docTroubleshooting utilizando Web Security Appliance (WSA)
download 
Demanda Transcripción
Troubleshooting utilizando Web Security Appliance (WSA)
Troubleshooting utilizando Web Security Appliance (WSA) Cisco Support Community Expert Series Webcast Tery Le Febvere Customer Support Engineer 19 de Julio de 2016 Pregunte al Experto con: Tery Troubleshooting utilizando Web Security Appliance (WSA) Si tiene dudas adicionales Tery nos ayudará a responder sus preguntas a partir de hoy hasta el viernes 12 de Agosto del 2016 en: Tery Le Febvere https://supportforums.cisco.com/es/discussion/13040366 ©2016 Cisco Support Community Webcast en Portugués Orquestração para Data Center e Cloud com Cisco Unified Computing System (UCS) Director Miércoles, 27 de Julio del 2016 https://supportforums.cisco.com/pt/event/13040691 Pedro Ivo Santos Mauri Customer Support Engineer ©2016 Cisco Support Community en Ingles – Pregunte al Experto Diagnose and Troubleshoot Hardware Failures on Cisco Nexus 7000 Switches Disponible hasta el dia 22 de Julio del 2016 https://supportforums.cisco.com/event/1306 9966/ask-expert-diagnose-and-troubleshoothardware-failures-cisco-nexus-7000switches Chandan Sarkar & Partha Dasgupta Customer Support Engineers ©2016 Cisco Support Community Spanish – Pregunte al experto Actualización de IOS en switches Catalyst Disponible hasta el dia 29 de Julio del 2016 https://supportforums.cisco.com/es/discussi on/13040291 Eliel García Technical Support Engineer ©2016 Cisco Support Community Portuguese – Pregunte al experto FlexConnect - Solução wireless para locações remotas Disponible hasta el 29 de Julio del 2016 https://supportforums.cisco.com/pt/discu ssion/13039616 Rafael Enríquez Technical Support Engineer ©2016 Califique el contenido de la Comunidad de Soporte en Español. Ahora puede calificar discusiones, documentos, blogs y videos!!... Esto es con el fin de que nos ayude a distinguir contenido de calidad y también para reconocer los esfuerzos de los integrantes de la Comunidad de Soporte de Cisco en español. ©2016 Reconocimientos en la Comunidad El reconocimiento al “Participante Destacado de la Comunidad” está diseñado para reconocer y agradecer a aquellas personas que colaboran con contenido técnico de calidad y ayudan a posicionar nuestra comunidad como el sitio número uno para las personas interesadas en tecnología Cisco. ©2016 Gracias por su asistencia el día de hoy La presentación incluirá algunas preguntas a la audiencia. Le invitamos cordialmente a participar activamente en las preguntas que le haremos durante la sesión ©2016 Expert Series Webcast Troubleshooting utilizando WSA Tery Le Febvere colabora como ingeniera de soporte en el Centro de soporte de Cisco (TAC) de RTP en Carolina del Norte, pertenece al grupo de WSA (Web Security Appliance) y al CWS (Colud Web Security), es la primera ingeniera híbrida en Cisco. Ha trabajado en el TAC por 7 años, en los últimos 3 años se ha enfocado en la tecnología de seguridad y cuenta con experiencia en Telepresencia, Routing & Switching y Arquitectura. Tery es egresada de estudios de CCNA y Networking del Collin Community Collegue de Texas. Tiene más de 10 años de experiencia en área de Networking y cuenta con las certificaciones de: CCNA y CCNA Security. ©2016 Tery Le Febvere Participación del experto Antonio de Valter Da Costa Arquitecto de soluciones de Seguridad ©2016 Gracias por estar con nosotros hoy dia! Si desea obtener la presentación de este evento diríjase a: https://supportforums.cisco.com/es/document/13076736?utm_mediu m=refreal &utm_source=WebcastSpanish&utm_campaign=WebcastTerySlides ©2016 ¡ Ahora puede realizar sus preguntas al panel de expertos! Use el panel de preguntas y respuestas (Q&A) para preguntar a los expertos ahora. Ellos empezarán a responder. ©2016 Troubleshooting utilizando WSA (Web Security Appliance) Webcast Con los Expertos