расшифровка TLS IronPort WebProxy

adamgibs7

Уважаемые У меня есть одно уточнение: если я выполняю расшифровку TLS для трафика конечных пользователей на прокси-сервере, в чем преимущество этого, ведь прокси-сервер не является системой предотвращения, и если в соединении присутствует вредоносный трафик, как мы можем предотвратить его попадание к конечному пользователю? Спасибо

amojarra

Здравствуйте позвольте мне описать здесь несколько моментов. [1] Во-первых, предположим, что вы пытаетесь загрузить вирус через HTTPS-соединение. Если WSA не знает, что находится внутри, он не будет его блокировать.
[2] WSA имеет несколько сканирующих движков, таких как Sophos, Mcafee, Webroot, которые сканируют файлы на наличие вредоносных программ
. [3] WSA также интегрирован с AMP (в облаке или на постоянной основе) и отправляет хэш файла на сервер AMP. Если результат проверки — «Чистый» или «Вредоносный», мы знаем, что делать: заблокировать или разрешить. Если результат — «Неизвестно» и файл соответствует критериям для отправки на сервер анализа файлов (ранее ThreatGrid), файл будет отправлен в песочницу для дальнейшей проверки. ![amojarra_0-1668513395239.png] Пожалуйста, проверьте эту ссылку:
Руководство пользователя по AsyncOS 14.5 для Cisco Secure Web Appliance — GD (общее развертывание) — Фильтрация по репутации файлов и анализ файлов [Cisco Secure Web Appliance] — Cisco [4] Кроме того, WSA имела некоторую систему предотвращения, работающую на базе Talos, с оценкой репутации веб-сайтов и категоризацией URL-адресов, с помощью которой можно предотвратить доступ к некоторым ВРЕДОНОСНЫМ веб-сайтам Поэтому, отвечая на ваши вопросы: поэтому поставщики SSL говорят, что вредоносный трафик скрыт в SSL-туннеле, так как это возможно? SSL/TLS или, в общем, HTTPS-трафик шифруется между клиентом и сервером. В прокси-среде, если мы включаем проверку SSL или дешифрование HTTPS, веб-клиентом является WSA, поэтому все данные поступают в WSA в зашифрованном виде, а WSA дешифрует их и имеет полный доступ к ним. пока это не поддельный DNS внутри сети (который необходимо адресовать на уровне DNS?) В явном режиме прокси-сервер отвечает за разрешение DNS, а в прозрачном режиме — клиент. Когда мы включили L4TM, мы можем отслеживать активность DNS. Кроме того, оснастив сеть CISCO Umbrella, мы получим безопасность на уровне DNS и снова с WBRS (оценка репутации веб-сайтов), если разрешенный IP-адрес для FQDN указывает на какой-либо известный вредоносный IP-адрес, и Talos знает об этом, он заблокирует его до установления сеанса Если URL-адрес является хорошо известным хорошим URL-адресом и он проходит через WSA на обратном трафике, злоумышленник совершил атаку «человек посередине», и этот тип соединения будет обнаружен WSA. Если злоумышленник хочет стать «посредником» в HTTPS-трафике, ему/ей необходимо иметь сертификат, который WSA проверит на действительность, когда HTTPS-прокси включен Также вы можете проверить сетевой поток и уровни защиты WSA до, во время и после атаки. ![amojarra_1-1668513977249.png] Надеюсь, эта информация будет вам полезна. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++

balaji.bandi

В настоящее время большинство сайтов зашифрованы, поэтому, если вы хотите просматривать трафик https, вам необходимо его расшифровать и проверить. В этом случае поможет расшифровка https. Это происходит из публичной сети во внутреннюю сеть. if any malicious traffic is inside the connection how we can prevent it to reach to end user. если устройство уже является вредоносным внутри локальной сети, это должно быть обнаружено конечным устройством, верно? BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

Ken Stieers

Смысл дешифрования заключается в том, чтобы УВИДЕТЬ «вредоносный трафик» и затем принять соответствующие меры. Без дешифрования WSA может принимать решения на основе доменной части URL-адреса... входит ли
«www.whaterversite.com»
в категорию, которую мы разрешаем посещать нашим пользователям? С помощью дешифрования вы можете увидеть полный URL-адрес и файлы, которые загружают пользователи. Теперь вы можете контролировать определенные действия на веб-сайтах (загрузка, но не выгрузка, публикация комментариев, но не фотографий и т. д.) и сканировать файлы на наличие вредоносных программ.

adamgibs7

Дорогие спасибо за ответы. Поправьте меня, если я ошибаюсь. Если пользовательский трафик расшифровывается на WSA и в нем обнаруживается вредоносный файл, WSA проводит проверку файла. Если файл известен, он удаляется, если неизвестен, он отправляется в песочницу, если таковая имеется.
Если URL-адрес является хорошо известным и проходит через WSA при обратном трафике, а злоумышленник совершил атаку «человек посередине», то WSA обнаружит этот тип соединения. Спасибо.

balaji.bandi

1 - ваше понимание верно. 2. Шифрование и дешифрование происходят на 2 уровнях Пользователь к WAS также шифруется, WSA к публичному сайту также шифруется. Где происходит атака «человек посередине»? До тех пор, пока это не поддельный DNS внутри сети (который необходимо адресовать на уровне DNS?) BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

adamgibs7

Уважаемый Баладжи Организация осуществляет расшифровку SSL для большей части трафика, поэтому поставщики SSL заявляют, что вредоносный трафик скрывается в SSL-туннеле. Так как же обстоят дела на самом деле? Спасибо