Cisco クラウド Web セキュリティ

Cisco クラウド Web セキュリティ トラブルシューティング ガイド

トラブルシューティング ガイド





Cisco クラウド Web セキュリティ トラブルシューティング ガイド



目次

はじめに
クラウド Web セキュリティ プロキシへの接続
    接続の確認
    ASA の問題と CWS プロキシの問題の区別
    ライセンスの問題
Cisco クラウド Web セキュリティの機能
    タイム ゾーンの不一致
    セッション フロー

はじめに


このドキュメントでは、Cisco Adaptive Security Appliance(ASA)ソフトウェア 9.0 で実行されている Cisco® クラウド Web セキュリティ(CWS)で発生する一般的な問題を解決するヒントについて説明します。Cisco ASA とそこで実行されている CWS コネクタについて理解していることを前提としています。さらに、Cisco クラウド Web セキュリティがすでに ASA で設定されており、Cisco クラウド Web セキュリティの管理者ポータルである Cisco ScanCenter から適切なライセンスを取得していることも前提としています。

Cisco クラウド Web セキュリティと適応型セキュリティ アプライアンスの統合の詳細については、Cisco クラウド Web セキュリティの設定ガイド(http://tools.cisco.com/squish/eF3bE)を参照してください。

以降のセクションでは、ASA から CWS プロキシへの接続、CWS の機能、およびユーザ エクスペリエンスについて説明します。これらのセクションでは、それぞれ前のセクションに基づいて説明されているため、セクションの順序どおりにトラブルシューティングしてください。次のセクションに移動する前に、前のセクションの問題を解決する必要があります。

クラウド Web セキュリティ プロキシへの接続


ASA が CWS プロキシに接続できない場合、CWS は正しく動作しません。このセクションでは、ASA が CWS プロキシに接続できるかどうかを調べる方法と、プロキシに接続できない場合に考えられる解決手順について説明します。

接続の確認

プロキシへの接続を確認するには、show content-scan summary コマンドを発行します。その後表示される設定からわかるように、CWS プロキシとの接続が確立されている場合は、「(REACHABLE)」とカッコ付きで表示されます。

ciscoasa(config)# show scansafe server
Primary: proxy197.scansafe.net (72.37.244.115) (REACHABLE)*
Backup: proxy137.scansafe.net (80.254.152.99) 

いずれかのプロキシに「(UNREACHABLE)」と表示された場合、ASA はそのプロキシに接続していないと思われます。

# sh scansafe server 
Primary: proxy555.scansafe.net (NOT RESOLVED) (UNREACHABLE) for last 12 secs, tried to connect 0 times
Backup: proxy666.scansafe.net (NOT RESOLVED) (UNREACHABLE) for last 12 secs, tried to connect 0 times

CWS プロキシへの Telnet 接続を確立して、接続をテストすることもできます。TCP ping を実行し、設定で指定したポートを使用してプロキシの IPアドレスまたは完全修飾ドメイン名に接続します。成功率が 0 より高い場合、タワーに接続しています。成功率が 0 の場合、接続していません。

!Connectivity between ASA and ScanSafe Tower
# ping tcp proxy197.scansafe.net 8080
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 72.37.244.115 port 8080
from xxx.xxx.xxx.xxx, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 21/22/23 ms

!No connectivity between ASA and ScanSafe Tower

# ping tcp proxy197.scansafe.net 8080
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 72.37.244.115 port 8080
from xxx.xxx.xxx.xxx, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)

次のステップ

  • ルーティングをチェックし、ネットワークが CWS プロキシに接続できることを確認します。
  • タワーへの接続をブロックしているファイアウォールがないことを確認します。
  • サポートに問い合わせる必要がある場合、Cisco Technical Assistance Center(Cisco TAC)でケースをオープンします。

ASA の問題と CWS プロキシの問題の区別

どちらのプロキシにもアクセスでき、TCP を使用して TCP に接続できることを確認したが、参照時に空白のページが表示される場合、問題が ASA と CWS プロキシのどちらにあるのかを特定します。サポート ケースをオープンする必要がある場合、適切な連絡先にケースを報告すると解決がスピードアップします(ASA 側と CWS 側のどちらか)。問題の発生源を特定するには、ブラウザのプロキシ設定でプロキシ IP を直接設定し、ASA をバイパスします。このバイパスにより、ASA とプロキシのどちらに問題があるのかを特定できます。

ASA をバイパスすると、ASA で設定されたライセンスが使用されないため、タワーにより権限を持つユーザとして認識されません。CWS プロキシが、許可されたトラフィックとして認識できるようにするには、まず ScanCenter のスキャン IP リストに出力 IP アドレスを追加します。出力 IP アドレスは、コンピュータまたはクライアントで www.whatismyip.com にアクセスすることで確認できます。次の例に、出力 IP アドレスをスキャン IP の CWS リストに追加する方法を示します。

  1. ScanCenter で、[Admin] タブをクリックし、[Your account] で [Scanning IPs] を選択します。

  2. リストに出力 IP アドレスをサブネット マスクと共に入力し、[Submit] をクリックします。

  3. スキャン IP が変更されたことを確認するメッセージが表示されます。


次の例に、Internet Explorer(IE)でプロキシを設定する方法を示します。手順は、ブラウザのバージョンにより異なる場合があります。

  1. IE で、[ツール] → [インターネット オプション] に移動します。

  2. [接続] タブで [LAN の設定] をクリックします。

  3. [プロキシ サーバー] セクションで、[LAN にプロキシ サーバーを使用する] チェックボックスをオンにします。[アドレス] に CWS プロキシの IP アドレス、[ポート] にポート番号を入力し、完了したら [OK] をクリックします。