Comunidad de Soporte Cisco en español Tery LeFebvere TAC Security Network Engineer 19 de Julio 2016 Encuesta Pregunta 1 ¿Qué configuración utilizas en el WSA? 1. Pac file 2. Proxy en el browser 3. WCCP ©2016 ¿Qué es un proxy y cómo funciona en las redes? Introducción La WSA ofrece servicio de proxy y también escanea, inspecciona y clasifica todo el tráfico ( HTTP , HTTPS y el Protocolo de Transferencia de Archivos ( FTP ). ©2016 Explicit Proxy Cuando el cliente se comunica directamente con el WSA. El usuario sabe que esta utilizando un proxy. Default Gateway Transparent Proxy Cuando el cliente se comunica con el Default Gateway, el cliente no tiene conocimiento que hay un proxy. ©2016 Agenda • Habilitación de HTTPS para Inspección. • Fundamentos de la inspección HTTPS ( Decryption) • Manejo de problemas con WSA • Interpretación de logs de acceso (accesslogs) • Toma de captura de paquetes en WSA • Problemas comunes con el WSA y troubleshooting • Muestra en vivo ©2016 Web Security Appliance Cómo el WSA maneja el trafico http/https y cuáles son los problemas más comunes que se presentan en el proxy. ©2016 ¿Qué es https y cómo funciona con WSA? El protocolo de Transferencia (HTTPS) es la versión segura de el http (Hyper Text Transfer Protocol) es conocido y utilizado por todos. Cuando el tráfico HTTPS pasa por el WSA, si el https decryption esta habilitado el proxy va a descifrar el tráfico. Cuando el tráfico se descifra, entonces se debe tratar como HTTP. ©2016 Habilitación de HTTPS para Inspección ¿Cuál es el impacto? 1. Mensaje de aviso/advertencia en el browser 2. Algunas aplicaciones no funcionan 3. Problemas con TLS 1.1 y TLS1.2 – Versión 8.x.x 4. Un impacto en el WSA – cuando todas las categorías están en la acción Decrypt ©2016 ¿Cómo generar el certificado? ©2016 ©2016 Cómo manejar problemas de Inspección con el WSA Problemas con HTTPS y los browsers ©2016 ©2016 Cómo enviar el certificado por GPO (Group Policies) Por favor considerar que las instrucciones son de Microsoft no de Cisco. ¿Qué parámetros son importantes en el certificado? El nombre común tiene que ser exacto al ingresado al browser. Las fechas de Certificado deben ser válidas, no expiradas. Las cadenas de los Certificados deben tener una autoridad de certificación de confianza. Cómo el proxy escanea el tráfico por las políticas de Access Policies, Decrypt Policies. Encuesta Pregunta 2 ¿Qué tipo de herramientas han utilizado más en el WSA? 1. Acces logs 2. Packet capture 3. Pólice Trace ©2016 Cómo manejar problemas de Inspección con el WSA ©2016 Grep 1. 2. 3. 4. 5. 6. 7. Grep Enter the number of the log you wish to grep: 1 (for accesslogs) Enter the regular expression to grep: <IP cliente> Do you want this search to be case insensitive?: Y Do you want to search for non-matching lines? N Do you want to tail this log?: Y Do you want to paginate the output?: N ©2016 Interpretación de logs de acceso (accesslogs) Web Security Appliance y los Accesslogs A continuación, se presentan algunos ejemplos de lo que puede ver en accesslogs : Nota: hay algunas palabras clave que ayudan a interpretar la lectura de los logs de acceso. • TUNNEL - Muestra el tráfico fue recibido de manera transparente (mediante WCCP o L4 redirección ... Etc.) • CONNECT - Muestra el tráfico fue recibido de forma explícita. • DECRYPT_WBRS - Demuestra que WSA ha decidido Descifrar el tráfico debido a la puntuación ( conforme a los sites del web) WBRS • PASSTHRU_WBRS - Muestra que WSA ha decidido PASAR por el tráfico debido a la puntuación WBRS • DROP_WBRS - Demuestra que WSA ha decidido bloquear/caer el tráfico debido a la puntuación WBRS ©2016 Transparente - Decrypt 1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TUNNEL tunnel://192.168.34.32:443/ DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,,-,-,-,-,-,-,-,-,-,-> 1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASEtest.