購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
366
閲覧回数
0
いいね!
0
コメント

WSA: HTTPSプロキシでHTTPS通信の復号化を行わない場合(Pass Through)のパターンとログ出力例について

yutogawa
Cisco Employee
Cisco Employee

‎2023-01-26 02:49 PM

はじめに

WSAがHTTPS通信を復号化して通信の中身を検査するためにはHTTPSプロキシを有効にし必要な証明書周りの設定をする必要があります。これによってHTTPS通信についてもWSAによってマルウェアのスキャンが可能となります。HTTPSプロキシを有効にしたあと、復号化ポリシーの設定から、HTTPS通信の復号化を行う場合(Decrypt)と行わない場合(Pass Through)について条件を定義することが可能です。本記事では、WSAがHTTPS通信の復号化を行わない場合(Pass Through)のパターンとその際のログの出力例について紹介致します。

復号化ポリシーの設定を確認

まず最初にHTTPSプロキシを有効にしていない状態で、"https://www.cisco.com"にアクセスをしてみます。そうしますと、以下のようにアクセスログにCONNECTメソッドのログが記録されます。中身を確認すると、Web Reputationのスコアが"9.4"で、カテゴリが"Computers and Internet"となっていることが確認できます。(2023/1/25時点のもの)

 

1674439244.082 3647 192.168.11.9 TCP_MISS/200 2168 CONNECT tunnel://www.cisco.com:443/ - DIRECT/www.cisco.com - DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",9.4,1,"-",-,-,-,1,"-",-,-,-,"-",1,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",4.76,0,-,"-","-",1,"-",-,-,"-","-",-,1,"-",-,-> - -

 

次にHTTPSプロキシを有効にし必要な設定を行います。※ここでは設定方法については割愛致します。
HTTPSプロキシを有効にすると、復号化ポリシーの編集が可能となり、既定でGlobal Policyが作成され、すべてのHTTPS通信についてこのポリシーが適用されます。HTTPS通信については、左から"URL_Filtering" → "Web Reputation" → "Default Action"の順に条件のマッチングが行われ、条件に合致した場合にアクションが決定します。Default Actionは復号化を行う(Decrypt)設定になっています。

yutogawa_0-1674610061832.png
URL Filteringの中身を確認すると、例えば"Animals and Pets"のカテゴリについては復号化を行わない(Pass Through)設定になっています。"Computer and Internet"についてはアクションを決定せず次へ(Monitor)となっております。

yutogawa_0-1674610265904.png

Web Reputationの中身を確認すると、Webレピュテーションスコアが-10.0から-9.0の間が通信をドロップ(Drop)、-8.9から5.9の間が復号化を行う(Decrypt)、6.0から10.0が復号化を行わない(Pass Through)設定となっています。また、スコアが不明なサイトについてはアクションを決定せず次へ(Monitor)となっています。

yutogawa_1-1674610326593.png

WSAがHTTPS通信の復号化を行わない場合(Pass Through)のパターンとその際のログの出力例

Web Reputationによって復号化を行わないアクションが決定した場合

上の設定の状態で再度"https://www.cisco.com"にアクセスしてみます。そうしますと、アクセスログのACL decision tagの項目にはPASSTHRU_WBRSと記録されます。こちらはWeb Reputationによって通信の復号化を行わない(Pass Through)アクションが決定した場合に記録されます。上で確認したように、"Computers and Internet"のカテゴリはURL Filteringでアクションを決定しないで次へ(Monitor)となっていて、Webレピュテーションスコア9.4はWeb Reputationで復号化しない(Pass Through)設定になっているため、このような結果となっています。

 

1674609633.837 4768 192.168.11.9 TCP_MISS/200 11569 CONNECT tunnel://www.cisco.com:443/ - DIRECT/www.cisco.com - PASSTHRU_WBRS_7-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",9.4,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",19.41,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -

 

URL Filteringによって復号化を行わないアクションが決定した場合

次に、URL Filteringの設定で"Computer and Internet"のカテゴリを何もせず次へ(Monitor)から復号化を行わない(Pass Through)に変更して、再度"https://www.cisco.com"にアクセスしてみます。そうしますと、アクセスログのACL decision tagの項目にはPASSTHRU_WEBCATと記録されます。こちらはURL Filteringの条件によって通信の復号化を行わない(Pass Through)アクションが決定した場合に記録されます。

 

1674609411.257 14991 192.168.11.9 TCP_CLIENT_REFRESH_MISS/200 6472 CONNECT tunnel://cisco.com:443/ - DIRECT/cisco.com - PASSTHRU_WEBCAT_7-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",9.4,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",3.45,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -

 

Default Actionによって復号化を行わないアクションが決定した場合

最後に、URL Filteringの設定で"Computer and Internet"のカテゴリをアクションを決定せずに次へ(Monitor)に戻し、Web Reputationをdisableにし、さらにDefault Actionを復号化を行う(Decrypt)設定から復号化を行わない(Pass Through)設定に変更して再度"https://www.cisco.com"にアクセスしてみます。そうしますと、アクセスログのACL decision tagの項目にPASSTHRU_ADMIN_DEFAULT_ACTIONと記録されます。こちらはDefault Actionの条件によって通信の復号化を行わない(Pass Through)アクションが決定した場合に記録されます。

 

1674608770.230 860 192.168.11.9 TCP_MISS/200 8762 CONNECT tunnel://www.cisco.com:443/ - DIRECT/www.cisco.com - PASSTHRU_ADMIN_DEFAULT_ACTION_7-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",9.4,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",81.51,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -

 

以上のようにアクセスログのACL decision tagよりどの条件に合致して通信の復号化を行わない(Pass Through)アクションが決定したか確認することができます。

参考

HTTPS トラフィックを制御する復号ポリシーの作成
https://www.cisco.com/c/ja_jp/td/docs/security/wsa/wsa-14-5/user-guide/wsa-userguide-14-5/b_WSA_UserGuide_11_7_chapter_01011.html

ログによるシステム アクティビティのモニター
https://www.cisco.com/c/ja_jp/td/docs/security/wsa/wsa-14-5/user-guide/wsa-userguide-14-5/b_WSA_UserGuide_11_7_chapter_010101.html

 

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents