Безопасность : устройство защиты веб-трафика Cisco

Как обойти аутентификацию для определенных клиентов User Agent?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Джошем Уолфером и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Вопрос:

Как обойти аутентификацию для определенных клиентов User Agent на Cisco Web Security Appliance (WSA)?

Среда:
Cisco Web Security Appliance (WSA), Все версии AsyncOS 7.x и выше

При обходе аутентификации для конкретного приложения с помощью его клиента User Agent, два процесса шага.

Шаг 1: Определите строку агента пользователя, используемую приложением

 Определите клиента User Agent, используемого приложением


1. Для стандартных применений, должна существовать возможность для обнаружения строки агента пользователя на ниже веб-сайтов
http://www.user-agents.org/
http://www.useragentstring.com/pages/useragentstring.php
http://www.infosyssec.com/infosyssec/security/useragentstrings.shtml


2. Вы могли также решить, что строка агента пользователя от доступа входит в систему устройства. Выполните действия ниже:

  • Браузер к GUI-> "Администрирование системы"-> "Регистрационная Подписка"-> 'Журналы доступа'
  • Добавьте %u в полях Custom
  • Отправьте и передайте изменения
  • Grep или хвост доступ регистрируют на основе IP-адреса клиента
  • Строка агента пользователя должна быть расположена в конце строки журнала доступа

Пример: Для браузера Chrome вы видели строку агента пользователя как Mozilla/5.0 (Windows; U; Windows NT 5.1; US en) AppleWebKit/525.13 (KHTML, как Геккон) Chrome/0. X . Safari/525.13 Y.Z.)


Шаг 2 ---- -------------------------------- --------- : Настройте WSA для обхода аутентификации для строк агента пользователя

 Обойдите Аутентификацию для клиентов User Agent
  1. Выберите "Web Security Manager"-> "Identities" и щелкните по "Add Identity"
    • Name: Клиент User Agent идентичность AuthExempt
    • Вставьте Выше: Набор к заказу 1
    • Определите Участников Подсетью: Пробел (или Вы могли также определить Диапазон IP-адресов / подсеть),
    • Определите участников аутентификацией: никакая требуемая аутентификация
    • Усовершенствованный-> "Клиенты User Agent": Щелкните по "None Selected" и под Пользовательскими клиентами User Agent: Задайте Строку агента пользователя
  2. Выберите "Web Security Manager"-> "Access Policies" и щелкните по "Add Policy".
    • Policy-name: Подлинное освобождение для клиентов User Agent
    • Вставьте выше политики: набор к заказу 1
    • Identity policy: "Клиент User Agent идентичность AuthExempt"
    • Усовершенствованный: Нет

Вышеупомянутая конфигурация должна освободить аутентификацию для агентов указанного пользователя.

Обратите внимание на то, что политика доступа все еще фильтровала бы (на основе категорий URL) и просмотр (McAfee, Webroot) трафик согласно настройке политики доступа.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.