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> Transparente- Passthrough 1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TUNNEL tunnel://192.168.34.32:443/ DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,,-,-,-,-,-,-,-,-,-,-,-> Transparente - Drop 1252543418.175 430 192.168.30.103 TCP_12DENIED/403 0 TUNNEL tunnel://192.168.34.32:443/ DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,,-,-,-,-,-,-,-> ©2016 Explicito - Decrypt 1252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/s.yimg.jp - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONEDefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> 1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/s.yimg.jp image/gif DEFAULT_CASE-test.policytest.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> - Explicito - Pass through 1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/s.yimg.jp - PASSTHRU_WBRS-DefaultGroup-test.id-NONENONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> - Explicito - Drop 1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> ©2016 Mantener las políticas de acceso Access Policies – Utilizar "todas las identidades" moderación. Custom Categories Evitar expresiones regulares, sobre todo ". *” Políticas de usuarioEvitar la definición de políticas que especifican múltiples usuarios individuales. ©2016 2xx Successful 3xx Redirection Definiciones de respuestas TCP 301: 302: 304: 307: Permanent redirection Temporary redirection Not Modified (Response to GIMS) Authentication redirection 4xx Client Problems 200: OK (standard response) 204: No Content 400: 401: 403: 404: 407: Bad Request (malformed / non-compliant) Web server authentication required Denied Object not found Explicit proxy authentication required 5xx Client Problems 500: Server Error 502: Gateway Timeout (No SYN response) 504: Service Timeout (No service response – DNS / HTTP) Respuestas comunes de TCP con autenticación 401s and 407s - NO son mensajes de error ! 401s and 407s no indican que hay un problema . Esto significa que se requiere la autenticación con el fin de proceder. Diferencia entre 401s and 407s 401s y 407s significan lo mismo: Requiere autenticación. 401 significa en modo transparente requiere autenticación 407 significa que la representación se requiere autenticación de modo explicito. ©2016 Definiciones de HTTP Cache result Result TCP_HIT The object was served from disk cache. TCP_MEM_HIT The object was served from memory cache. TCP_MISS The object was not in cache and was pulled from the origin server. TCP_REFRESH_HIT The object was in cache, but was stale. The WSA made an If-Modified-Since request to the OCS and the response was "Not Modified." TCP_REFRESH_MISS The object was in cache, but was stale. The WSA made an If-Modified-Since request to the OCS and the response was a 200. TCP_CLIENT_REFRESH_MISS The client issued a Pragma: No-cache header. Object was pulled from the origin server. TCP_DENIED The client access was denied. TCP_IMS_HIT A GET If-Modified-Since request was received from the client. A valid copy of the object was in the cache (fresh). TCP_IMS_MISS A GET If-Modified-Since request was received from the client. The requested object was not in the cache or stale. Object fetched from the OCS. 1264520904.358 203 173.37.3.110 TCP_CLIENT_REFRESH_MISS/200 3483 GET http://mail.google.com/mail/ - DIRECT/… 1264520573.395 0 173.37.3.110 TCP_DENIED/403 1618 GET http://www.google.com/ig/setp?et=4b5f0ccdqgL... 