概要
既知の制限事項(Readme 抜粋)
詳細
下記はInterScan Web Security Suite 5.6 Linux版 マスタープログラム (Build 1037) における既知の制限事項です (Readme 抜粋)。
7. 既知の制限事項
=================
本リリースにおける既知の問題は次のとおりです。
7.1 LDAPユーザ/グループが追加されたときにポリシーが即座に有効にならない
===========================================================================
ディレクトリ設定が「基本 (Basic)」として設定されている場合、IWSSはリス
トされたLDAPサーバと24時間ごとに同期されます。LDAPユーザ/グループがディ
レクトリサーバに追加されたタイミングによっては、変更内容が反映されるの
が次の同期サイクルまでかかる場合があります。
LDAPサーバの同期間隔を短くするには、ディレクトリ設定を「基本 (Basic)」
から「詳細 (Advanced)」に切り替え、明示的に設定値を保存します。
7.2 FirefoxがHTTPS IPv6アドレスを円滑に処理しない
===========================================================================
Firefoxユーザが、DNSでIPv6アドレスを使用してHTTPS URLにアクセスしようと
すると、証明書除外ダイアログが表示されます。
回避策:
- IPv6サーバのホスト名を使用します。
- HTTPS関連のIPv6 Webサイトへアクセスする際はIPアドレスを使用しないよう
にします。
- IEまたはChrome Webブラウザを使用してサイトへアクセスします。
7.3 リンクローカルアドレスを持つIPv6サーバの前にリバースプロキシをインス
トールできない
===========================================================================
リバースプロキシモードは、リンクローカルアドレスを持つIPv6サーバへのト
ラフィック転送をサポートしていません。エンドユーザは、Webサーバへアクセ
スできず、IWSSによって保護されません。
回避策は、IWSSの背後にある保護されたサーバに対してグローバルIPv6アドレ
スを使用することです。
7.4 DNSサーバがIPv6アドレスしか保持していない場合、IWSSがそのサーバに接続
できない
===========================================================================
DNSサーバがIPv4とIPv6の両方のアドレスを保持している場合は、IWSSは問題
なく接続できます。
7.5 CookieモードがSafariブラウザで有効になっていないと、一部のWebサイトが正
しく表示されない
============================================================================
Safariは他のブラウザより厳密な証明書確認メカニズムを備えており、IWSS
キャプティブポータルの初期設定の証明書を受け入れません。
回避策: IWSSを介してインターネットにアクセスするためにSafariを使用しな
いようにするか、またはCookieモードを無効にします。
7.6 システムイベントログ (SEL) ハードウェア情報をIWSS 5.6が読み取れない
============================================================================
IWSS 5.6がIBM X360またはHP 380G5上に展開されている場合、IWSSは、これら
のデバイス上のBMCエージェントによって生成されたシステムイベントログを
読み込むことができません。このため、間違ったハードウェアステータスログ
情報がsyslogとSNMPを介してエクスポートされます。
7.7 時間割り当ての値には、5の倍数となる設定値が必要である
=============================================================================
初期設定の割り当て単位は、5分間です。管理者には「時間割り当て」値を5の
倍数に設定することを推奨しています。それ以外の場合、IWSSは5未満の端数を
無視します。
たとえば、値が4分に設定されると、IWSSはそれを0分と解釈します。値が9分
に設定された場合は、システムはそれを5分と解釈します。
時間制限の設定値はシステム時間に依存します。たとえば、現在10:03で、時間
制限が5の場合、エンドユーザは2分間しかアクセスできません。これは、時間
割り当てが5分刻みでインクリメントするからです (10:00-10:05、10:05-10:10
など)。5分ごとに新しいインクリメントが開始されます。
7.8 ファイル転送プロトコル (FTP) 検索が有効な場合、FTPデータがアプリケー
ションカテゴリで「未分類」として識別される
=============================================================================
