Безопасность : устройство защиты веб-трафика Cisco

Когда файл PAC используется, IE может неправильно отправить запросы к WSA на непрокси - порте

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Внесенный Kei Ozaki и Siddharth Rajpathak, специалистами службы технической поддержки Cisco.

Вопрос:

Когда файл PAC используется, IE может неправильно отправить запросы к WSA на непрокси - порте

Среда: Cisco Web Security Appliance (любая версия), Internet Explorer 6,7,8

Признаки: Запросы отправлены к непрокси - порту WSA и блокируются/отбрасываются

При определенных обстоятельствах Internet explorer (IE) может неправильно отправить запросы к неправильному порту на Cisco Web Security Appliance (WSA).

Когда условие ниже соблюдают, это, кажется, происходит

  1. IE настроен для использования файла PAC
  2. Файл PAC собирается обойти проксирование для IP-адреса WSA
  3. "Страница" Уведомления конечного пользователя включает ссылку, обычно образ логотипа, который размещен на WSA
  4. URL, ссылающийся на логотип, совпадает со значением "ПРОКСИ" возврата в файле PAC.

Когда выше условий будут встречены, IE неправильно передаст запросы HTTP к порту, на котором размещен логотип.

Конфигурация файла PAC в качестве примера:

функция FindProxyForURL (URL, хост) {
если (isInNet (хост, "10.0.0.0", "255.0.0.0")) возвращают "ПРЯМОЙ";
еще возвратите "ПРОКСИ wsa-hostname:80";
}

Ссылка в качестве примера на логотип:    http://wsa_hostname:9001/logo.png (wsa-имя-хоста, решающее IP в 10.0.0.0/8 подсети)

Использование примера конфигурации выше, IE отправит запросы к wsa-hostname:9001.

Признак главным образом замечен, когда продолжающийся запрос будет заблокирован, и представленная страница EUN представит логотип, который будет загружен. Когда пользователь нажимает на ссылку, запрос к этой ссылке переходит к wsa-hostname:9001 вместо wsa-hostname:80.

  • То же произойдет при использовании предупреждения функции на WSA.

В результате WSA откажется от обработки запроса, потому что запрос был получен на неправильном порте (9001 вместо 80).

  • Если полученный порт будет 9001 (или другой файл PAC порта размещен на), то WSA возвратит "400 Плохих Запросов".
  • Если полученный порт будет 8443 (или другой порт, где HTTPS менеджмента слушает на), то WSA отбросит соединение без любой ошибки.

Это поведение является неправильным, IE не должен отправлять запросы непосредственно к "wsa-hostname:9001", поскольку файл PAC не сообщает так.

  • Firefox не наблюдает это поведение.

Обходной путь:

  1. Измените или ссылку "логотипа" или значение "ПРОКСИ" возврата в файле PAC, таким образом, не совпадают эти два.
  2. Файл PAC изменения для использования "ПРОКСИ <WSA-IP-АДРЕС>:80" вместо имени хоста
  3. Создание другого запись для ссылки логотипа

Примечание: Рекомендуется использовать имя хоста отдельного слова при ссылке на прокси. Следовательно обходные пути (1) и (3) должны быть предпочтены (более чем 2).



Document ID: 118153