Troubleshooting Guide Cisco クラウド Web セキュリティ トラブルシューティ ング ガイド All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 of 13
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Troubleshooting Guide
Cisco クラウド Web セキュリティ トラブルシューティング ガイド
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 of 13
目次 はじめに ........................................................................................................................................................... 3 クラウド Web セキュリティ プロキシへの接続 ..................................................................................................... 3
接続の確認 ................................................................................................................................................. 3 ASA の問題と CWS プロキシの問題の区別 ................................................................................................. 4 ライセンスの問題 ......................................................................................................................................... 9
Cisco クラウド Web セキュリティの機能 ......................................................................................................... 10 タイム ゾーンの不一致 ............................................................................................................................... 10 セッション フロー ........................................................................................................................................ 11
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 2 of 13
はじめに このドキュメントでは、Cisco Adaptive Security Appliance(ASA)ソフトウェア 9.0 で実行されている Cisco® Cloud Web Security(CWS)で発生する一般的な問題を解決するヒントについて説明します。Cisco ASA とそこで実行さ
れている CWS コネクタについて理解していることを前提としています。さらに、Cisco クラウド Web セキュリティが
すでに ASA で設定されており、Cisco クラウド Web セキュリティの管理者ポータルである Cisco ScanCenter から
適切なライセンスを取得していることも前提としています。
Cisco クラウド Web セキュリティと適応型セキュリティ アプライアンスの統合の詳細については、Cisco クラウド Web セキュリティの設定ガイド(http://tools.cisco.com/squish/eF3bE)を参照してください。
以降のセクションでは、ASA から CWS プロキシへの接続、CWS の機能、およびユーザ エクスペリエンスについて
説明します。これらのセクションでは、それぞれ前のセクションに基づいて説明されているため、セクションの順序ど
おりにトラブルシューティングしてください。次のセクションに移動する前に、前のセクションの問題を解決する必要が
あります。
クラウド Web セキュリティ プロキシへの接続 ASA が CWS プロキシに接続できない場合、CWS は正しく動作しません。このセクションでは、ASA が CWS プロキ
シに接続できるかどうかを調べる方法と、プロキシに接続できない場合に考えられる解決手順について説明します。
接続の確認 プロキシへの接続を確認するには、show content-scan summary コマンドを発行します。その後表示される設
定からわかるように、CWS プロキシとの接続が確立されている場合は、「(REACHABLE)」とカッコ付きで表示され
ます。
ciscoasa(config)# show scansafe server
Primary: proxy197.scansafe.net (72.37.244.115) (REACHABLE)*
Backup: proxy137.scansafe.net (80.254.152.99)
いずれかのプロキシに「(UNREACHABLE)」と表示された場合、ASA はそのプロキシに接続していないと思われます。
# sh scansafe server
Primary: proxy555.scansafe.net (NOT RESOLVED) (UNREACHABLE) for last 12 secs, tried to connect 0 times
Backup: proxy666.scansafe.net (NOT RESOLVED) (UNREACHABLE) for last 12 secs, tried to connect 0 times
CWS プロキシへの Telnet 接続を確立して、接続をテストすることもできます。TCP ping を実行し、設定で指定した
