キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
2221
閲覧回数
1
いいね!
1
返信

ASA-5515X SSL-VPN(WebVPN)でアクセスするページにjavascript(ajax)が使われている場合

機種:ASA5515X  OS:Ver 9.4(1)

ASA5515 でのSSL-VPN(WebVPN) で WEB画面上に”Javascript(ajax)"で動作するボタンがありますが、クリックしても画面遷移が起こりません。Wiresharkでキャプチャしてみましたが、クライアントPCからリクエスト通信が出た形跡がありません。

FirePass等の他社製品を使用したSSL-VPNアクセスの場合は、当該ページ/ボタンは正しく動作しますので、システム(”Javascript(ajax)")自体には問題がないと思っています。

他のサポートコミュニティの投稿でも同様の事象でお困りの方がおられるようですが、回答が投稿されておらず、参考にすることが出来ません。

 

自分で文献を調べたところ、どうやらASAのSSL-VPNは以下が未対応だということが分かりました。
・難読化されたjavascript
・.NETアプリケーション

今回問題の発生しているサイトは .php  がURLパスのファイルに指定されているので、難読化されているのでは?と疑っています。

 

ここからが本題ですが、以下の点についてご存知の方、または、上記事象を解決/回避された方、また何らかのノウハウをお持ちの方がいらっしゃいましたら、お知恵をお借りできませんでしょうか。

1.サイトが難読化されたjavascriptで表示されているかどうか

2.Javascript(ajax)で記述されたページまたはボタンを動作させるための方法または回避策

  Smart tunnel を用いると動作しましたが、動作するプラットホームが限定されますし、アドオンのインストールも避けたい理由があります。AnyConnectも使いたくないです。

3.本事象はバグに該当するかどうか

4.事象が回避できるOSのバージョンまたは設定

 

以上、よろしくお願い致します。

1 件の受理された解決策

受理された解決策

Akira Muranaka
Level 8
Level 8

こんばんは! 既に解決されているかもですが・・

可能性としては、「利用バージョンの実装/限界(=サポートしきれてない、頑張ったけど無理)」もしくは「不具合(=実はできるべきだけど失敗 or 新たにできるよう新規開発追加)」のどちらかで、グレイではないのかなぁと思います。

Clientless VPNを利用時、コンテンツに埋め込まれた情報をASA処理用に書き換えるために同製品のContent rewrite機能が頑張っていますが、ソフトウェアの記述方法は膨大にあり、それだけ膨大な変換パターンがあるため、すべての形式や書き方を処理できるようになるのは現実的に無理です。ので、難読化された複雑なスクリプトは変換に失敗する可能性は十分あるので、全てが動かない時があっても、「しかたないかー」、くらいの認識がいいのではと思います。

ただ、ざっと調べたところ 以下のような不具合もあり、実装を広げた(つまり新形式に対応した)や不具合を修正したようなケースもあるため、バージョンアップにより改善できるかもしれません。

CSCuu32905: ASA WebVPN: Javascript fails to execute when accessing internal portal
CSCvi33962: WebVPN rewriter: drop down menu doesn't work in BMC Remedy
CSCvg32179: Javascript elements rewriter issue
CSCuz47592: WebVPN JavaScript stack not big enough to handle js file

そのため、Javascriptの問題に遭遇時は、「変換頑張ったんだけどダメだったかー」ということで、一旦 その利用ASAトレインの最新バージョンなどにアップグレードし 不具合改修などで治ってないか確認してから、それでも動作しない場合は、「最新で頑張ってもダメだったかー」と思い、スマートトンネルやAnyConnectを使う、みたいな、少し緩い使い方がちょうど いいのでは、と思います。私の場合はそんなイメージで使ってます。ソフトウェアの世界は日進月歩なので、特にWebの世界は動きが早いですしね。。。

上記の不具合の改修バージョンにアップグレードしうまく動くようになるのが一番いいのですが、もしもダメな場合はスマートトンネルなら ASAでContent rewriteを行わないため、上記のような変換問題は回避できるはずなので、Clientless VPNと スマートトンネル(or AnyConnect)はセットで、システムと心の運用して頂くといいのではと思います。

元の投稿で解決策を見る

1件の返信1

Akira Muranaka
Level 8
Level 8

こんばんは! 既に解決されているかもですが・・

可能性としては、「利用バージョンの実装/限界(=サポートしきれてない、頑張ったけど無理)」もしくは「不具合(=実はできるべきだけど失敗 or 新たにできるよう新規開発追加)」のどちらかで、グレイではないのかなぁと思います。

Clientless VPNを利用時、コンテンツに埋め込まれた情報をASA処理用に書き換えるために同製品のContent rewrite機能が頑張っていますが、ソフトウェアの記述方法は膨大にあり、それだけ膨大な変換パターンがあるため、すべての形式や書き方を処理できるようになるのは現実的に無理です。ので、難読化された複雑なスクリプトは変換に失敗する可能性は十分あるので、全てが動かない時があっても、「しかたないかー」、くらいの認識がいいのではと思います。

ただ、ざっと調べたところ 以下のような不具合もあり、実装を広げた(つまり新形式に対応した)や不具合を修正したようなケースもあるため、バージョンアップにより改善できるかもしれません。

CSCuu32905: ASA WebVPN: Javascript fails to execute when accessing internal portal
CSCvi33962: WebVPN rewriter: drop down menu doesn't work in BMC Remedy
CSCvg32179: Javascript elements rewriter issue
CSCuz47592: WebVPN JavaScript stack not big enough to handle js file

そのため、Javascriptの問題に遭遇時は、「変換頑張ったんだけどダメだったかー」ということで、一旦 その利用ASAトレインの最新バージョンなどにアップグレードし 不具合改修などで治ってないか確認してから、それでも動作しない場合は、「最新で頑張ってもダメだったかー」と思い、スマートトンネルやAnyConnectを使う、みたいな、少し緩い使い方がちょうど いいのでは、と思います。私の場合はそんなイメージで使ってます。ソフトウェアの世界は日進月歩なので、特にWebの世界は動きが早いですしね。。。

上記の不具合の改修バージョンにアップグレードしうまく動くようになるのが一番いいのですが、もしもダメな場合はスマートトンネルなら ASAでContent rewriteを行わないため、上記のような変換問題は回避できるはずなので、Clientless VPNと スマートトンネル(or AnyConnect)はセットで、システムと心の運用して頂くといいのではと思います。