1264520574.063 49 173.37.3.110 TCP_MISS/302 756 GET http://talkgadget.google.com/talkgadget/notifier-js?si... Problemas comunes con el WSA y troubleshooting Error común cuando el WSA no tiene espacio en el disco para los logs y reportes. ---------------------------------------------------------------------The Warning message is: Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent. Recording of reporting events will soon become limited and reporting data may be lost if disk space is not freed up (by removing old logs, etc). Once disk usage drops below 97 percent, full processing of reporting data will be restarted automatically. ---------------------------------------------------------------------The Critical message is: The log partition is at 107% capacity ---------------------------------------------------------------------- ©2016 ©2016 Client Filezilla ©2016 ©2016 Toma de captura de paquetes en WSA Support and Help > Packet Capture Toma una captura de paquetes con un filtro del destino. Tomar capturas del cliente. ©2016 Traza de Política System Administration > Policy Trace ©2016 Configuración Bypass Web Security Manager > Bypass Setting ©2016 Muestra en vivo En el Lab ©2016 ¿Si tienen habilitado https en el WSA, cuál es la acción más común que utilizan? Encuesta Pregunta 3 1. Drop 2. Decrypt 3. Passthrough 4. Monitor ©2016 ¿Qué información debo proporcionar para recibir ayuda con mi caso? Considerar la siguiente información cuando el problema este presente: • Captura de paquetes – WK (WireShark) del cliente y del WSA. • Los access logs- al momento cuando el problema este presente. • Archivo de Configuración del WSA sin los mask passwords. ©2016 Referencias: • Cisco Web Security Appliance Data Sheet: http://www.cisco.com/c/en/us/products/collateral/security/contentsecurity-management-appliance/data_sheet_c78-729630.html?cachemode=refresh • Cisco Web Usage Control Filtering Categories Data Sheet: http://www.cisco.com/c/en/us/products/collateral/security/web-security-appliance/datasheet_C78718442.html?cachemode=refresh • Cisco Security Virtual Appliance Licenses for Customers and Partners: http://www.cisco.com/c/en/us/products/collateral/security/web-security-virtual-appliance/guide-c07-733392.html • Cisco Content Security Virtual Appliance Installation Guide:http://www.cisco.com/c/dam/en/us/td/docs/security/content_security/virtual_appliances/Cisco_Content_Securi ty_Virtual_Appliance_Install_Guide.pdf • User Guide for AsyncOS 9.1 For Cisco Web Security Appliances: http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa9-0/wsa9-1/WSA_9-1_User_Guide.pdf • Para ver mas información de los certificados as clic aqui - http://www.cisco.com/c/en/us/support/docs/security/websecurity-appliance/117792-technote-wsa-00.html ©2016 Haga sus preguntas ahora Utilice el panel de Q&R para realizar sus preguntas ©2016 Pregunte al Experto con: Tery Troubleshooting utilizando Web Security Appliance (WSA) Si tiene dudas adicionales Tery nos ayudará a responder sus preguntas a partir de hoy hasta el viernes 12 de Agosto del 2016 en: Tery Le Febvere https://supportforums.cisco.com/es/discussion/13040366 ©2016 La comunidad de Soporte tiene otros idiomas! Si habla Portugués, Japonés, Ruso, Chino o Inglés lo invitamos a que participe en otro idioma. Español https://supportforums.cisco.com/community/spanish Portugués https://supportforums.cisco.com/community/portuguese Japonés https://supportforums.cisco.com/community/csc-japan Ruso https://supportforums.cisco.com/community/russian Chino http://www.csc-china.com.cn Inglés https://supportforums.cisco.com/community/5411/ciscosupport-community ©2016 Lo invitamos a nuestros próximos eventos en redes sociales Cisco TS- Latam Cisco Mexico Cisco España Cisco Latinoamérica Cisco Cono Sur Comunidad Cisco Cansac CiscoSupportCommunity @CiscoTSLatam @ciscocansacsm @CiscoMexico @ciscoconosur @cisco_spain @cisco_support ©2016 Lo invitamos a nuestros próximos eventos en redes sociales CiscoLatam ciscosupportchannel Cisco Technical Support CSC-Cisco-Support-Community ©2016 ¡Nos interesa su opinión! Para completar la evaluación espere un momento y aparecerá automáticamente al cerrar el browser de la sesión ©2016 Gracias por su tiempo Por favor tome un momento para contestar la evaluación
