Introdução
Este documento descreve como impedir que o Web Security Appliance (WSA) seja um proxy aberto.
Ambiente
Cisco WSA, todas as versões do AsyncOS
Há duas áreas em que o WSA pode ser considerado um proxy aberto:
- Os clientes HTTP que não residem na rede podem usar proxy.
- Clientes que usam solicitações HTTP CONNECT para encapsular tráfego não-HTTP.
Cada um desses cenários tem implicações completamente diferentes e será discutido com mais detalhes nas próximas seções.
Os clientes HTTP que não residem na sua rede podem fazer proxy por
Por padrão, o WSA enviará qualquer solicitação HTTP para ele via proxy. Isso pressupõe que a solicitação esteja na porta em que o WSA escuta (os padrões são 80 e 3128). Isso pode representar um problema, pois talvez você não queira que nenhum cliente de qualquer rede possa usar o WSA. Isso pode ser um grande problema se o WSA usar um endereço IP público e estiver acessível a partir da Internet.
Há duas maneiras de corrigir isso:
- Utilize um upstream de firewall para o WSA para bloquear o acesso HTTP de fontes não autorizadas.
- Crie grupos de política para permitir apenas os clientes nas sub-redes desejadas. Uma demonstração simples dessa política é:
Grupo de Políticas 1: Aplica-se à sub-rede 10.0.0.0/8 (presume que esta seja a rede do cliente). Adicione as ações desejadas.
Política padrão: Bloquear todos os protocolos - HTTP, HTTPS, FTP sobre HTTP
Políticas mais detalhadas podem ser criadas acima do Grupo de Políticas 1. Contanto que outras regras se apliquem somente às sub-redes de clientes apropriadas, todo o tráfego restante irá capturar a regra "deny all" na parte inferior.
Clientes que Usam Solicitações HTTP CONNECT para Encapsulamento de Tráfego Não HTTP Através de
As solicitações HTTP CONNECT são usadas para encapsular dados não HTTP através de um proxy HTTP. O uso mais comum de uma solicitação HTTP CONNECT é criar um túnel para o tráfego HTTPS. Para que um cliente explicitamente configurado acesse um site HTTPS, ele DEVE primeiro enviar uma solicitação HTTP CONNECT ao WSA.
Um exemplo de uma solicitação CONNECT é: CONNECT http://www.website.com:443/ HTTP/1.1
Isso informa ao WSA que o cliente deseja criar um túnel através do WSA para http://www.website.com/ na porta 443.
As solicitações HTTP CONNECT podem ser usadas para criar um túnel para qualquer porta. Devido a possíveis problemas de segurança, o WSA permite somente solicitações CONNECT para estas portas por padrão:
20, 21, 443, 563, 8443, 8080
Se for necessário adicionar portas de túnel CONNECT adicionais, por motivos de segurança, é recomendável adicioná-las a um grupo de política adicional que se aplica somente às sub-redes IP do cliente que precisam desse acesso adicional. As portas CONNECT permitidas podem ser encontradas em cada grupo de política, em Aplicativos > Controles de Protocolo.
Um exemplo de uma solicitação SMTP enviada por meio de um proxy aberto é mostrado aqui:
myhost$ telnet proxy.mydomain.com 80
Trying xxx.xxx.xxx.xxx...
Connected to proxy.mydomain.com.
Escape character is '^]'.
CONNECT smtp.foreigndomain.com:25 HTTP/1.1
Host: smtp.foreigndomain.com
HTTP/1.0 200 Connection established
220 smtp.foreigndomain.com ESMTP
HELO test
250 smtp.foreigndomain.com