Hoe voorkomt u dat de Web security applicatie een open proxy is?

Downloadopties

  • PDF     (300.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (83.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (68.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 januari 2018
Document-id:117933

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u voorkomt dat Web Security Appliance (WSA) als een open proxy wordt gebruikt.

    Omgeving

    Cisco WSA, alle versies van AsyncOS

    Er zijn twee gebieden waarop de WSA als een open volmacht kan worden beschouwd:

    1. HTTP-clients die niet op uw netwerk aanwezig zijn, kunnen proxy-through gebruiken.
    2. Clients die HTTP CONNECT-verzoeken gebruiken om niet-HTTP-verkeer doorheen te tunnen.

    Elk van deze scenario's heeft totaal andere implicaties en zal in de volgende paragrafen nader worden besproken.

    HTTP-clients die niet op uw netwerk aanwezig zijn, kunnen doorlopen

    De WSA zal, standaard, elke HTTP aanvraag die naar de WSA wordt gestuurd proxy uitvoeren. Dit veronderstelt dat het verzoek op de poort is waarop de WSA luistert (standaardwaarden zijn 80 en 3128). Dit kan een probleem zijn, omdat u geen client van een netwerk wilt hebben om de WSA te gebruiken. Dit kan een groot probleem zijn als de WSA een openbaar IP-adres gebruikt en vanaf het internet toegankelijk is.

    Dit kan op twee manieren worden verholpen:

    1. Gebruik een firewall stroomopwaarts naar het WSA om onbevoegden bronnen tegen HTTP toegang te blokkeren.
    2. Maak beleidsgroepen om alleen de klanten op uw gewenste subnetten toe te staan. Een simpele demonstratie van dit beleid is:

      Beleidsgroep 1: Is van toepassing op Subnet 10.0.0.0/8 (veronderstelt dit uw clientnetwerk is). Voeg je gewenste acties toe.
      Standaardbeleid: Alle protocollen blokkeren - HTTP, HTTPS, FTP en HTTP

    Meer gedetailleerd beleid kan worden gecreëerd boven Policy Group 1. Zolang andere regels alleen van toepassing zijn op de juiste clientsubnetten, zal al het andere verkeer de "alle" regel onderaan ontkennen.

    Clients die HTTP-CONNECT-aanvragen gebruiken om niet-HTTP-verkeer via tunnelkanalen te verzenden

    HTTP CONNECT-verzoeken worden gebruikt om niet-HTTP-gegevens te tunnelen via een HTTP-proxy. Het meest gebruikelijke gebruik van een HTTP CONNECT-verzoek is tunnelverkeer voor HTTPS. Als een client die expliciet is geconfigureerd toegang tot een HTTPS-site wil hebben, MOET deze eerst een HTTP CONNECT-aanvraag naar de WSA verzenden.

    Een voorbeeld van een CONNECT-verzoek is als zodanig: CONNECT http://www.website.com:443/ HTTP/1.1

    Dit vertelt de WSA dat de cliënt door de WSA aan http://www.website.com/ wil tunnels op haven 443.

    HTTP CONNECT-verzoeken kunnen worden gebruikt om elke poort te tunnelen. Vanwege mogelijke beveiligingsproblemen staat WSA alleen CONNECT-verzoeken naar deze poorten standaard toe:

    20, 21, 443, 563, 8443, 8080

    Als het nodig is om extra CONNECT tunnelpoorten toe te voegen, om veiligheidsredenen, wordt aanbevolen om ze toe te voegen aan een extra beleidsgroep die alleen van toepassing is op de client-IP subnetten die deze extra toegang nodig hebben. De toegestane CONNECT-poorten kunnen in elke beleidsgroep worden gevonden onder Toepassingen > Protocol-controllers.

    Een voorbeeld van een verzoek dat via een open volmacht wordt verzonden wordt hier getoond:

    myhost$ telnet proxy.mydomain.com 80
    Trying xxx.xxx.xxx.xxx...
    Connected to proxy.mydomain.com.
    Escape character is '^]'.
    CONNECT smtp.foreigndomain.com:25 HTTP/1.1
    Host: smtp.foreigndomain.com
HTTP/1.0 200 Connection established
    220 smtp.foreigndomain.com ESMTP
    HELO test
    250 smtp.foreigndomain.com

      

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    15-Jul-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Josh Wolfer
      Cisco TAC Engineer
    • Siddharth Rajpathak
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten