Vraag
Hoe configureer ik IP-spoofing?
Omgeving: Cisco Web Security Applicatie (WSA), alle versies van AsyncOS
Abstract:
In een traditionele proxyimplementatie wordt het IP-adres van de client vervangen door dat van de proxy-/cacheserver. Hoewel dit inherente beveiliging biedt door het adres van de eindgebruiker te maskeren, vereisen sommige webtoepassingen in sommige gevallen toegang tot het IP-adres van de oorspronkelijke client.
Door de "IP Spoofing"-functie in de Cisco Web Security Applicatie (WSA) te implementeren en de juiste WCCP-servicegroepen op een Cisco IOS-apparaat te configureren, is het mogelijk het IP-adres van de client in webtoepassingen in plaats van het IP-adres van WSA te tonen. Het volgende document beschrijft de benodigde configuratiestappen voor deze implementatie.
Beschrijving:
Om de "IP Spoofing" optie te implementeren, moesten twee unieke WCCP-servicegroepen worden gemaakt op een Cisco IOS® router. De eerste WCCP 'web-cache' groep leidt http/port 80 verkeer van de gebruiker naar de WSA om. Er kunnen specifieke toegangscontrolelijsten worden geconfigureerd (zoals in het voorbeeld hieronder) om te bepalen welke gebruikers worden beschermd door het Cisco Web Security applicatie. De gebruikersinterface op de router is geconfigureerd om inkomend verkeer naar deze WCCP-servicegroep te leiden.
De tweede WCCP-servicegroep moet worden gedefinieerd als een dynamische service-ID (bijvoorbeeld service-ID 95). Ook hier wordt een toegangslijst gebruikt om te bepalen welke gebruikers beschermd zijn (d.w.z. om het systeem volledig te omzeilen). Voor het terugkeerwebverkeer wordt de buiteninterface op de router geconfigureerd om het inkomende verkeer naar de WCCP-servicegroep 95 te leiden.