Pergunta
Como configuro o spoofing de IP?
Ambiente: Cisco Web Security Appliance (WSA), todas as versões do AsyncOS
Resumo:
Em uma implantação de proxy tradicional, o endereço IP do cliente é substituído pelo do servidor proxy/cache. Embora isso forneça segurança inerente ao mascarar o endereço do usuário final, em alguns casos, certos aplicativos da Web exigem acesso ao endereço IP do cliente de origem.
Implementando o recurso "IP Spoofing" no Cisco Web Security Appliance (WSA) e configurando os grupos de serviços WCCP apropriados em um dispositivo Cisco IOS, é possível apresentar o endereço IP do cliente para aplicativos da Web em vez do endereço IP do WSA. O documento a seguir descreve as etapas de configuração necessárias para esta implementação.
Descrição:
Para implementar o recurso "IP Spoofing", dois grupos de serviço WCCP exclusivos precisaram ser criados em um roteador Cisco IOS®. O primeiro grupo 'web-cache' do WCCP redireciona o tráfego http/porta 80 do usuário para o WSA. Listas de controle de acesso específicas podem ser configuradas (como mostrado no exemplo abaixo) para controlar quais usuários são protegidos pelo dispositivo Cisco Web Security. A interface do usuário no roteador está configurada para redirecionar o tráfego de entrada para esse grupo de serviços do WCCP.
O segundo grupo de serviços do WCCP precisa ser definido como um ID de serviço dinâmico (por exemplo, ID de serviço 95). Novamente, uma lista de acesso é usada para controlar quais usuários estão protegidos (ou seja, permitir o desvio total do sistema). Para o tráfego da Web de retorno, a interface externa no roteador é configurada para redirecionar seu tráfego de entrada para o grupo de serviço 95 do WCCP.
Feedback