SA/IC/MAGシリーズ Host Checkerの検疫失敗について

by user

on 28 марта 2017

Category: Documents

>> Downloads: 3

views

Report

Comments

Description

Download SA/IC/MAGシリーズ Host Checkerの検疫失敗について

Transcript

SA/IC/MAGシリーズ Host Checkerの検疫失敗について

2014 年 1 月 1 日
お客様各位
株式会社日立ソリューションズ
ネットワークビジネス部
SA/IC/MAG シリーズ Host Checker の検疫失敗について(最終報)
拝啓平素は Juniper 製品サポートをご利用下さいまして誠にありがとうございます。
2013 年 12 月 31 日以降、Host Checker 機能が失敗する事象が発生しており、以下にその
詳細をご案内させて頂きます。ご迷惑をおかけいたしまして誠に申し訳ございませんが、ご
理解とご協力の程、宜しくお願い申し上げます。
敬具
TSB16290 CRITICAL :
SA / MAG シリーズ / IC シリーズにおいて、エンドポイントの日付が 2013 年 12 月 31
日、又はそれ以降である場合、Endpoint Security Assessment Plugin (ESAP)を利用して
いるアンチウィルス、ファイアウォール、アンチスパイウェアの事前定義済み Host Checker
ポリシーが失敗する。
対象製品：
SA700, SA2000, SA2500, SA4000, SA4000 FIPS, SA4500, SA4500 FIPS, SA6000,
SA6000 FIPS, SA6500, SA6500 FIPS, IC4000, IC6000, IC4500, IC6500, IC6500 FIPS,
MAG2600, MAG4610, MAG6610, MAG6611
説明：
本事象は、SSL VPN と UAC の Host Checker 機能をセットで利用している場合、エンド
ポイントアセスメントポリシーの失敗によって、SSL VPN と UAC セッションにユーザが
サインインできなくなる可能性があります。Host Checker 機能はエンドポイントが内部リ
ソースにアクセスする前に、事前定義ポリシーに従っているかどうかを確かめます。しかし、
本事象のため、Host Checker 機能はエンドポイントがコンプライアンス違反であると不正
にレポートする可能性があり、その結果 SSL VPN/UAC セッションにユーザがサインイン
できなくなり、内部リソースにアクセスできなくなります。
具体的には、ユーザの PC で日付が 2013 年 12 月 31 日 0 時 0 分以降になると、ユーザは
Host Checker 検証に失敗し、次のエラーメッセージ、または SSL VPN 管理者が設定した
回避メッセージを受け取ります。
"Anti-Virus software listed in security requirements is not installed"
解決策：
Juniper 開発チームは本事象を修正して、ESAP2.5.1 をサポートサイトに掲載しました。
SA/IC 上にて ESAP をアップグレードしてください。Admin Guide を参照して、ESAP を
アップグレードしてください。ESAP2.5.1 へのアップグレードができない場合のみ下記の
回避策を適用してください。
※日立ソリューションズ注釈：弊社サポートサイトの SA/MAG または IC のペー
ジへログインしていただき、ソフトウェアのページに ESAP のパッケージ、リリ
ースノート、アップグレード手順を公開しております。
現在可能な回避策：
本事象の一時的な回避策として、影響するユーザの Host Checker 機能を無効にする(Host
Checker ポリシーを無効にする)か、影響するユーザの PC の日付を 2013 年 12 月 31 日以
前にリセットするかのどちらかになります。あるいは、アンチウィルス、アンチスパイウェ
ア、ファイアウォール製品のための Host Checker プロセスチェックポリシーを手動で作成
し、事前定義チェックを無効にして下さい。回避策、および本事象についてご質問がありま
したら、サポートへご連絡お願い致します。
FAQ:
1. 修正は新たな ESAP パッケージになりますか？
はい、Juniper Networks は本事象を解消するために、新たに ESAP パッケージ (バージョ
ン番号 2.5.1)を Juniper サポートサイトでリリースします。その後、SSL VPN と UAC の
管理者はこの新たな ESAP パッケージを SA/UAC それぞれの筐体にアップデートする必要
があります。ESAP パッケージがアップデートされ、筐体で有効化することで、SA/UAC に
サインインする全てのエンドユーザは、修正された Host Checker クライアントライブラリ
を取得し、本事象が解消されます。
2. どの SA/UAC ソフトウェアバージョンに影響がありますか？
本事象は、全ての 7.2R1 とそれ以降の SA (SSL VPN)、および 4.2R1 とそれ以降の UAC
に影響があります。7.1Rx/4.1Rx とそれ以前のリリースには影響ありません。
3. どの ESAP パッケージバージョンに影響がありますか？
本事象は、全ての ESAP 2.5.0 とそれ以前のバージョンに影響があります。
4. 本修正を適用するために、私の SA/UAC ソフトウェアバージョンをアップデートする必
要がありますか？
いいえ、
ESAP 2.5.1 とそれ以降で本修正の適用を行って下さい。
基礎になっている SA/UAC
ソフトウェアはアップグレードする必要はありません。
5. この問題のトリガーは何ですか？
本事象のトリガーは Host Checker クライアントライブラリのバグによるものです。
このバグは、エンドユーザの PC で日付が 2013 年 12 月 31 日 0 時 0 分以降になると発生
致します。
本事象は上記記載の修正版 ESAP を適用するまで解消されません。
6. どのタイプの Host Checker ポリシーが失敗しますか？
今回のバグは事前定義済みのアンチウィルス、ファイアウォール、アンチスパイウェア Host
Checker ポリシーに影響があります。それ以外のプロセスチェック、OS チェックなどの
Host Checker ポリシーは影響ありません。