Seguridad : Dispositivo de seguridad web Cisco

El IE puede enviar incorrectamente las peticiones a WSA en el puerto del NON-proxy cuando se utiliza el archivo PAC

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Contenido

Contribuido por Kei Ozaki y Siddharth Rajpathak, ingenieros de Cisco TAC.

Pregunta:

El IE puede enviar incorrectamente las peticiones a WSA en el puerto del NON-proxy cuando se utiliza el archivo PAC

Entorno: Dispositivo de seguridad de la red de Cisco (cualquier versión), Internet Explorer 6,7,8

Síntomas: Las peticiones se envían al puerto del NON-proxy WSA y se están bloqueando/se están cayendo

En determinadas circunstancias el internet explorer (IE) puede enviar incorrectamente las peticiones al puerto incorrecto en el dispositivo de seguridad de la red de Cisco (WSA).

Esto parece suceder cuando la condición abajo se cumple

  1. El IE se configura para utilizar el archivo PAC
  2. El archivo PAC se fija para desviar el envío a través de proxy para la dirección IP WSA
  3. “La página de la notificación del usuario final” incluye una referencia, lo más comúnmente posible la imagen del logotipo, que se recibe en WSA
  4. El URL que se refiere al logotipo hace juego el valor de vuelta del “PROXY” en el archivo PAC.

Cuando sobre las condiciones se encuentran, IE enviará incorrectamente los pedidos de HTTP al puerto que el logotipo se recibe encendido.

Configuración de archivos del ejemplo PAC:

función FindProxyForURL (URL, host) {
si (isInNet(host,"10.0.0.0","255.0.0.0")) la vuelta “DIRIGE”;
“PROXY de vuelta otro el wsa-hostname:80";
}

Link del ejemplo al logotipo:         http://wsa_hostname:9001/logo.png (wsa-nombre de host que resuelve un IP en la subred 10.0.0.0/8)

Usando el ejemplo de configuración arriba, el IE enviará las peticiones a wsa-hostname:9001.

El síntoma se considera sobre todo cuando se bloquea una petición del procedimiento y la página EUN presentada rendirá el logotipo que se cargará. Cuando el usuario hace clic en un link, la petición a este link va a wsa-hostname:9001 en vez de wsa-hostname:80.

  • Lo mismo sucederán cuando usted utiliza la función amonestadora en WSA.

Como consecuencia, WSA rechazará el proceso de la petición porque la petición fue recibida en el puerto incorrecto (9001 en vez de 80).

  • Si el puerto recibido es 9001 (u otros archivos del puerto el PAC se recibe encendido), WSA volverá la mala petición "400”.
  • Si el puerto recibido es 8443 (u otro el puerto en donde está escuchando la Administración HTTPS encendido), WSA caerá la conexión sin ningún error.

Este comportamiento es incorrecto, IE no debe enviar las peticiones directamente hasta el "wsa-hostname:9001" pues el archivo PAC no estado tan.

  • Firefox no observa este comportamiento.

Solución alternativa:

  1. Cambie el link del “logotipo” o el valor de vuelta del “PROXY” en el archivo PAC así que estos dos no hace juego.
  2. Cambie el archivo PAC para utilizar el “PROXY el <wsa-IP-address>:80" en vez del nombre de host
  3. Creando otros expediente A para el link del logotipo

Nota: Se recomienda para utilizar el nombre de host de la única palabra al referirse a los proxys. Por lo tanto las soluciones alternativas (1) y (3) se deben preferir sobre (2).


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118153