Troubleshooting utilizando Web Security Appliance (WSA) - Webcast FAQ

 


Introducción

 

      




      Tery Le Fbvere colabora como ingeniera de soporte en el Centro de soporte de Cisco (TAC) de RTP en Carolina del Norte, pertenece al grupo de WSA (Web Security Appliance) y al CWS (Colud Web Security), es la primera ingeniera híbrida en Cisco. Ha trabajado en el TAC por 7 años, en los últimos 3 años se ha enfocado en la tecnología de seguridad y cuenta con experiencia en Telepresencia, Routing & Switching y Arquitectura. Tery es egresada de estudios de CCNA y Networking del Collin Community Collegue de Texas. Tiene más de 10 años de experiencia en área de Networking y cuenta con las certificaciones de: CCNA y CCNA Security.
 
Puede descargar la presentación en formato PDF aquí. También puede encontrar la sesión de Pregunte al Experto del evento aquí.
 

 




Troubleshooting utilizando Web Security Appliance (WSA)



 

P: ¿Cómo puedo optimizar el Web Security Appliance?

R: Favor de considerarlos siguientes puntos:

  • Identidades, Access Policies, Decrypt Policies: Se debe mantener el uso de la identidad a un mínimo, el objetivo principal de las identidades es especificar qué tráfico debe ser autenticado en el WSA.
  • Siempre que hay una política específica:Se deben colocar las políticas complejas más utilizadas (menos las cercanas a la parte superior de la lista).Dado que la WSA se detiene la ejecución de la decisión de política después del primer match en otras palabras las más genéricas y básicas en la parte superior de la lista de Access policies y Decrypt policies.
  • Evitar expresiones regulares, sobre todo ". *”: Evitar las ‘regular expressions’ ya que afecta negativamente al rendimiento del WSA. Por lo general esto no es necesario y tiene un impacto muy grande en el WSA.
  • HTTPS:

Es evidente que hay un bastante grande impacto en el rendimiento cuando se habilita el descifrado https (Decrypt Policies), si están activadas y las únicas acciones son Decryption hay posibilidad de que tengas un impacto.

P: ¿Cuál es el flow del WSA con tráfico http y https?

R: El tráfico https es el siguiente: Identity > Decrypt Policies > Access Policies
El tráfico http es el siguiente: Identity > Access Policies

P: ¿El WSA puede trabajar sin problemas con otros equipos de otras marcas ?

R: Sí, el WSA trabaja con HTTP/HTTPS/FTP/SOCKS, todos esos protocolos son comunes. Aunque es conocido que puede ocurrir alguna incompatibilidad con WCCP, pero ello es usado para re direccionar el tráfico para WSA así como PBR.

P: ¿Cuánto es el total de conexiones o peticiones que soporta el WSA S170, cómo puedo evidenciar por medio de la web y de la CLI?

R: Encuentre la respuesta en la sección de Pregunte al Experto aquí.

P: ¿Cómo se pueden bloquear el ultrasurfing o proxys transparentes con el WSA?

R: Es un tema muy importante, en sí el WSA no puedo hacerlo. Se necesita el apoyo de un firewall para lograrlo. 

P: En los navegadores comunes, como Firefox o Explorer cuándo se ve el protocolo https y se visualiza un icono de un candado ¿qué significa?

R: Esto significa que la conexión es segura ya que los certificados son marcados como válidos.

P: ¿Cuál es el mejor método, el transparente o el explícito?

R: Cuando la solicitud es explícita, se tiene una dirección IP de destino del proxy configurado.

Cuando una solicitud es transparente, tiene una dirección IP de destino del servidor Web con la intención (DNS resuelto por el cliente).

P: ¿Puedes mencionar algunos problemas con TLS1.1/TLS1.2?

R: Si el WSA está en la versión 8.x y la página del destino requiere TLS1.1/TLS1.2, entonces no funciona correctamente por el proxy ya que el soporte es TLS1.0 se tendría que actualizar a la versión a 9.x ya que está ya soporta TLS1.1/1.2
Para verificar esta información puede consultar: https://www.ssllabs.com/ssltest/

P: ¿Cuándo tendrán soporte a TLS 1.1 y 1.2 para evitar el error con el decryp"Activa TLS 1.0, TLS 1.1 y TLS 1.2 desde configuración avanzada e intentar conectarse en https://www.isc2.org"?

R: La versión 9.x para WSA ya tiene el soporte a TLS 1.1 y TLS 1.2.  En el Release Notes, hay más información: http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa9-0/wsa9-1/WSA_9-1-x_Release_Notes.pdf O laternativamente también se puede consultar: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCzv77415.... esto es el feature request. fue creado para 9.0 pero resolvemos un problema en la versión 9.1. CSCuw50244

P: ¿Cuándo se tendría soporte a TLS1.1 y 1.2 considerando que tengo un moldeo M80 con sistema operativo 9.6.0-51 (se me muestra como no soportada)?

R: Por favor verificar el siguiente link para mayor información: http://www.cisco.com/c/dam/en/us/td/docs/security/security_management/sma/sma_all/SMA-ESA-WSA_Compatibility.pdf

P: ¿Pueden indicar qué tan estable esta la versión 9.x.x para actualizar el WSA, actualmente estoy con la 8.8.0?

