Seguridad : Dispositivo de seguridad web Cisco

La advertencia WSA, el acuse de recibo, y las páginas EUN no visualizan correctamente para las peticiones explícitas HTTPS

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe un problema que se encuentre en el dispositivo de seguridad de la red de Cisco (WSA) cuando la advertencia, el acuse de recibo, o las páginas de la notificación del usuario final (EUN) no visualizan correctamente para las peticiones explícitas HTTPS. Una solución alternativa para este problema también se proporciona.

Contribuido por Kei Ozaki y Zack Shaikh, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

La información en este documento asume eso:

  • Despliegan a las direcciones del proxy WSA en el modo explícito.
  • Se bloquean las peticiones HTTPS o, advertido, o requiera el acuse de recibo del usuario.

Componentes Utilizados

La información en este documento se basa en Cisco WSA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Problema

La advertencia, el acuse de recibo, o las páginas EUN no visualizan correctamente para las peticiones explícitas HTTPS. El navegador visualiza una página incompleta de la notificación, o no visualiza la página en absoluto y en lugar de otro visualiza una página del error.

Hay varios problemas que rodean estas páginas cuando usted utiliza las peticiones explícitas HTTPS. Cuando usted configura a su navegador para utilizar un proxy, el tráfico HTTPS se dirige al WSA sobre el HTTP. Esta petición se formata como HTTPS sobre el HTTP.

Hay dos problemas conocidos con los navegadores que no dirigen correctamente el HTTP contestan que el WSA vuelve para las peticiones explícitas HTTPS. Cuando una petición explícita HTTPS se bloquea, advertido, o requiere el acuse de recibo del usuario, el WSA devuelve un código de estado 403. Dentro de esta contestación, el WSA incluye el contenido de la notificación que se debe rendir normalmente en la pantalla de modo que sea viewable. Sin embargo, en algunos casos, el navegador no puede entender la contestación dentro del contenido vuelto.
Ésta es la conducta del buscador se observa que:

  • Cuando se utilizan la versión de Explorador de Internet 6 (IE6) y algunas versiones de IE7, estas peticiones no pueden rendir el contenido total de la contestación HTML. El navegador honra solamente los primeros bytes (el contenido dentro del primer paquete) e ignora el resto. En estos casos, usted ve una página incompleta que visualice solamente algunos caracteres.

    Nota: Si éste es el caso, Cisco recomienda que usted encoge la página predeterminada de la notificación de la contestación WSA. Para más información sobre cómo editar su página EUN, refiera a la sección de las páginas de la notificación de IronPort que edita del guía del usuario WSA.

  • Cuando IE8 y las versiones más recientes de la versión 3 de Firefox del Mozilla se utilizan, el navegador ignora totalmente la contestación que el WSA la vuelve y enmascara con su propia página del error. Esta conducta del buscador derrota el propósito de la notificación 403 y causa la interrupción con la característica.

Solución

Esta sección describe el proceso que ocurre cuando el desciframiento HTTPS se habilita en el WSA. Como solución alternativa al problema previamente descrito, utilice la información proporcionada para asegurarse de que su sistema está configurado por consiguiente.

Aquí está un ejemplo del flujo de tráfico cuando se envía una petición explícita HTTPS:

  • Cuando se habilita el desciframiento HTTPS, el WSA primero valida la petición contra las políticas de descifrado.

  • Si la petición es marcada para el PASSTHROUGH, después el tráfico se permite a través (ninguna advertencia o EUN).

  • Si la petición se marca como DESENCRIPTADO, después la petición se valida contra las políticas de acceso. En este caso, si la política de acceso se configura para ADVERTIR o BLOQUEAR, entonces las páginas muestra EUN correctamente. Desafortunadamente, porque acuse de recibo que el usuario debe navegar a la página HTTP y reconocer, que requiere la navegación con el proxy y entonces al sitio HTTPS.

  • El WSA recuerda el dirección IP del cliente y no requiere otro acuse de recibo hasta que expire el temporizador.


Document ID: 117805