ポートを使用してプロキシの IP アドレスまたは完全修飾ドメイン名に接続します。成功率が 0 より高い場合、タワー
に接続しています。成功率が 0 の場合、接続していません。
!Connectivity between ASA and ScanSafe Tower
# ping tcp proxy197.scansafe.net 8080
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 72.37.244.115 port 8080
from xxx.xxx.xxx.xxx, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 21/22/23 ms
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 3 of 13
!No connectivity between ASA and ScanSafe Tower
# ping tcp proxy197.scansafe.net 8080
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 72.37.244.115 port 8080
from xxx.xxx.xxx.xxx, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
次のステップ
● ルーティングをチェックし、ネットワークが CWS プロキシに接続できることを確認します。
● タワーへの接続をブロックしているファイアウォールがないことを確認します。
● サポートに問い合わせる必要がある場合、Cisco Technical Assistance Center(Cisco TAC)でケースを
オープンします。
ASA の問題と CWS プロキシの問題の区別 どちらのプロキシにもアクセスでき、TCP を使用して TCP に接続できることを確認したが、参照時に空白のページ
が表示される場合、問題が ASA と CWS プロキシのどちらにあるのかを特定します。サポート ケースをオープンす
る必要がある場合、適切な連絡先にケースを報告すると解決がスピードアップします(ASA 側と CWS 側のどちら
か)。問題の発生源を特定するには、ブラウザのプロキシ設定でプロキシ IP を直接設定し、ASA をバイパスします。
このバイパスにより、ASA とプロキシのどちらに問題があるのかを特定できます。
ASA をバイパスすると、ASA で設定されたライセンスが使用されないため、タワーにより権限を持つユーザとして認
識されません。CWS プロキシが、許可されたトラフィックとして認識できるようにするには、まず ScanCenter のス
キャン IP リストに出力 IP アドレスを追加します。出力 IP アドレスは、コンピュータまたはクライアントで www.whatismyip.com にアクセスすることで確認できます。次の例に、出力 IP アドレスをスキャン IP の CWS リストに追加する方法を示します。
1. ScanCenter で、[Admin] タブをクリックし、[Your account] で [Scanning IPs] を選択します。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 4 of 13
2. リストに出力 IP アドレスをサブネット マスクと共に入力し、[Submit] をクリックします。
3. スキャン IP が変更されたことを確認するメッセージが表示されます。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 5 of 13
次の例に、Internet Explorer(IE)でプロキシを設定する方法を示します。手順は、ブラウザのバージョンにより異な
る場合があります。
1. IE で、[ツール] → [インターネット オプション] に移動します。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 6 of 13
2. [接続] タブで [LAN の設定] をクリックします。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 7 of 13
3. [プロキシ サーバー] セクションで、[LAN にプロキシ サーバーを使用する] チェックボックスをオンにします。
[アドレス] に CWS プロキシの IP アドレス、[ポート] にポート番号を入力し、完了したら [OK] をクリックします。
Web サイトを参照してみます。ASA がバイパスされます。正しく参照できた場合、問題は ASA にあると考えられま
す。設定とルーティングを確認してください。参照できない場合、問題は CWS プロキシにあると考えられるため、シ
スコの担当者に問い合わせる必要があります。
注: ユーザによってこのページがロードされるかどうかが異なる場合、ページがロードされないユーザが CWS を経由せずに別のプロキシ サーバを使用していないかどうかを確認します。
次のステップ
● ブラウザでプロキシを設定したら参照できるようになった場合、問題は ASA 側にあります。サポートに問い
合わせる必要がある場合、Cisco TAC でケースをオープンします。
● ブラウザでプロキシを設定しても参照できない場合、問題は CWS プロキシ側にあります。サポートに問い
合わせる必要がある場合、Cisco TAC でケースをオープンします。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 8 of 13
ライセンスの問題 無効な CWS ライセンスを使用している場合、show scansafe server コマンドを発行しても、タワーの接続に関し
て「REACHABLE」と表示される可能性があります。しかし、ライセンスの問題がある場合、参照しようとすると次の
ような「403 Forbidden」エラー メッセージが表示されます。
次のステップ
● Cisco ScanCenter ポータルで提供されたキーを使用して、正しいライセンス キー情報を入力したことを確
認します。
# sh run scansafe
!
scansafe general-options
server primary fqdn proxy197.scansafe.net port 8080
server backup fqdn proxy137.scansafe.net port 8080
retry-count 5
!
!!Make sure the license key on the router is correct
license AEXXXXXXXXXXXXXXXXXXXXXXXXXXAA39 encrypted
● キーの設定が間違っていた場合は、ScanCenter で新しいキーを生成して送信することもできます。キーを
生成して送信する方法の詳細については、『ScanCenter 管理者ガイド』を参照してください。
● 正常なライセンスまたはキーを取得できない場合は、Cisco TAC に問い合わせてください。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 9 of 13
Cisco クラウド Web セキュリティの機能 このセクションでは、ユーザが Web サイトにアクセスできない他の状況について考えます。ここでは、ASA が CWS プロキシに接続していることを前提としています。接続しているかどうかわからない場合は、「Cloud Web Security プロキシへの接続」を参照してください。
ブロック対象または警告対象のサイトにアクセスしようとした場合、CWS からブロック メッセージまたは警告メッセー
ジが表示される点を思い出してください。このメッセージの表示は、Cloud Web Security の機能の 1 つです。
CWS のブロック メッセージは次のとおりです。
CWS の警告メッセージは次のとおりです。[Accept] をクリックすると、サイトに接続できます。
Web ページがまったくロードされない(たとえば、空白ページしか表示されないなど)とユーザが報告している場合、
次のセクションで説明されているエラーを確認してください。
タイム ゾーンの不一致 CWS では、時刻ベースのポリシーが使用されているため、ASA のタイム ゾーンと CWS プロキシのタイム ゾーン
が一致していない場合、ユーザは Web サイトにアクセスできません。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 10 of 13
次のステップ
● この問題の最も簡単な解決方法は、ネットワーク タイム プロトコル(NTP)サーバを使用するように ASA を設定することです。
ntp server 10.0.0.1 source outside prefer
セッション フロー セッション フローを詳しく見てみると、CWS がトラフィックを正しくリダイレクトしているかどうかを調べるのに役立つ
場合があります。リダイレクトされたセッションとホワイトリストに追加されたセッション(ASA で CWS コネクタをバイ
パスします)の合計数を確認するには、show scansafe statistics コマンドを使用します。
# show scansafe statistics
Current HTTP sessions : 12
Current HTTPS sessions : 0
Total HTTP Sessions : 102
Total HTTPS Sessions : 0
Total Fail HTTP sessions : 0
Total Fail HTTPS sessions : 0
Total Bytes In : 6532 Bytes
Total Bytes Out : 66622 Bytes
HTTP session Connect Latency in ms(min/max/avg) : 0/0/0
HTTPS session Connect Latency in ms(min/max/avg) : 0/0/0
例に太字で示されているように、CWS は実際にトラフィックをタワーにリダイレクトしています。
show service-policy inspect scansafe
このコマンドを実行すると、特定のポリシーによりリダイレクトまたはホワイトリストに追加された接続の数が表示さ
れます。出力の例を次に示します。
ciscoasa(config)# show service-policy inspect scansafe
Global policy:
Service-policy: global_policy
Class-map: inspection_default
Interface inside:
Service-policy: scansafe-pmap
Class-map: scansafe-cmap
Inspect: scansafe p-scansafe fail-open, packet 0, drop 0, reset-drop 0, v6-fail-close 0
Number of whitelisted connections: 0
Number of connections allowed without scansafe inspection because of "fail-open" config: 0
Number of connections dropped because of "fail-close" config: 0
Number of HTTP connections inspected: 0
Number of HTTPS connections inspected: 0
Number of HTTP connections dropped because of errors: 0
Number of HTTPS connections dropped because of errors: 0
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 11 of 13
次のステップ
● 個々のユーザまたはユーザグループ全体が CWS プロキシに正しく接続できるかどうかを調べる最終的な
チェックとして、ユーザにブラウザで http://whoami.scansafe.net/ にアクセスしてもらいます。CWS が機能
している場合、CWS プロキシから取得されたユーザグループ アカウントの詳細が出力に表示されます。出
力の例を次に示します。
● CWS へのリダイレクトが機能しているにもかかわらず、ユーザが Web ページをロードできない場合、ASA 上のコネクタはすでに正しく機能しているため、CWS プロキシ側でデバッグを実行する必要があります。サ
ポートに問い合わせる必要がある場合、Cisco TAC でケースをオープンします。
● CWS へのリダイレクトが機能していない場合、ASA 側でデバッグを実行する必要があります。サポートに
問い合わせる必要がある場合、Cisco TAC でケースをオープンします。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 12 of 13
©2013 Cisco Systems, Inc. All rights reserved. Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用はCiscoと他社との間のパートナーシップ関係を意味するものではありません。(0809R) この資料に記載された仕様は予告なく変更する場合があります。
シスコシステムズ合同会社 〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp お問い合わせ先:シスコ コンタクトセンター 0120-092-255(フリーコール、携帯・PHS含む) 電話受付時間 : 平日10:00~12:00、13:00~17:00 http://www.cisco.com/jp/go/contactcenter/
C07-726113-00JA 13.12
お問い合わせ先
Related Documents
