cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 

WSA - Como leer los Accesslogs de traffico https (Decrypt Policy)

Cisco Employee

La forma de Cisco IronPort Web Security Appliance ( WSA ) maneja el tráfico HTTPS es diferente en comparación con el tráfico HTTP normal. Lo que se registra dependerá en que modo se está utilizando ( modo explícito y modo transparente)

A continuación se presentan algunos ejemplos de lo que puedes ver en accesslogs :

Nota algunas palabras clave que ayudan a que lea los logs se puedan interpretar..

TUNNEL - esto muestra el tráfico fue recibido de manera transparente (mediante WCCP o L4 re-dirección ... etc)
CONNECT - esto muestra el tráfico fue recibido de forma explícita
DECRYPT_WBRS - esto demuestra WSA ha decidido Descifrar el tráfico debido a la puntuación( de los sites del    web)WBRS
PASSTHRU_WBRS - esto muestra WSA ha decidido PASAR por el tráfico debido a la puntuación WBRS
DROP_WBRS - esto demuestra WSA ha decidido bloquear/caeer  el tráfico debido a la puntuación WBRS

Cuando se descifra el tráfico HTTPS , WSA registrará dos entradas.
TÚNEL o CONNECT dependiendo del tipo de solicitud que se reciben y "GET http : //" que muestra la URL descifrado.
Una URL completa sólo será visible si WSA descifra el tráfico.
Tenga también en cuenta que sólo veremos la IP de destino en modo transparente, pero vemos el nombre de host de destino en modo explícito.

Estos son unos ejemplos de los logs en transparente y explicito.. esto es util para aquellos que tengan un WSA y quieran entender mas como el WSA manaje el traffic de https

Transparente - Decrypt

1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> -

Transparente- Passthrough

1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Transparente - Drop

1252543418.175 430 192.168.30.103 TCP_12DENIED/403 0 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Explicito - Decrypt

1252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/s.yimg.jp - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/s.yimg.jp image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> -

Explicito - Passthrough

1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/s.yimg.jp - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Explicito - Drop

1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

1 Comentario

Excelente información muchas gracias por compartirla Tery, es un placer colaborar contigo.

Si desean conocer más del tema o de la colaboración de Tery con la comunidad, les invitamos a ver el Webcast: Introducción al Web Security Appliance WSA (Marzo 2016), durante el evento la experta Tery estuvo apoyando a contestar preguntas.


150
Visitas
4
ÚTIL
1
Comentarios