Segurança : Cisco Web Security Appliance

O aviso WSA, o reconhecimento, e as páginas EUN não indicam corretamente para pedidos explícitos HTTPS

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve um problema que seja encontrado na ferramenta de segurança da Web de Cisco (WSA) quando o aviso, o reconhecimento, ou as páginas da notificação do utilizador final (EUN) não indicam corretamente para pedidos explícitos HTTPS. Uma ação alternativa para este problema é fornecida igualmente.

Contribuído por Kei Ozaki e por Zack Shaikh, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A informação neste documento supõe aquela:

  • Os endereços de proxy WSA são distribuídos no modo explícito.
  • Os pedidos HTTPS ou são obstruídos, advertido, ou exija o reconhecimento do usuário.

Componentes Utilizados

A informação neste documento é baseada em Cisco WSA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Problema

O aviso, o reconhecimento, ou as páginas EUN não indicam corretamente para pedidos explícitos HTTPS. O navegador indica uma página incompleta da notificação, ou não indica a página de todo e indica pelo contrário uma página do erro.

Há diversas edições que cercam estas páginas quando você usa pedidos explícitos HTTPS. Quando você configura seu navegador para usar um proxy, o tráfego HTTPS está dirigido ao WSA sobre o HTTP. Este pedido é formatado como um HTTPS sobre o HTTP.

Há dois problemas conhecidos com navegadores que não seguram corretamente o HTTP respondem que o WSA retorna para pedidos explícitos HTTPS. Quando um pedido explícito HTTPS é obstruído, advertido, ou exige o reconhecimento do usuário, o WSA retorna um código de status 403. Dentro desta resposta, o WSA inclui o índice da notificação que deve normalmente ser rendido na tela de modo que seja visualizável. Contudo, em alguns casos, o navegador não pode compreender a resposta dentro do índice retornado.
Este é o comportamento do navegador que é observado:

  • Quando a versão do Internet Explorer 6 (IE6) e algumas versões de IE7 são usadas, estes pedidos não rendem o conteúdo completo da resposta HTML. O navegador honra somente os bytes primeiros (o índice dentro do primeiro pacote) e ignora o resto. Nesses casos, você vê uma página incompleta que indique somente alguns caráteres.

    Nota: Se este é o caso, Cisco recomenda que você encolhe a página da notificação do padrão da resposta WSA. Para obter mais informações sobre de como editar sua página EUN, refira a seção de edição das páginas da notificação de IronPort do Guia do Usuário WSA.

  • Quando IE8 e umas versões mais novas da liberação 3 de Mozilla Firefox são usados, o navegador ignora completamente a resposta que o WSA a retorna e mascara com sua própria página do erro. Este comportamento do navegador derrota a finalidade da notificação 403 e causa o rompimento com a característica.

Solução

Esta seção descreve o processo que ocorre quando a descriptografia HTTPS é permitida no WSA. Como uma ação alternativa ao problema previamente descrito, use a informação fornecida a fim assegurar-se de que seu sistema esteja configurado em conformidade.

Está aqui um exemplo do fluxo de tráfego quando um pedido explícito HTTPS é enviado:

  • Quando a descriptografia HTTPS é permitida, o WSA valida primeiramente o pedido contra as políticas de descriptografia.

  • Se o pedido é marcado para a TRANSMISSÃO, a seguir o tráfego está permitido completamente (nenhum aviso ou EUN).

  • Se o pedido é marcado como DECIFRADO, a seguir o pedido está validado contra as políticas de acesso. Neste caso, se a política de acesso é configurada a fim ADVERTIR ou OBSTRUIR, a seguir a página EUN indica corretamente. Infelizmente, porque reconhecimento que o usuário deve navegar à página HTTP e reconhecer, que exige a navegação com o proxy e então ao local HTTPS.

  • O WSA recorda o endereço IP cliente e não exige um outro reconhecimento até que o temporizador expire.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117805