ユーザモードでは、IWSS FTPデーモンがパッケージの内容を変更します。通常
認識されているFTPパケットの重要な部分の一部が変更されます。この変更に
より、アプリケーション署名エンジンがデータを認識できず、「未分類」とし
てマークされます。現時点でこの問題を回避する唯一の方法は、FTP検索を無
効にすることです。
7.9 一部のブラウザがHTTP 403禁止エラーを正常に処理しないか、または無視する
場合、それらのブラウザでIWSSブロック通知ページが表示されないことがある
=============================================================================
たとえば、ブラウザがサイズの大きいファイルを投稿し、IWSSからのHTTP 403
ブロック通知ページを無視し続けている場合、IWSSによってHTTP接続がリセッ
トされます。別の例として、IWSSクエリキーワードフィルタによってクエリが
ブロックされた場合に、Google検索ページが何も応答を表示しないことがあり
ます。これは、Google検索設定で「Use Google Instant predictions and
results appear while typing」が有効な場合に発生します。Googleページが
AJAXを使用して、通常のHTMLではなくプライベートな形式でデータをクエリし
ていることが原因です。このため、IWSS 403ブロック通知ページは無視されま
す。「Googleインスタント」を無効にすると、ブロックページは正常に表示さ
れます。
これらの例では、HTTP検査フィルタは正しく動作し、コンテンツはブロックさ
れますが、ブラウザがIWSS通知を表示できないため、ユーザはコンテンツがブ
ロックされた理由を説明したフィードバックを受信できません。
7.10 監査ログをCSVフォーマットでエクスポートしたとき、文字化けが発生する場合
がある
=============================================================================
日本語が含まれる監査ログをCSVフォーマットでエクスポートしたとき、ファイ
ルはUTF-8でエンコードされます。UTF-8エンコード非対応のアプリケーション
でファイルを開くと文字化けします。
7.11 デバッグログタイマーがリセットされる
=============================================================================
[デバッグログ] タブから別の画面に移動し再度このタブに戻ると、デバッグログ
の取り込みを開始してからの経過時間を表示するデバッグログタイマーが「0」に
リセットされます。
=================
本リリースにおける既知の問題は次のとおりです。
7.1 LDAPユーザ/グループが追加されたときにポリシーが即座に有効にならない
===========================================================================
ディレクトリ設定が「基本 (Basic)」として設定されている場合、IWSSはリス
トされたLDAPサーバと24時間ごとに同期されます。LDAPユーザ/グループがディ
レクトリサーバに追加されたタイミングによっては、変更内容が反映されるの
が次の同期サイクルまでかかる場合があります。
LDAPサーバの同期間隔を短くするには、ディレクトリ設定を「基本 (Basic)」
から「詳細 (Advanced)」に切り替え、明示的に設定値を保存します。
7.2 FirefoxがHTTPS IPv6アドレスを円滑に処理しない
===========================================================================
Firefoxユーザが、DNSでIPv6アドレスを使用してHTTPS URLにアクセスしようと
すると、証明書除外ダイアログが表示されます。
回避策:
- IPv6サーバのホスト名を使用します。
- HTTPS関連のIPv6 Webサイトへアクセスする際はIPアドレスを使用しないよう
にします。
- IEまたはChrome Webブラウザを使用してサイトへアクセスします。
7.3 リンクローカルアドレスを持つIPv6サーバの前にリバースプロキシをインス
トールできない
===========================================================================
リバースプロキシモードは、リンクローカルアドレスを持つIPv6サーバへのト
ラフィック転送をサポートしていません。エンドユーザは、Webサーバへアクセ
スできず、IWSSによって保護されません。
回避策は、IWSSの背後にある保護されたサーバに対してグローバルIPv6アドレ
スを使用することです。
7.4 DNSサーバがIPv6アドレスしか保持していない場合、IWSSがそのサーバに接続
できない
===========================================================================
DNSサーバがIPv4とIPv6の両方のアドレスを保持している場合は、IWSSは問題
