反して動作します。
アクセスログはユーザー ID の代りにコンピュータ マシン名か NULL ユーザ名およびドメイン表記します。

問題はそれ自身を後解決します:

  • 代用物は時間を計ります(代用タイムアウトのデフォルト値は 60 分です)
  • 再起動プロキシ プロセス(CLI コマンド > 診断 > プロキシ > 蹴り)の
  • フラッシュ認証 キャッシュ(CLI コマンド > authcache > flushall

背景説明

マイクロソフトオペレーティングシステムの最近のバージョンでは、実際のユーザがインターネットへの Send 要求へのアプリケーションのためにもうもうログオンされることが必要となりません。 それらの要求が WSA によって受け取られ、認証するように要求されるときユーザーの資格情報は代りに代替のコンピュータのマシン名を奪取 するかもしれないクライアントワークステーションによって認証のために使用して利用できません。

WSA はつけられたマシン名を奪取 し、Active Directory (AD)にそれを検証する転送します。

有効な認証によって、WSA はワークステーションの IP アドレスにマシンのワークステーション名前を結合 して いる IP サロゲートを作成します。 同じ IP から来るそれ以上の要求はサロゲートおよびこうしてワークステーション名前を使用します。

あらゆる AD グループのメンバーでなくてワークステーション名前が要求は期待されたアクセスポリシーを引き起こし、こうしてブロックされないかもしれません。 問題はサロゲートが時間を計り、認証が更新されなければならないまで持続します。 ログオンされた実際のユーザおよび利用可能 な 有効 な ユーザ 資格情報との今回、新しい IP サロゲートはこの情報で作成され、それ以上の要求は期待されたアクセスポリシーを一致する。

見られるもう一つのシナリオはアプリケーションが無効 な 資格情報(NULL ユーザ名および NULL ドメイン)および無効 な マシン 資格情報を送信 するときあります。 これは認証失敗とみなされ、ブロックされますまたはゲスト ポリシーが有効に なれば、壊れる auth は「ゲスト」として考慮されます。

ワークステーション名前はワークステーション名前を $@ のためにアクセスログの CLI コマンド グレップを使用することによってトレースすること容易にさせる @DOMAIN に先行している $ で終了します。 説明については下記の例を参照して下さい。

> grep $@ accesslogs

1332164800.0000 9 10.20.30.40 TCP_DENIED/403 5608 GET http://www.someURL.com
"gb0000d01$@DOMAIN" NONE/- - BLOCK_WEBCAT_11-DefaultGroup-Internet-NONE-NONE-
NONE-NONE <-,-,"-","-",-,-,-,"-","-",-,-,"-",-,"-","-",-,"-","-","-","-","-","-",
0.00,0,-,"-","-"> -

上記のラインは既に IP アドレス 10.20.30.40 およびマシン名 gb0000d01 $ のために作成されてしまった IP 代用物の例を示します

マシン名を送信した要求を見つけるために、特定の IP アドレスのワークステーション名前の最初の発生は識別されなければなりません。 次の CLI コマンドはこれを達成します:

> grep 10.20.30.40 -p accesslogs

ワークステーション名前の最初の発生を結果を捜して下さい。 3 つの最初要求は(NTLMSSP/NTLMSSP)ハンドシェイク単一罪の NTLM としてここに記述され、下記の例で示されているように一般に認識されます:

1335248044.836 0 10.20.30.40 TCP_DENIED/407 1733 GET http://SomeOtherURL.com -
NONE/- - OTHER-NONE-DefaultGroup-NONE-NONE-NONE-NONE
<-,-,"-","-",-,-,-,"-","-",-,-,"-",-,"-","-",-,"-","-","-","-","-","-",
0.00,0,-,"-","-"> -

1335248044.839 0 10.20.30.40 TCP_DENIED/407 483 GET http://SomeOtherURL.com -
NONE/- - OTHER-NONE-DefaultGroup-NONE-NONE-NONE-NONE
<-,-,"-","-",-,-,-,"-","-",-,-,"-",-,"-","-",-,"-","-","-","-","-","-",
0.00,0,-,"-","-"> -

1335248044.845 10 10.20.30.40 TCP_DENIED/403 2357 GET http://SomeOtherURL.com
"gb0000d01$@DOMAIN" NONE/- - BLOCK_ADMIN_PROTOCOL_11-DefaultGroup-DefaultGroup-
DefaultGroup-NONE-NONE-NONE
<-,-,"-","-",-,-,-,"-","-",-,-,"-",-,"-","-",-,"-","-","-","-","-","-",
0.00,0,-,"-","-"> -

解決した場合、これらの thee 要求が同じ URL のため、短い時刻間隔それが自動化された NTLMSSP ハンドシェイクであること indicatiting 非常にログオンされるようにして下さい。 

上述の例では、先行する要求は明示的 な 要求のための HTTP応答コード 407 (必要なプロキシ認証)と透過的な要求は HTTP応答コード 401 と記録 されるが、記録 されます(非認証)。

マシン 資格情報のための別の代用タイムアウトを定義できるところで AsyncOS 7.5.0 でおよびより高い利用可能 な 新しい 機能があります。 それは次のコマンドを使用して設定することができます:

> advancedproxyconfigChoose a parameter group:- AUTHENTICATION - Authentication
related parameters- CACHING - Proxy Caching related parameters- DNS - DNS related
parameters- EUN - EUN related parameters- NATIVEFTP - Native FTP related parameters-
FTPOVERHTTP - FTP Over HTTP related parameters- HTTPS - HTTPS related parameters-
SCANNING - Scanning related parameters- WCCP - WCCPv2 related parameters-
MISCELLANEOUS - Miscellaneous proxy relatedparameters[]> AUTHENTICATION...Enter the
surrogate timeout.[3600]>Enter the surrogate timeout for machine credentials.[10]>.

どの要求が NULL 資格情報を送信 されて 検出するのに同じステップを使用得るでき、どの URL かユーザ エージェントが無効 な 資格情報を送信 して いる検出し、認証かかからそれらを免除します。

認証からの URL の免除

作成します偽サロゲートをこの要求を防ぐために URL は認証から免除されなければなりません。または、認証からの URL、認証からの要求を自体を免除するかわりに送信 する アプリケーションを免除することにするかもしれ認証から免除されるアプリケーションのための要求を得ることを確かめます。 これは WSA のアクセスログ予約購読のオプションの Custom フィールドの追加パラメータ %u の追加がアクセスログ ログオンされるユーザ エージェントの追加によって可能性のあるです。 ユーザ エージェントを識別した後、それは認証から免除されなければなりません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118423