Che cos'è registrato nel log degli accessi per il traffico HTTPS?

Opzioni per il download

  • PDF     (236.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (84.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (67.5 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 agosto 2014
ID documento:118152

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Domanda:


Contributo di Kei Ozaki e Siddharth Rajpathak, tecnici Cisco TAC.

Domanda:

Che cos'è registrato nel log degli accessi per il traffico HTTPS?

Ambiente: appliance Cisco Web Security (WSA) con AsyncOS versione 7.1.x e successive, proxy HTTPS abilitato

Il modo in cui Cisco Web Security Appliance (WSA) registra il traffico HTTPS è diverso dal normale traffico HTTP.  Le voci HTTPS registrate nei log degli accessi avranno un aspetto diverso a seconda di come è stata gestita la richiesta. In generale, ha caratteristiche diverse rispetto al normale traffico HTTP.

Il contenuto registrato dipende dalla modalità di distribuzione utilizzata (modalità di inoltro esplicito o modalità trasparente).

Esaminiamo innanzitutto alcune parole chiave che semplificano la lettura dei log degli accessi.

TCP_CONNECT: visualizza il traffico ricevuto in modo trasparente (tramite WCCP o reindirizzamento L4, ecc.)
CONNECT - indica che il traffico è stato ricevuto esplicitamente
DECRYPT_WBRS - Questo messaggio mostra che WSA ha deciso di decrittografare il traffico a causa del punteggio WBRS
PASSTHRU_WBRS - Questo mostra che WSA ha deciso di passare attraverso il traffico a causa del punteggio WBRS
DROP_WBRS: indica che WSA ha deciso di interrompere il traffico a causa del punteggio WBRS

  • Quando il traffico HTTPS viene decrittografato, WSA registra due voci.
  • TCP_CONNECT o CONNECT a seconda del tipo di richiesta ricevuta e "GET https://" che indica l'URL decrittografato.
  • L'URL completo sarà visibile solo se WSA decrittografa il traffico.

Si noti inoltre che:

  • In modalità trasparente, WSA vedrà solo l'indirizzo IP di destinazione inizialmente
  • In modalità esplicita, WSA vedrà il nome host di destinazione

Di seguito sono riportati alcuni esempi di quanto è possibile visualizzare nei log degli accessi:

Trasparente - Decrittografa
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/2000 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,- > -

1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE <Sear,5.0,0,-,-,-,-,-,- -,-,-,-> -
Trasparente - Passthrough
125254337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,- -,-,-> -
Trasparente - Rilascia
1252543418.175.430 192.168.30.103 TCP_DENIED/403.0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,-9.1.0,-,-,-,-,-,-> -
Esplicito - Decrittografa
25254358.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/20040 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-> -
125254359.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE <Sear,5.0,0,-,-,-,0,-,-,-,-,-,-,-> -
Esplicito - Pass-through
1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-> -
Esplicito - Elimina
125254368.375 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
05-Aug-2014
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti