Beitrag von Kei Ozaki und Siddharth Rajpathak, Cisco TAC Engineers.
Frage:
Wie lautet das angemeldete Zugriffsprotokoll für HTTPS-Datenverkehr?
Umgebung: Cisco Web Security Appliance (WSA) mit AsyncOS 7.1.x und höher, HTTPS-Proxy aktiviert
Die Protokollierung des HTTPS-Datenverkehrs durch die Cisco Web Security Appliance (WSA) unterscheidet sich vom normalen HTTP-Datenverkehr. Die in den Zugriffsprotokollen aufgezeichneten HTTPS-Einträge sehen je nach Behandlung der Anforderung unterschiedlich aus. Im Allgemeinen weist er andere Merkmale auf als normaler HTTP-Verkehr.
Welche Protokolle protokolliert werden, hängt vom verwendeten Bereitstellungsmodus ab (expliziter Weiterleitungsmodus oder transparenter Modus).
Sehen wir uns zunächst einige Stichwörter an, mit denen Sie Zugriffsprotokolle leicht lesen können.
TCP_CONNECT - Zeigt an, dass der Datenverkehr transparent empfangen wurde (über WCCP oder L4-Umleitung usw.)
CONNECT - Zeigt an, dass der Datenverkehr explizit empfangen wurde.
DECRYPT_WBRS - Zeigt an, dass die WSA aufgrund der WBRS-Bewertung beschlossen hat, den Datenverkehr zu entschlüsseln.
PASSTHRU_WBRS - Zeigt an, dass die WSA aufgrund der WBRS-Bewertung die Weiterleitung des Datenverkehrs beschlossen hat.
DROP_WBRS - Zeigt an, dass die WSA aufgrund der WBRS-Bewertung beschlossen hat, Datenverkehr zu verwerfen.
- Wenn HTTPS-Datenverkehr entschlüsselt wird, protokolliert die WSA zwei Einträge.
- TCP_CONNECT oder CONNECT, je nach Art der empfangenen Anforderung, und "GET https://" mit der entschlüsselten URL.
- Die vollständige URL wird nur angezeigt, wenn die WSA den Datenverkehr entschlüsselt.
Bitte beachten Sie außerdem:
- Im transparenten Modus sieht die WSA die Ziel-IP-Adresse zunächst nur
- Im expliziten Modus zeigt die WSA den Ziel-Hostnamen an
Im Folgenden finden Sie einige Beispiele für Zugriffskontrolllisten:
Transparent - Entschlüsseln |
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-NONE DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test test.id-NONE-NONE <Sear,5.0,0,-,-,-,0,-,-,-,-,-,-,-,-,-,-,-> - |
Transparent - Passthrough |
1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NX ONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |
Transparent - Löschen |
1252543418.175 430 192.168.30.103 TCP_DENIED/403 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,-9.1.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |
Explizit - Entschlüsseln |
252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-, -,-,-,-,-,-,-,-,-,-,-,- 1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,-,-,-,-,-,-,-,- |
Explizit - Passthrough |
1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-, |
Explizit - Löschen |
1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,,-,-,-,-,-,- |