Contribution de Kei Ozaki et Siddharth Rajpathak, ingénieurs du centre d'assistance technique Cisco.
Question :
Quel est le journal d'accès connecté pour le trafic HTTPS ?
Environnement : appareil de sécurité Web Cisco (WSA) exécutant AsyncOS versions 7.1.x et ultérieures, proxy HTTPS activé
La manière dont l'appareil de sécurité Web Cisco (WSA) enregistre le trafic HTTPS est différente du trafic HTTP normal. Les entrées HTTPS enregistrées dans les journaux d'accès auront un aspect différent selon le traitement de la demande. En général, ses caractéristiques sont différentes de celles du trafic HTTP normal.
Le contenu du journal dépend du mode de déploiement que vous utilisez (mode de transfert explicite ou mode transparent).
Voyons d'abord quelques mots-clés qui vous aideront à lire facilement les journaux d'accès.
TCP_CONNECT - indique que le trafic a été reçu de manière transparente (via WCCP ou redirection L4, etc.)
CONNECT - indique que le trafic a été reçu explicitement
DECRYPT_WBRS - indique que WSA a décidé de décrypter le trafic en raison du score WBRS
PASSTHRU_WBRS - indique que WSA a décidé de passer le trafic en raison du score WBRS
DROP_WBRS - indique que WSA a décidé de supprimer le trafic en raison du score WBRS
- Lorsque le trafic HTTPS est décrypté, WSA consigne deux entrées.
- TCP_CONNECT ou CONNECT selon le type de requête reçue et "GET https://" affichant l'URL déchiffrée.
- L'URL complète ne sera visible que si WSA déchiffre le trafic.
Veuillez également noter que :
- En mode transparent, WSA ne voit que l'adresse IP de destination initialement
- En mode explicite, WSA verra le nom d'hôte de destination
Voici quelques exemples de ce que vous verriez dans les journaux d'accès :
Transparent - Déchiffrer |
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,0,-,-,-,-,-,-,-,-> - |
Transparent - Passthrough |
1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-> - |
Transparent - Abandonner |
1252543418.175 430 192.168.30.103 TCP_DENIED/403 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,-9.1.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |
Explicite - Déchiffrer |
252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - 1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |
Explicite - Passthrough |
1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |
Explicite - Abandonner |
1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |