Wie man Internet Explorer (alle Versionen) vom InternetZugang blockiert

Wie man Internet Explorer (alle Versionen) vom InternetZugang blockiert

43450
Created On 09/25/18 17:18 PM - Last Modified 06/14/23 06:06 AM


Symptom


In einem Szenario, in dem ein bestimmter Web-Browser für http oder HTTPS komplett gesperrt werden muss, kann Palo Alto NGFW eine granulare Steuerung über kundenspezifische Signaturen ermöglichen. In unserem Beispiel wäre es der allgegenwärtige Internet Explorer. Die Anforderung ist, nur den HTTP oder HTTPS-Verkehr zu verhindern, jedes andere Protokoll, das den Browser verwendet (z.b. FTP), sollte erlaubt sein. Wie kann man das erreichen?

Resolution


Hinweis: die Entschlüsselung ist ein muss für HTTPS Traffic. Wir müssen nach dem SSL-Handshake die volle Sicht auf den Verkehr haben.

 

  1. Navigieren Sie zum Reiter Objekte. Unter "Anwendungen" klicken Sie auf dieOption "hinzufügen", um eine neue Anwendung zu erstellen.
    Geben Sie einen passenden Namen, Kategorie, Unterkategorie und Technologie. Schritt 1. JPG
  2. Unter derregisterKarte "Signaturen" klicken Sie auf "Hinzufügen", um eine neue Signatur hinzuzufügen. Damit öffnet sich eine Pop-up-Box.Application1A. JPG
  3. Nachdem Sie einen entsprechenden Namen zur Verfügung gestellt haben, klicken Sie entweder auf "Hinzufügen oder Bedingung" oder "Hinzufügen und Zustand". Da wir eine einzige Bedingung hinzufügen, ist jede Option in Ordnung. Wenn Sie jedoch mehrere Bedingungen hinzufügen, wählen Sie bitte den Bediener entsprechend.Application1B. JPG
  4. Die Wahl derOption "oder Bedingung" oder "und Bedingung" würde eine weitere Pop-up-Box öffnen. Hier sollten Sie Folgendes wählen:
    • Bediener- Muster- Match
    • Kontext- http-req-Headers
    • Pattern- Trident \/ Application1C. JPG
  5. Und schließlich noch eine bestimmte Politik der Verweigerung hinzufügen. Als einen kleinen Unterschied können Sie die Aktion als "Reset (mit Client, Server oder beides)" auswählen. Dadurch wird die Session schneller beendet und die Ressourcen auf der Firewall schneller frei.SecPolicy. JPG

 

Überprüfung:

 

Wenn alles richtig konfiguriert war, sollten wir die richtigen Maßnahmen sehen, die von der Firewall ergriffen werden. Daher sollten die Verkehrsprotokolle so aussehen: Trafficlogs. JPG

 

Auf dem Client wird der Browser sofort anzeigen "Diese Seite kann nicht angezeigt werden" oder eine ähnliche Nachricht.

 Blockedpage1A. JPG

 

Wie der erwartete FTP-Zugang über den Web-Browser funktioniert, ist jedoch einfach gut.

 Blockedpage1B. JPG

 

Wenn wir die Paketaufnahmen nehmen, würden wir das RST-Paket beobachten, das im TCP-Stream injiziert wird:

 Wshark. JPG

 

Weitere Kommentare:

 

Diese Signatur wird aus dem Feld "User-Agent" im GET-Paket abgeleitet. Die gleiche Technik kann verwendet werden, um für andere Web-Browser oder verschiedene Versionen zu passen, wenn nötig. Zum Beispiel, um alle Versionen von Firefox zu entsprechen, wäre das Muster Firefox \/und so weiter.

 GET Pkt. Jpg

 

 

Besitzer-ansharma
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEdCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language