Durchsetzung von Zugriffsrichtlinien für bestimmte Anwendungsprotokolle

Download-Optionen

  • PDF     (236.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (83.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (69.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. September 2024
Dokument-ID:222391

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Durchsetzung von Richtlinien für sicheren Zugriff bei der Verwendung bestimmter Anwendungsprotokolle beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Sicherer Zugriff
    • File Transfer Protocol (FTP)
    • Transmission Control Protocol (TCP)
    • Firewall as a Service (FWaaS)
    • Secure Shell (SSH)
    • Hyper Text Transfer Protocol (HTTP)
    • Schnelle UDP-Internetverbindung (QUIC)
    • Secure Mail Transfer Protocol (SMTP)

    Hintergrundinformationen

    Ein typischer FWaaS-Test zur Evaluierung der protokollbasierten Richtliniendurchsetzung ist ein Test auf Missbrauch des Protokolls.

    Der Test für dieses Szenario beinhaltet in der Regel das Erstellen einer Richtlinie, die ein bestimmtes Anwendungsprotokoll wie FTP/SSH auf einem nicht standardmäßigen Port blockiert, z. B. FTP nur auf TCP-Port 21 zulässt und FTP auf TCP-Port 80 blockiert. 

    Secure Access verwendet die OpenAppID-Protokollerkennung, um Anwendungsprotokolle wie FTP, SSH, QUIC, SMTP usw. zu erkennen, und verwendet ein sicheres Web-Gateway, um HTTP(S)-Datenverkehr zu schützen. 

    Problem: Der Richtliniendurchsetzungstest für bestimmte Anwendungsprotokolle unter TCP 80/443 führt zu einem Verbindungs-Timeout, und in Secure Access werden keine Protokolle generiert.

    Unter bestimmten Umständen, z. B. beim Versuch, bestimmte Protokolle wie FTP auf dem TCP-Port 80/443 zuzulassen/zu blockieren, tritt eine Situation auf, in der die ursprüngliche Verbindung zwischen dem Client und dem Server von der Proxy-Engine abgefangen wird, der TCP-Handshake abgeschlossen ist und dann die Proxy-Engine in Secure Access auf den Client wartet, um Datenverkehr zu senden. Das Protokoll erfordert jedoch ein serverseitiges Signal, um den Client zu erreichen.

    Diese Situation führt dazu, dass die Verbindung aufgrund des auf das Serversignal wartenden Clients zu einem Timeout führt und der Proxy die Verbindung schließlich abbricht. Secure Access generiert für diese Art von Sitzungen keine Protokolle.

    Lösung

    Dies ist ein erwartetes Verhalten aufgrund der Art und Weise, wie der Web-Datenverkehr durch die Secure Access-Architektur gesichert wird. Da ein solcher Test Nicht-Web-Datenverkehr (FTP, Telnet, SMTP, IMAP und andere Protokolle, die anfangs auf ein serverseitiges Signal angewiesen sind) an Web-Ports umfasst, werden für eine solche Sitzung keine Protokolle generiert. 

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    13-Sep-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Secure Access Support Team
      Support
    • Secure Access Engineering Team
      Engineering

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.