R: Este punto se ha implementado con éxito con diversos clientes, simplemente es importante tener en cuenta que al actualizar una versión esta debe ser GD (General Deployment).

P: ¿Cuál es la recomendación de WBRS a utilizar en las AccesPolicies.. (drop-scaneo-pass), además con ello se recomienda el drop de urls no categorizadas?

R: Encuentre la respuesta en la sección de Pregunte al Experto aquí.

P: ¿Cuáles son las identidades y cómo se relacionan con las políticas de acceso?

R: Una identidad es básicamente una política que determina cómo un usuario debe estar autenticado y que puede coincidir en muchos atributos diferentes. Esto nos da una flexibilidad mucho mayor con la autentificación en su conjunto.

Una vez que la identidad se ha ido a la par, el WSA se mueve la lista de políticas de acceso (Access Policies), estas se miran desde superior -> abajo

Se debe tener en consideración que las políticas de acceso, es importante prestar atención a la identidad que corresponde con el cliente. Solamente las Access Policies que coinciden con la misma identidad que el cliente, serán evaluados para ese cliente en particular.

P: ¿Es posible pasar el tráfico que no es HTTP a través de la WSA?

R: En el modo Proxy explícito esto no es posible, a menos que la solicitud es una CONNECT request. Sin embargo, en el modo de proxy transparente si la Web de Cisco Security Appliance (WSA) está configurado en modo transparente y las solicitudes HTTP de los clientes son transparentes, el proxy hace un túnel automáticamente. 

P: ¿El proxy puede hacer un cache con el tráfico https?

R: No el proxy no puedo hacer un cache del tráfico https. Solamente http.

P: ¿Qué pasa cuando el certificado de advertencia es por el proxy y no como tal por el Web Server, es relacionado con un Intermedia Certificate y si es así cómo se puede solucionar?

R: El WSA no es capaz de mirar el certificado Intermediate ya que no puede mirar la cadena hasta el root cert. Este fue solicitado como un feature y esperamos en el futuro hacer estos cambios en el WSA. Pero tienes la opción de  instalarlo en el WSA por Network > Certificate management > Manage Trusted Root Certificates > import 

P: ¿Cómo se podrían definir o concretar los pasos para realizar la captura de Paquetes en WSA (packet captures)? 

R: Puedes ir a Help and support > packet capture Aquí puedes hacer un clic en start capture y luego stop capture, un archivo va estar creado para que lo puedas bajar y revisar en Wireshark.

P: ¿Cuál es la mejor opción para habilitar el skype?

R: Esta aplicación no solamente usa HTTP o HTTPS, para un mejor entendimiento se recomienda verificar los siguientes links: https://supportforums.cisco.com/tags/wsa-ironport-web-security-skype-wpad-proxy-allow y http://www.cisco.com/c/en/us/support/docs/security/web-security-appliance/118094-congifure-wsa-00.html

P: ¿Cómo configurar la autentificación cuando se utiliza un cliente ligero y el servidor Citrix junto con el aparato de seguridad Web de Cisco (WSA)?

R: Thin Client -> Citrix -> WSA -> Internet, Cisco Web Security Appliance, AsyncOS Todas las versiones

Si la configuración de la WSA en modo transparente:

Utilice sustituta "cookie" para identificar correctamente los diferentes usuarios conectados al servidor Citrix y ser capaz de vincular a las diferentes políticas

Si utiliza la WSA en modo explícito:

Cada navegador en el servidor Citrix abrirá su propia conexión a la WSA y autenticar al proxy por separado. Por lo que la WSA será capaz de distinguir las sesiones para cada navegador.

P: ¿Por qué Windows update falla cuando la autentificación se está habilitado?

R: Las actualizaciones de Windows y aplicaciones BITS de Microsoft requieren que el tráfico no se autenticado. En este caso usted tendrá que añadir estos servidores de actualización de Windows a una categoría de URL personalizada sin autentificación.


Por ejemplo, a continuación, crear una nueva identidad:
Seleccione “Sin autenticación” en la sección Autenticación, y elegir la nueva categoría “URL personalizada”. Por último, se debe crear una nueva política de acceso y en la sección Identidades y Usuarios debe elegir la identidad exentos de autenticación a la misma.
-------------------------------------------------- ----------------------------------

download.windowsupdate.com
.windowsupdate.microsoft.com
.update.microsoft.com
.download.windowsupdate.com
update.microsoft.com
.windowsupdate.com
download.microsoft.com
windowsupdate.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
c.microsoft.com
watson.microsoft.com
-------------------------------------------------- ----------------------------------

Esto permite el acceso autenticado a los servidores y debe resolver el problema.

P: ¿Existe alguna demo del producto?

R: Se puede descargar la versión virtual desde cisco.com o alternativamente se puede ingresar al siguiente link para mayor información: http://dcloud.cisco.com/ , en el se puede hacer un schedule para conocer y usar WSA. 

P: ¿Qué tan segura es la certificación de la firma digital con respecto al WSA, hablando del nivel de seguridad que la firma digital pueda proporcionar? 

R: Encuentre la respuesta en la sección de Pregunte al Experto aquí.

 




Información relacionada

 



 

272
Visitas
0
ÚTIL
0
Comentarios