なく接続できます。
7.5 CookieモードがSafariブラウザで有効になっていないと、一部のWebサイトが正
しく表示されない
============================================================================
Safariは他のブラウザより厳密な証明書確認メカニズムを備えており、IWSS
キャプティブポータルの初期設定の証明書を受け入れません。
回避策: IWSSを介してインターネットにアクセスするためにSafariを使用しな
いようにするか、またはCookieモードを無効にします。
7.6 システムイベントログ (SEL) ハードウェア情報をIWSS 5.6が読み取れない
============================================================================
IWSS 5.6がIBM X360またはHP 380G5上に展開されている場合、IWSSは、これら
のデバイス上のBMCエージェントによって生成されたシステムイベントログを
読み込むことができません。このため、間違ったハードウェアステータスログ
情報がsyslogとSNMPを介してエクスポートされます。
7.7 時間割り当ての値には、5の倍数となる設定値が必要である
=============================================================================
初期設定の割り当て単位は、5分間です。管理者には「時間割り当て」値を5の
倍数に設定することを推奨しています。それ以外の場合、IWSSは5未満の端数を
無視します。
たとえば、値が4分に設定されると、IWSSはそれを0分と解釈します。値が9分
に設定された場合は、システムはそれを5分と解釈します。
時間制限の設定値はシステム時間に依存します。たとえば、現在10:03で、時間
制限が5の場合、エンドユーザは2分間しかアクセスできません。これは、時間
割り当てが5分刻みでインクリメントするからです (10:00-10:05、10:05-10:10
など)。5分ごとに新しいインクリメントが開始されます。
7.8 ファイル転送プロトコル (FTP) 検索が有効な場合、FTPデータがアプリケー
ションカテゴリで「未分類」として識別される
=============================================================================
ユーザモードでは、IWSS FTPデーモンがパッケージの内容を変更します。通常
認識されているFTPパケットの重要な部分の一部が変更されます。この変更に
より、アプリケーション署名エンジンがデータを認識できず、「未分類」とし
てマークされます。現時点でこの問題を回避する唯一の方法は、FTP検索を無
効にすることです。
7.9 一部のブラウザがHTTP 403禁止エラーを正常に処理しないか、または無視する
場合、それらのブラウザでIWSSブロック通知ページが表示されないことがある
=============================================================================
たとえば、ブラウザがサイズの大きいファイルを投稿し、IWSSからのHTTP 403
ブロック通知ページを無視し続けている場合、IWSSによってHTTP接続がリセッ
トされます。別の例として、IWSSクエリキーワードフィルタによってクエリが
ブロックされた場合に、Google検索ページが何も応答を表示しないことがあり
ます。これは、Google検索設定で「Use Google Instant predictions and
results appear while typing」が有効な場合に発生します。Googleページが
AJAXを使用して、通常のHTMLではなくプライベートな形式でデータをクエリし
ていることが原因です。このため、IWSS 403ブロック通知ページは無視されま
す。「Googleインスタント」を無効にすると、ブロックページは正常に表示さ
れます。
これらの例では、HTTP検査フィルタは正しく動作し、コンテンツはブロックさ
れますが、ブラウザがIWSS通知を表示できないため、ユーザはコンテンツがブ
ロックされた理由を説明したフィードバックを受信できません。
7.10 監査ログをCSVフォーマットでエクスポートしたとき、文字化けが発生する場合
がある
=============================================================================
日本語が含まれる監査ログをCSVフォーマットでエクスポートしたとき、ファイ
ルはUTF-8でエンコードされます。UTF-8エンコード非対応のアプリケーション
でファイルを開くと文字化けします。
7.11 デバッグログタイマーがリセットされる
=============================================================================
[デバッグログ] タブから別の画面に移動し再度このタブに戻ると、デバッグログ
の取り込みを開始してからの経過時間を表示するデバッグログタイマーが「0」に
リセットされます。
