이 문서에서는 ASA(Adaptive Security Appliance)에서 컷스루 프록시 인증이 구성되거나 CSC-SSM의 관리 포트와 인터넷 간에 디바이스가 구성된 경우 CSC-SSM(Content Security and Control Security Services Module)에서 URL 필터가 실패하는 경우의 문제를 설명합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
AAA(Authentication, Authorization, and Accounting) 컷스루 프록시 인증은 CSC 모듈의 관리 포트와 인터넷 사이의 경로에 있는 ASA에 구성됩니다.
웹 사이트는 CSC-SSM 및 CSC-SSM HTTP를 통해 URL로 필터링되지 않습니다. 로그는 다음과 유사한 메시지를 표시합니다.
2011/04/28 14:55:04 GMT+01:00 <6939-1376041904> Get URL Category returned [-1], with category 0 = [0] and rating = [0] 2011/04/28 14:55:04 GMT+01:00 <6939-1376041904> URLFilteringScanTask:PerformPreScanTask - URL rating failed, has to let it go 2011/04/28 14:55:04 GMT+01:00 <6939-1376041904> add result=1 server=
패킷 캡처가 ASA 내부 인터페이스에서 CSC-SSM의 관리 포트에 수집되고 나면 이 문제를 쉽게 식별할 수 있습니다. 아래 예에서 내부 네트워크 IP 주소는 10.10.1.0/24이고 CSC 모듈의 IP 주소는 10.10.1.70입니다. IP 주소 92.123.154.59은 Trend Micro Classification 서버 중 하나의 IP 주소입니다.
CSC 모듈에서 특정 URL이 속하는 범주를 확인하려는 경우 CSC 모듈은 Trend Micro Classification 서버에 해당 URL에 대한 정보를 요청해야 합니다. CSC-SSM은 자체 관리 IP 주소에서 이 연결을 제공하며 통신에 TCP/80을 사용합니다. 위의 화면 표시에서 Trend Micro Classification 서버와 CSC-SSM 간의 3방향 핸드셰이크가 성공적으로 완료되었습니다. 이제 CSC-SSM은 서버에 GET 요청을 전송하고 컷스루 프록시를 수행하는 ASA(또는 기타 인라인 네트워크 디바이스)에서 생성된 "HTTP/1.1 401 Unauthorized" 메시지를 수신합니다.
이 예제 ASA에서 AAA 컷스루 프록시 인증은 다음 명령으로 구성됩니다.
aaa authentication match inside_authentication inside AUTH_SERV access-list inside_authentication extended permit tcp any any
이러한 명령을 사용하려면 ASA가 인증 ACL의 "tcp any any" 때문에 내부의 모든 사용자에게 인증을 웹 사이트로 이동하라는 프롬프트를 표시해야 합니다. CSC-SSM의 관리 IP 주소는 10.10.1.70이며, 내부 네트워크와 동일한 서브넷에 속합니다. 이제 이 정책을 따릅니다. 따라서 ASA는 CSC-SSM을 내부 네트워크의 다른 호스트로 간주하고 사용자 이름 및 비밀번호에 대해 이 호스트에 도전합니다. 안타깝게도 CSC-SSM은 URL 분류를 위해 Trend Micro Classification 서버에 연결하려고 할 때 인증을 제공하도록 설계되지 않았습니다. CSC-SSM에서 인증에 실패하므로 ASA는 모듈에 "HTTP/1.1 401 Unauthorized" 메시지를 보냅니다. 연결이 닫히고 해당 URL이 CSC 모듈에 의해 성공적으로 분류되지 않습니다.
다음 방법으로 문제를 해결합니다.
CSC-SSM의 관리 IP 주소를 인증에서 제외하려면 다음 명령을 입력합니다.
access-list inside_authentication extended deny tcp host 10.10.1.70 any access-list inside_authentication extended permit tcp any any
CSC-SSM의 관리 포트는 인터넷에 완전히 방해받지 않고 액세스해야 합니다. 인터넷 액세스를 차단할 수 있는 필터나 보안 검사를 통과해서는 안 됩니다. 또한 인터넷에 대한 액세스를 얻기 위해 어떤 방식으로든 인증할 필요는 없습니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
24-Jan-2013 |
최초 릴리스 |