Inleiding
Dit document beschrijft hoe u kunt voorkomen dat de Web Security Applicatie (WSA) een open proxy is.
Omgeving
Cisco WAP, alle versies van AsyncOS
Er zijn twee gebieden waar de WSA als een open proxy kan worden beschouwd:
- HTTP-clients die niet op uw netwerk staan, kunnen proxygegevens doorsturen.
- Clients die HTTP CONNECT-verzoeken gebruiken om niet-HTTP-verkeer te tunnelen.
Elk van deze scenario's heeft totaal verschillende implicaties en zal in de volgende secties meer in detail worden besproken.
HTTP-clients die niet op uw netwerk verblijven, kunnen proxy-gegevens verwerken via
De WSA zal standaard elk HTTP-verzoek dat naar de WSA wordt verzonden, benaderen. Dit veronderstelt dat het verzoek zich op de poort bevindt waarop de WSA luistert (de standaardwaarden zijn 80 en 3128). Dit zou een probleem kunnen vormen, aangezien u geen cliënt van enig netwerk zou kunnen willen WSA kunnen gebruiken. Dit kan een groot probleem zijn als de WSA een openbaar IP-adres gebruikt en toegankelijk is via het internet.
Dit kan op twee manieren worden verholpen:
- Gebruik een firewall upstream naar de WSA om onbevoegde bronnen tegen HTTP toegang te blokkeren.
- Maak beleidsgroepen om alleen de clients toe te staan op uw gewenste subnetten. Een eenvoudige demonstratie van dit beleid is:
Beleidsgroep 1: Is van toepassing op subnet 10.0.0.0/8 (ervan uitgaande dat dit uw clientnetwerk is). Voeg je gewenste acties toe.
Standaardbeleid: Alle protocollen blokkeren - HTTP, HTTPS, FTP via HTTP
Meer gedetailleerd beleid kan worden gemaakt boven Policy Group 1. Zolang andere regels alleen van toepassing zijn op de juiste client subnetten, zal al het andere verkeer de "deny all" regel onderaan.
Clients die HTTP CONNECT-aanvragen gebruiken om niet-HTTP-verkeer te tunnelen via
HTTP CONNECT-verzoeken worden gebruikt om niet-HTTP-gegevens te tunnelen via een HTTP-proxy. Het meest gebruikelijke gebruik van een HTTP CONNECT-verzoek is om HTTPS-verkeer te tunnelen. Om een expliciet geconfigureerde client toegang te geven tot een HTTPS-site, MOET eerst een HTTP CONNECT-aanvraag naar de WSA worden verzonden.
Een voorbeeld van een CONNECT-verzoek is als volgt: CONNECT http://www.website.com:443/ HTTP/1.1
Dit vertelt de WSA dat de klant wenst te tunnelen door de WSA naar http://www.website.com/ op poort 443.
HTTP CONNECT-verzoeken kunnen worden gebruikt om elke poort te tunnelen. Wegens potentiële veiligheidskwesties staat WSA slechts CONNECT verzoeken aan deze havens door gebrek toe:
20, 21, 443, 563, 843, 8080
Als het nodig is om extra CONNECT-tunnelpoorten toe te voegen, wordt om veiligheidsredenen aanbevolen om deze toe te voegen in een extra beleidsgroep die alleen van toepassing is op de client-IP-subnetten die deze extra toegang nodig hebben. De toegestane CONNECT-poorten zijn te vinden in elke beleidsgroep, onder Toepassingen > Protocolbesturing.
Een voorbeeld van een SMTP-verzoek dat via een open proxy wordt verzonden, wordt hier getoond:
myhost$ telnet proxy.mydomain.com 80
Trying xxx.xxx.xxx.xxx...
Connected to proxy.mydomain.com.
Escape character is '^]'.
CONNECT smtp.foreigndomain.com:25 HTTP/1.1
Host: smtp.foreigndomain.com
HTTP/1.0 200 Connection established
220 smtp.foreigndomain.com ESMTP
HELO test
250 smtp.foreigndomain.com