セキュリティ : Cisco Web セキュリティ アプライアンス

WSA の解決 Adobe アップデータ問題

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Adobe アップデータが適切に機能することができないとき Cisco Web セキュリティ アプライアンス(WSA)と直面する問題を記述したものです。

サイモン Putz および Siddharth Rajpathak によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Akamai クラウドのダウンロード サーバに接続する Adobe アップデータ

  • Cisco WSA

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

問題

Adobe アップデータは WSA によって更新をダウンロードすることができません。 WSA で奪取 される パケットキャプチャはこれを明らかにします:

  • Adobe アップデータは Akamai ホストされた URL からの範囲 要求ダウンロードを試みるために使用されます。 範囲 要求は受け入れ範囲のようなヘッダを含む HTTP 要求です: xxx および範囲: xxx、要求は特定のバイトのデータだけのためであることを示す。

  • デフォルトで、WSA は正常な HTTP 要求にこの範囲 要求を変換し、Adobe アップデータ サーバからのデータすべてを(特定のバイトのデータの代りに)取出します。 これは WSA が最適反Malware スキャンを行うことができるように発生します。

  • WSA は Adobe アップデータ クライアントにそれから 200 の OK メッセージを送ります。 これは RFC に従って範囲 要求がクライアントによって要求することができるがすべてのサーバがこれをサポートするために必要となりませんので、あります。 従って、クライアントはまた範囲 要求のための非範囲応答を処理する必要があります。

Adobe アップデータ クライアントは Adobe アップデータ サーバがそれをサポートするように(200 OK のような)非範囲応答をサポートしないようではなく、サーバから範囲応答を(206 部分的なコンテンツ)受け取ると仮定します。

それは「サーバ範囲を無視して自由である RFC 7233 で 200 (良い)応答の全体の指定表示と示されます多くの実装は単に応答します」。が ただし、サーバおよびクライアントは両方この場合 Adobe 所有です、従って Adobe に完全の受け入れない権限があります(200)応答。

解決策

クライアントへのサーバおよび範囲応答に範囲 要求を送信 するように WSA の範囲 要求を有効に することができます。 範囲 要求を有効に することは、rangerequestdownload コマンドを CLI に入力し、すべてを託すために変更します。

次に例を示します。

wsa100v.local> rangerequestdownload

Range requests are currently Disabled.
Enabling range requests may allow malware to slip through. Range requests
may not be honored if using Application Visibility and Control.
Are you sure you want to change the setting? [N]> y

wsa100v.local> commit

Please enter some comments describing your changes:
[]> range request enabled

Changes committed: Mon Jun 29 22:42:28 2015 EDT

範囲 要求ダウンロードが WSA で有効に なれば、Adobe アップデータ クライアントはきちんとはたらく必要があります。



Document ID: 118158