Безопасность : устройство защиты веб-трафика Cisco

Как предотвратить веб-Устройство безопасности, чтобы быть открытым прокси

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Внесенный Джошем Уолфером и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Вопрос:


Среда
: Cisco Web Security Appliance (WSA), все версии AsyncOS

Существует две области, где WSA, как могут полагать, является открытым прокси:

  1. Клиенты HTTP, которые не находятся в вашей сети, в состоянии проксировать через
  2. Клиенты используют Запросы соединения HTTP для туннелирования трафика HTTP non через

Каждый из этих сценариев имеет абсолютно другие последствия и будет обсужден более подробно ниже.

Клиенты HTTP, которые не находятся в вашей сети, в состоянии проксировать через


WSA, по умолчанию, проксирует любой запрос HTTP, передаваемый ему, предполагая, что запрос на находится на порту, WSA слушает на (настройки по умолчанию равняются 80 и 3128). Это может позировать, чтобы быть проблемой для вас, поскольку вы не можете хотеть, чтобы любой клиент от любой сети был в состоянии использовать WSA. Это, может быть огромная проблема, если WSA использует открытый IP - адрес и доступен из Интернета.


Существует 2 способа, которыми это может быть исправлено:

1. Используйте межсетевой экран в восходящем направлении к WSA для блокирования неавторизованный источников от доступа HTTP.

2. Создайте группы политик, чтобы только позволить клиентам на ваших желаемых подсетях. Простая демонстрация этой политики ниже:

Группа политик 1: Применяется к подсети 10.0.0.0/8 (предполагающий, что это - ваша клиентская сеть). Добавьте свои необходимые действия.
Политика по умолчанию: Заблокируйте все протоколы - HTTP, HTTPS, FTP по HTTP


Более подробная политика может быть создана выше Группы политик 1. Пока другие правила только применяются к соответствующим подсетям клиента, весь другой трафик поймает, "запрещают все" правило в нижней части.

Клиенты используют Запросы соединения HTTP для туннелирования трафика HTTP non через


Запросы соединения HTTP используются для туннелирования данных HTTP non через HTTP прокси. Наиболее распространенное использование Запроса соединения HTTP для туннелирующего Трафика HTTPS. Для явно настроенного клиента для доступа к узлу HTTPS это MUST сначала передает Запросу соединения HTTP WSA.

Пример Запроса соединения как таков: ПОДКЛЮЧИТЕ http://HTTP/1.1 www website.com:443/

Это говорит WSA, что клиент желает туннелировать через WSA к http://www.website.com/на порту 443.


Запросы соединения HTTP могут использоваться для туннелирования любого порта. Из-за проблем потенциальной угрозы безопасности, WSA только позволяет Запросы соединения следующим портам по умолчанию:

20, 21, 443, 563, 8443, 8080


Если необходимо добавить дополнительные туннельные порты ПОДКЛЮЧЕНИЯ из соображений безопасности, рекомендуется добавить их в дополнительной группе политик, которая применяется только к подсетям IP-адреса клиента, которым нужен этот дополнительный доступ. Позволенные порты ПОДКЛЮЧЕНИЯ могут быть найдены в каждой группе политик, в соответствии с "Приложениями"-> "Контроль протокола".


Пример отправления запроса SMTP через открытый прокси ниже:
myhost$ telnet proxy.mydomain.com 80
Попытка xxx.xxx.xxx.xxx...
Связанный с proxy.mydomain.com.
Символ выхода является '^]'.
HTTP/1.1 smtp foreigndomain.com:25 ПОДКЛЮЧЕНИЯ
Хост: smtp.foreigndomain.com

HTTP/1.0 200 Соединений установлен

220 smtp.foreigndomain.com ESMTP
Тест HELO
250 smtp.foreigndomain.com



Document ID: 117933