Hoe voorkomt u dat de Web security applicatie een open proxy is?

Downloadopties

  • PDF     (248.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:16 januari 2018
Document-id:117933

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u kunt voorkomen dat de Web Security Applicatie (WSA) een open proxy is.

    Omgeving

    Cisco WAP, alle versies van AsyncOS

    Er zijn twee gebieden waar de WSA als een open proxy kan worden beschouwd:

    1. HTTP-clients die niet op uw netwerk staan, kunnen proxygegevens doorsturen.
    2. Clients die HTTP CONNECT-verzoeken gebruiken om niet-HTTP-verkeer te tunnelen.

    Elk van deze scenario's heeft totaal verschillende implicaties en zal in de volgende secties meer in detail worden besproken.

    HTTP-clients die niet op uw netwerk verblijven, kunnen proxy-gegevens verwerken via

    De WSA zal standaard elk HTTP-verzoek dat naar de WSA wordt verzonden, benaderen. Dit veronderstelt dat het verzoek zich op de poort bevindt waarop de WSA luistert (de standaardwaarden zijn 80 en 3128). Dit zou een probleem kunnen vormen, aangezien u geen cliënt van enig netwerk zou kunnen willen WSA kunnen gebruiken. Dit kan een groot probleem zijn als de WSA een openbaar IP-adres gebruikt en toegankelijk is via het internet.

    Dit kan op twee manieren worden verholpen:

    1. Gebruik een firewall upstream naar de WSA om onbevoegde bronnen tegen HTTP toegang te blokkeren.
    2. Maak beleidsgroepen om alleen de clients toe te staan op uw gewenste subnetten. Een eenvoudige demonstratie van dit beleid is:

      Beleidsgroep 1: Is van toepassing op subnet 10.0.0.0/8 (ervan uitgaande dat dit uw clientnetwerk is). Voeg je gewenste acties toe.
      Standaardbeleid: Alle protocollen blokkeren - HTTP, HTTPS, FTP via HTTP

    Meer gedetailleerd beleid kan worden gemaakt boven Policy Group 1. Zolang andere regels alleen van toepassing zijn op de juiste client subnetten, zal al het andere verkeer de "deny all" regel onderaan.

    Clients die HTTP CONNECT-aanvragen gebruiken om niet-HTTP-verkeer te tunnelen via

    HTTP CONNECT-verzoeken worden gebruikt om niet-HTTP-gegevens te tunnelen via een HTTP-proxy. Het meest gebruikelijke gebruik van een HTTP CONNECT-verzoek is om HTTPS-verkeer te tunnelen. Om een expliciet geconfigureerde client toegang te geven tot een HTTPS-site, MOET eerst een HTTP CONNECT-aanvraag naar de WSA worden verzonden.

    Een voorbeeld van een CONNECT-verzoek is als volgt: CONNECT http://www.website.com:443/ HTTP/1.1

    Dit vertelt de WSA dat de klant wenst te tunnelen door de WSA naar http://www.website.com/ op poort 443.

    HTTP CONNECT-verzoeken kunnen worden gebruikt om elke poort te tunnelen. Wegens potentiële veiligheidskwesties staat WSA slechts CONNECT verzoeken aan deze havens door gebrek toe:

    20, 21, 443, 563, 843, 8080

    Als het nodig is om extra CONNECT-tunnelpoorten toe te voegen, wordt om veiligheidsredenen aanbevolen om deze toe te voegen in een extra beleidsgroep die alleen van toepassing is op de client-IP-subnetten die deze extra toegang nodig hebben. De toegestane CONNECT-poorten zijn te vinden in elke beleidsgroep, onder Toepassingen > Protocolbesturing.

    Een voorbeeld van een SMTP-verzoek dat via een open proxy wordt verzonden, wordt hier getoond:

    myhost$ telnet proxy.mydomain.com 80
    Trying xxx.xxx.xxx.xxx...
    Connected to proxy.mydomain.com.
    Escape character is '^]'.
    CONNECT smtp.foreigndomain.com:25 HTTP/1.1
    Host: smtp.foreigndomain.com
HTTP/1.0 200 Connection established
    220 smtp.foreigndomain.com ESMTP
    HELO test
    250 smtp.foreigndomain.com

      

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    15-Jul-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Josh Wolfer
      Cisco TAC Engineer
    • Siddharth Rajpathak
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten