Cómo evitar que el dispositivo de seguridad web sea un proxy abierto

Opciones de descarga

  • PDF     (247.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:16 de enero de 2018
ID del documento:117933

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo evitar que el dispositivo de seguridad Web Security Appliance (WSA) sea un proxy abierto.

    Entorno

    Cisco WSA, todas las versiones de AsyncOS

    Hay dos áreas en las que se puede considerar que WSA es un proxy abierto:

    1. Los clientes HTTP que no residen en la red pueden realizar proxy a través de.
    2. Clientes que utilizan solicitudes HTTP CONNECT para tunelizar el tráfico no HTTP a través de.

    Cada una de estas situaciones tiene implicaciones completamente diferentes y se tratarán con más detalle en las siguientes secciones.

    Los clientes HTTP que no residen en su red pueden realizar proxy a través de

    De forma predeterminada, el WSA procesará cualquier solicitud HTTP que se le envíe. Esto supone que la solicitud está en el puerto en el que escucha el WSA (los valores predeterminados son 80 y 3128). Esto podría suponer un problema, ya que es posible que no desee que ningún cliente de ninguna red pueda utilizar el WSA. Esto puede suponer un gran problema si WSA utiliza una dirección IP pública y está accesible desde Internet.

    Hay dos formas de remediarlo:

    1. Utilice un firewall de flujo ascendente a WSA para bloquear el acceso HTTP a los orígenes no autorizados.
    2. Cree grupos de directivas para permitir sólo los clientes de las subredes deseadas. Una simple demostración de esta política es:

      Grupo de políticas 1: Se aplica a la subred 10.0.0.0/8 (se supone que es la red del cliente). Agregue las acciones que desee.
      Política predeterminada: Bloquear todos los protocolos: HTTP, HTTPS y FTP sobre HTTP

    Se pueden crear políticas más detalladas sobre el Grupo de políticas 1. Mientras otras reglas sólo se apliquen a las subredes de cliente apropiadas, el resto del tráfico captará la regla "deny all" en la parte inferior.

    Clientes que Utilizan Solicitudes HTTP CONNECT para Tunelizar el Tráfico No HTTP a Través de

    Las solicitudes HTTP CONNECT se utilizan para tunelizar datos no HTTP a través de un proxy HTTP. El uso más común de una solicitud HTTP CONNECT es tunelizar el tráfico HTTPS. Para que un cliente configurado explícitamente acceda a un sitio HTTPS, primero DEBE enviar una solicitud HTTP CONNECT al WSA.

    Un ejemplo de una solicitud CONNECT es como tal: CONNECT http://www.website.com:443/ HTTP/1.1

    Esto indica al WSA que el cliente desea realizar un túnel a través del WSA a http://www.website.com/ en el puerto 443.

    Las solicitudes HTTP CONNECT se pueden utilizar para realizar un túnel en cualquier puerto. Debido a posibles problemas de seguridad, el WSA solo permite solicitudes CONNECT a estos puertos de forma predeterminada:

    20, 21, 443, 563, 8443, 8080

    Si es necesario agregar puertos de túnel CONNECT adicionales, por razones de seguridad, se recomienda agregarlos en un grupo de políticas adicional que se aplique solamente a las subredes IP del cliente que necesitan este acceso adicional. Los puertos CONNECT permitidos se pueden encontrar en cada grupo de políticas, en Aplicaciones > Controles de protocolo.

    Aquí se muestra un ejemplo de una solicitud SMTP enviada a través de un proxy abierto:

    myhost$ telnet proxy.mydomain.com 80
    Trying xxx.xxx.xxx.xxx...
    Connected to proxy.mydomain.com.
    Escape character is '^]'.
    CONNECT smtp.foreigndomain.com:25 HTTP/1.1
    Host: smtp.foreigndomain.com
HTTP/1.0 200 Connection established
    220 smtp.foreigndomain.com ESMTP
    HELO test
    250 smtp.foreigndomain.com

      

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    15-Jul-2014
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Josh Wolfer
      Cisco TAC Engineer
    • Siddharth Rajpathak
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos