Segurança : Cisco Web Security Appliance

O IE pode incorretamente enviar pedidos a WSA na porta do NON-proxy quando o arquivo PAC é usado

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Kei Ozaki e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

Pergunta:

O IE pode incorretamente enviar pedidos a WSA na porta do NON-proxy quando o arquivo PAC é usado

Ambiente: Ferramenta de segurança da Web de Cisco (alguma versão), internet explorer 6,7,8

Sintomas: Os pedidos são enviados à porta do NON-proxy de WSA e estão sendo obstruídos/deixados cair

Em certas circunstâncias o internet explorer (IE) pode incorretamente enviar pedidos à porta errada na ferramenta de segurança da Web de Cisco (WSA).

Isto parece acontecer quando a circunstância abaixo é estada conforme

  1. O IE é configurado para usar o arquivo PAC
  2. O arquivo PAC é ajustado para contornear proxying para o endereço IP de Um ou Mais Servidores Cisco ICM NT de WSA
  3. Do “a página da notificação utilizador final” inclui uma referência, o mais geralmente a imagem do logotipo, que é hospedada em WSA
  4. A URL que provê o logotipo combina o valor de retorno do “PROXY” no arquivo PAC.

Quando acima das circunstâncias forem encontrados, IE enviará incorretamente pedidos do HTTP à porta que o logotipo é hospedado sobre.

Configuração de arquivos do exemplo PAC:

função FindProxyForURL (URL, host) {
se (isInNet(host,"10.0.0.0","255.0.0.0")) o retorno “DIRIGE”;
“PROXY do retorno outro wsa-hostname:80";
}

Link do exemplo ao logotipo:         http://wsa_hostname:9001/logo.png (wsa-hostname que resolve um IP na sub-rede 10.0.0.0/8)

Usando o exemplo de configuração acima, o IE enviará pedidos a wsa-hostname:9001.

O sintoma é considerado na maior parte quando um pedido da continuação é obstruído e a página EUN apresentada renderá o logotipo a ser carregado. Quando o usuário clica sobre um link, o pedido a este link vai a wsa-hostname:9001 em vez de wsa-hostname:80.

  • Mesmos acontecerão quando você usa função de advertência em WSA.

Em consequência, WSA recusará o processamento do pedido porque o pedido foi recebido na porta incorreta (9001 em vez de 80).

  • Se a porta recebida é outros 9001 (ou arquivos da porta o PAC está hospedado sobre), WSA retornará o pedido "400 ruim”.
  • Se a porta recebida é outras 8443 (ou portas onde o Gerenciamento HTTPS está escutando sobre), WSA deixará cair a conexão sem nenhum erro.

Este comportamento está incorreto, IE não deve enviar pedidos diretamente a "wsa-hostname:9001" porque o arquivo PAC não indica assim.

  • Firefox não observa este comportamento.

Solução:

  1. Mude o link do “logotipo” ou o valor de retorno do “PROXY” no arquivo PAC assim que estes dois não combinam.
  2. Mude o arquivo PAC para usar o “PROXY <wsa-IP-address>:80" em vez do hostname
  3. Criando outros registro A para o link do logotipo

Nota: Recomenda-se usar o hostname das palavras únicas ao prover proxys. Daqui as ações alternativas (1) e (3) devem ser preferidas sobre (2).


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118153