Contribuição de Kei Ozaki e Siddharth Rajpathak, engenheiros do Cisco TAC.
Pergunta:
O que está conectado no log de acesso para tráfego HTTPS?
Ambiente: Cisco Web Security Appliance (WSA) executando o AsyncOS versões 7.1.x e posteriores, proxy HTTPS habilitado
A maneira como o Cisco Web Security Appliance (WSA) registra o tráfego HTTPS é diferente em comparação ao tráfego HTTP normal. As entradas HTTPS registradas nos logs de acesso terão uma aparência diferente, dependendo de como a solicitação foi tratada. Em geral, ele tem características diferentes em comparação ao tráfego HTTP normal.
O que está registrado dependerá do modo de implantação que você estiver usando (modo de encaminhamento explícito ou modo transparente).
Primeiro, vamos observar algumas palavras-chave que ajudariam você a ler logs de acesso facilmente.
TCP_CONNECT - mostra que o tráfego foi recebido de forma transparente (via WCCP ou redirecionamento L4 ...etc)
CONNECT - mostra que o tráfego foi recebido explicitamente
DECRYPT_WBRS - mostra que o WSA decidiu descriptografar o tráfego devido à pontuação WBRS
PASSTHRU_WBRS - mostra que o WSA decidiu Passar através do tráfego devido à pontuação WBRS
DROP_WBRS - mostra que o WSA decidiu descartar o tráfego devido à pontuação WBRS
- Quando o tráfego HTTPS for descriptografado, o WSA registrará duas entradas.
- TCP_CONNECT ou CONNECT dependendo do tipo de solicitação sendo recebida e "GET https://" mostrando o URL descriptografado.
- A URL completa só ficará visível se o WSA descriptografar o tráfego.
Observe também que:
- No modo transparente, o WSA verá somente o endereço IP de destino inicialmente
- No modo explícito, o WSA verá o nome de host de destino
Abaixo estão alguns exemplos do que você veria em logs de acesso:
Transparente - Descriptografar |
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,->-
1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,-,-,-,-,-,-,- -,-,-,-> - |
Transparente - Passagem |
1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |
Transparente - Descartar |
1252543418.175 430 192.168.30.103 TCP_DENIED/403 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,-9.1.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,->- |
Explícito - Descriptografar |
252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - 1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |
Explícito - Passagem |
1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |
Explícito - Descartar |
1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - |