Sécurité : Dispositifs de sécurité Web Cisco IronPort

L'IE peut inexactement envoyer des demandes à WSA sur le port de non-proxy quand le fichier PAC est utilisé

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Kei Ozaki et Siddharth Rajpathak, ingénieurs TAC Cisco.

Question :

L'IE peut inexactement envoyer des demandes à WSA sur le port de non-proxy quand le fichier PAC est utilisé

Environnement : Appliance de sécurité Web de Cisco (toute version), Internet Explorer 6,7,8

Symptômes : Des demandes sont envoyées au port du non-proxy de WSA et sont bloquées/abandonnées

Sous certain Internet Explorer de circonstances (IE) peut inexactement envoyer des demandes au port incorrect sur l'appliance de sécurité Web de Cisco (WSA).

Ceci semble se produire quand la condition ci-dessous sont remplies

  1. L'IE est configuré pour utiliser le fichier PAC
  2. Le fichier PAC est placé pour sauter proxying pour l'adresse IP de WSA
  3. La page « de notification d'utilisateur final » inclut une référence, le plus généralement l'image de logo, qui est hébergée sur WSA
  4. L'URL mettant en référence le logo apparie la valeur de renvoi de « PROXY » dans le fichier PAC.

Quand au-dessus des conditions sont rencontrés, IE enverra inexactement des demandes de HTTP au port que le logo est hébergé en fonction.

Configuration de fichier PAC d'exemple :

fonction FindProxyForURL (URL, hôte) {
si (isInNet(host,"10.0.0.0","255.0.0.0")) le retour « DIRIGENT » ;
« PROXY de retour d'autre wsa-hostname:80" ;
}

Lien d'exemple au logo :         http://wsa_hostname:9001/logo.png (wsa-adresse Internet résolvant un IP dans sous-réseau 10.0.0.0/8)

Utilisant l'exemple de configuration ci-dessus, l'IE enverra des demandes à wsa-hostname:9001.

Le symptôme est en grande partie vu quand une demande de démarche est bloquée et la page EUN présentée rendra le logo à charger. Quand l'utilisateur clique sur en fonction un lien, la demande à ce lien va à wsa-hostname:9001 au lieu de wsa-hostname:80.

  • Mêmes se produiront quand vous utilisez la fonction d'avertissement sur WSA.

En conséquence, WSA refusera traiter la demande parce que la demande a été reçue sur le port incorrect (9001 au lieu de 80).

  • Si le port reçu est 9001 (ou autre fichiers PAC de port est hébergé en fonction), WSA renverra la mauvaise demande "400 ».
  • Si le port reçu est 8443 (ou autre port où la Gestion HTTPS écoute en fonction), WSA arrêter la connexion sans n'importe quelle erreur.

Ce comportement est incorrect, IE ne devrait pas envoyer des demandes directement à "wsa-hostname:9001" car le fichier PAC n'énonce pas ainsi.

  • Firefox n'observe pas ce comportement.

Contournement :

  1. Changez le lien de « logo » ou la valeur de renvoi de « PROXY » dans le fichier PAC ainsi ces deux ne s'assortit pas.
  2. Fichier PAC de modification pour utiliser le « PROXY <wsa-IP-address>:80" au lieu de l'adresse Internet
  3. Créant des autres enregistrement A pour le lien de logo

Remarque: Il est recommandé pour utiliser l'adresse Internet de mot simple en mettant en référence des proxys. Par conséquent des contournements (1) et (3) devraient être préférés plus de (2).



Document ID: 118153