Web サイトを参照してみます。ASA がバイパスされます。正しく参照できた場合、問題は ASA にあると考えられます。設定とルーティングを確認してください。参照できない場合、問題は CWS プロキシにあると考えられるため、シスコの担当者に問い合わせる必要があります。

注: ユーザによってこのページがロードされるかどうかが異なる場合、ページがロードされないユーザが CWS を経由せずに別のプロキシ サーバを使用していないかどうかを確認します。

次のステップ

  • ブラウザでプロキシを設定したら参照できるようになった場合、問題は ASA 側にあります。サポートに問い合わせる必要がある場合、Cisco TAC でケースをオープンします。
  • ブラウザでプロキシを設定しても参照できない場合、問題は CWS プロキシ側にあります。サポートに問い合わせる必要がある場合、Cisco TAC でケースをオープンします。

ライセンスの問題

無効な CWS ライセンスを使用している場合、show scansafe server コマンドを発行しても、タワーの接続に関して「REACHABLE」と表示される可能性があります。しかし、ライセンスの問題がある場合、参照しようとすると次のような「403 Forbidden」エラー メッセージが表示されます。


次のステップ

  • Cisco ScanCenter ポータルで提供されたキーを使用して、正しいライセンス キー情報を入力したことを確認します。

# sh run scansafe 
!
scansafe general-options
 server primary fqdn proxy197.scansafe.net port 8080
 server backup fqdn proxy137.scansafe.net port 8080
 retry-count 5
!
!!Make sure the license key on the router is correct
 license AEXXXXXXXXXXXXXXXXXXXXXXXXXXAA39 encrypted

  • キーの設定が間違っていた場合は、ScanCenter で新しいキーを生成して送信することもできます。キーを生成して送信する方法の詳細については、『ScanCenter 管理者ガイド』を参照してください。
  • 正常なライセンスまたはキーを取得できない場合は、Cisco TAC に問い合わせてください。

Cisco クラウド Web セキュリティの機能


このセクションでは、ユーザが Web サイトにアクセスできない他の状況について考えます。ここでは、ASA が CWS プロキシに接続していることを前提としています。接続しているかどうかわからない場合は、「Cloud Web Security プロキシへの接続」を参照してください。

ブロック対象または警告対象のサイトにアクセスしようとした場合、CWS からブロック メッセージまたは警告メッセージが表示される点を思い出してください。このメッセージの表示は、Cloud Web Security の機能の 1 つです。

CWS のブロック メッセージは次のとおりです。


CWS の警告メッセージは次のとおりです。[Accept] をクリックすると、サイトに接続できます。


Web ページがまったくロードされない(たとえば、空白ページしか表示されないなど)とユーザが報告している場合、次のセクションで説明されているエラーを確認してください。

タイム ゾーンの不一致

CWS では、時刻ベースのポリシーが使用されているため、ASA のタイム ゾーンと CWS プロキシのタイム ゾーンが一致していない場合、ユーザは Web サイトにアクセスできません。

次のステップ

  • この問題の最も簡単な解決方法は、ネットワーク タイム プロトコル(NTP)サーバを使用するように ASA を設定することです。
 ntp server 10.0.0.1 source outside prefer

セッション フロー

セッション フローを詳しく見てみると、CWS がトラフィックを正しくリダイレクトしているかどうかを調べるのに役立つ場合があります。リダイレクトされたセッションとホワイトリストに追加されたセッション(ASA で CWS コネクタをバイパスします)の合計数を確認するには、show scansafe statistics コマンドを使用します。

# show scansafe statistics
Current HTTP sessions : 12
Current HTTPS sessions : 0
Total HTTP Sessions : 102
Total HTTPS Sessions : 0
Total Fail HTTP sessions : 0
Total Fail HTTPS sessions : 0
Total Bytes In : 6532 Bytes
Total Bytes Out : 66622 Bytes
HTTP session Connect Latency in ms(min/max/avg) : 0/0/0
HTTPS session Connect Latency in ms(min/max/avg) : 0/0/0

例に太字で示されているように、CWS は実際にトラフィックをタワーにリダイレクトしています。

show service-policy inspect scansafe

このコマンドを実行すると、特定のポリシーによりリダイレクトまたはホワイトリストに追加された接続の数が表示されます。出力の例を次に示します。

ciscoasa(config)# show service-policy inspect scansafe 
Global policy: 
 Service-policy: global_policy
 Class-map: inspection_default
Interface inside:
 Service-policy: scansafe-pmap
 Class-map: scansafe-cmap
 Inspect: scansafe p-scansafe fail-open, packet 0, drop 0, reset-drop 0, v6-fail-close 0
Number of whitelisted connections: 0
Number of connections allowed without scansafe inspection because of "fail-open" config: 0
Number of connections dropped because of "fail-close" config: 0
Number of HTTP connections inspected: 0
Number of HTTPS connections inspected: 0
Number of HTTP connections dropped because of errors: 0
Number of HTTPS connections dropped because of errors: 0

次のステップ

  • 個々のユーザまたはユーザグループ全体が CWS プロキシに正しく接続できるかどうかを調べる最終的なチェックとして、ユーザにブラウザで http://whoami.scansafe.net/ にアクセスしてもらいます。CWS が機能している場合、CWS プロキシから取得されたユーザグループ アカウントの詳細が出力に表示されます。出力の例を次に示します。


  • CWS へのリダイレクトが機能しているにもかかわらず、ユーザが Web ページをロードできない場合、ASA 上のコネクタはすでに正しく機能しているため、CWS プロキシ側でデバッグを実行する必要があります。サポートに問い合わせる必要がある場合、Cisco TAC でケースをオープンします。
  • CWS へのリダイレクトが機能していない場合、ASA 側でデバッグを実行する必要があります。サポートに問い合わせる必要がある場合、Cisco TAC でケースをオープンします。