Introdução
Este documento descreve um problema que seja encontrado na ferramenta de segurança da Web de Cisco (WSA) quando o aviso, o reconhecimento, ou as páginas da notificação do utilizador final (EUN) não indicam corretamente para pedidos explícitos HTTPS. Uma ação alternativa para este problema é fornecida igualmente.
Pré-requisitos
Requisitos
A informação neste documento supõe aquela:
- Os endereços de proxy WSA são distribuídos no modo explícito.
- Os pedidos HTTPS ou são obstruídos, advertido, ou exija o reconhecimento do usuário.
A informação neste documento é baseada em Cisco WSA.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Problema
O aviso, o reconhecimento, ou as páginas EUN não indicam corretamente para pedidos explícitos HTTPS. O navegador indica uma página incompleta da notificação, ou não indica a página de todo e indica pelo contrário uma página do erro.
Há diversas edições que cercam estas páginas quando você usa pedidos explícitos HTTPS. Quando você configura seu navegador para usar um proxy, o tráfego HTTPS está dirigido ao WSA sobre o HTTP. Este pedido é formatado como um HTTPS sobre o HTTP.
Há dois problemas conhecidos com navegadores que não seguram corretamente o HTTP respondem que o WSA retorna para pedidos explícitos HTTPS. Quando um pedido explícito HTTPS é obstruído, advertido, ou exige o reconhecimento do usuário, o WSA retorna um código de status 403. Dentro desta resposta, o WSA inclui o índice da notificação que deve normalmente ser rendido na tela de modo que seja visualizável. Contudo, em alguns casos, o navegador não pode compreender a resposta dentro do índice retornado.
Este é o comportamento do navegador que é observado:
- Quando a versão do Internet Explorer 6 (IE6) e algumas versões de IE7 são usadas, estes pedidos não rendem o conteúdo completo da resposta HTML. O navegador honra somente os bytes primeiros (o índice dentro do primeiro pacote) e ignora o resto. Nesses casos, você vê uma página incompleta que indique somente alguns caráteres.
Note: Se este é o caso, Cisco recomenda que você encolhe a página da notificação do padrão da resposta WSA. Para obter mais informações sobre de como editar sua página EUN, refira a seção de edição das páginas da notificação de IronPort do Guia do Usuário WSA.
- Quando IE8 e umas versões mais novas da liberação 3 de Mozilla Firefox são usados, o navegador ignora completamente a resposta que o WSA a retorna e mascara com sua própria página do erro. Este comportamento do navegador derrota a finalidade da notificação 403 e causa o rompimento com a característica.
Solução
Esta seção descreve o processo que ocorre quando a descriptografia HTTPS é permitida no WSA. Como uma ação alternativa ao problema previamente descrito, use a informação fornecida a fim assegurar-se de que seu sistema esteja configurado em conformidade.
Está aqui um exemplo do fluxo de tráfego quando um pedido explícito HTTPS é enviado:
- Quando a descriptografia HTTPS é permitida, o WSA valida primeiramente o pedido contra as políticas de descriptografia.
- Se o pedido é marcado para a TRANSMISSÃO, a seguir o tráfego está permitido completamente (nenhum aviso ou EUN).
- Se o pedido é marcado como DECIFRADO, a seguir o pedido está validado contra as políticas de acesso. Neste caso, se a política de acesso é configurada a fim ADVERTIR ou OBSTRUIR, a seguir a página EUN indica corretamente. Infelizmente, porque reconhecimento que o usuário deve navegar à página HTTP e reconhecer, que exige a navegação com o proxy e então ao local HTTPS.
- O WSA recorda o endereço IP cliente e não exige um outro reconhecimento até que o temporizador expire.
Feedback