Einführung
In diesem Dokument wird beschrieben, wie die Authentifizierung für bestimmte Benutzeragenten auf der Cisco Web Security Appliance (WSA), allen AsyncOS-Versionen 7.x und höher, umgangen wird.
Wie kann ich die Authentifizierung für bestimmte Benutzeragenten umgehen?
Sie können die Authentifizierung für eine bestimmte Anwendung mit dem Benutzeragent umgehen. Dies ist ein zweistufiger Prozess.
- Bestimmen Sie die von der Anwendung verwendete Zeichenfolge des Benutzeragenten.
- Für Standardanwendungen sollten Sie die Zeichenfolge User Agent auf diesen Websites finden können:
http://www.user-agents.org/
http://www.useragentstring.com/pages/useragentstring.php
http://www.infosyssec.com/infosyssec/security/useragentstrings.shtml
- Sie können die Zeichenfolge des Benutzeragenten auch aus den Zugriffsprotokollen auf der Appliance ermitteln. Führen Sie diese Schritte aus:
- Wählen Sie in der GUI Systemverwaltung > Protokollabonnement > Zugriffsprotokolle aus.
- Fügen Sie in den Feldern Benutzerdefiniert %u hinzu.
- Senden und bestätigen Sie die Änderungen.
- Nehmen Sie die Zugriffsprotokolle basierend auf der Client-IP-Adresse in die Gruppe oder in das Tail.
- Die Zeichenfolge des Benutzeragenten sollte sich am Ende der Zugriffsprotokollleitung befinden.
Beispiel: In einem Chrome-Browser könnte die Benutzeragentenzeichenfolge als Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.13 (KHTML, wie Gecko) Chrome/0.X.Y.Z Safari/525.13.)
- Konfigurieren Sie die WSA so, dass die Authentifizierung für die Benutzeragentenzeichenfolgen umgangen wird.
- Wählen Sie Web Security Manager > Identities aus. Klicken Sie auf Identität hinzufügen.
- Name: Benutzer-Agent-AuthExempt-Identität
- Oben einfügen: Auf Bestellung 1 festlegen
- Mitglieder nach Subnetz definieren: Leer (oder Sie können auch einen IP-Adressbereich/ein Subnetz definieren)
- Mitglieder nach Authentifizierung definieren: Keine Authentifizierung erforderlich
- Erweitert > Benutzer-Agents: Klicken Sie auf Keine ausgewählt. Geben Sie unter Benutzerdefinierte Benutzeragenten die Zeichenfolge User Agent an.
- Wählen Sie Websicherheits-Manager > Zugriffsrichtlinien aus. Klicken Sie auf Policy hinzufügen.
- Policy-Name: Auth-Ausnahme für Benutzer-Agents
- Oben stehende Richtlinie einfügen: Auf Bestellung 1 festlegen
- Identitätsrichtlinie: Benutzer-Agent-AuthExempt-Identität
- Erweitert: Keine
Diese Konfiguration sollte die Authentifizierung für die angegebenen Benutzer-Agenten ausnehmen. Die Zugriffsrichtlinien filtern weiterhin (basierend auf URL-Kategorien) und scannen den Datenverkehr (McAfee, Webroot) gemäß der Einrichtung der Zugriffsrichtlinien.