Wie man Internet Explorer (alle Versionen) vom InternetZugang blockiert
Symptom
In einem Szenario, in dem ein bestimmter Web-Browser für http oder HTTPS komplett gesperrt werden muss, kann Palo Alto NGFW eine granulare Steuerung über kundenspezifische Signaturen ermöglichen. In unserem Beispiel wäre es der allgegenwärtige Internet Explorer. Die Anforderung ist, nur den HTTP oder HTTPS-Verkehr zu verhindern, jedes andere Protokoll, das den Browser verwendet (z.b. FTP), sollte erlaubt sein. Wie kann man das erreichen?
Resolution
Hinweis: die Entschlüsselung ist ein muss für HTTPS Traffic. Wir müssen nach dem SSL-Handshake die volle Sicht auf den Verkehr haben.
- Navigieren Sie zum Reiter Objekte. Unter "Anwendungen" klicken Sie auf dieOption "hinzufügen", um eine neue Anwendung zu erstellen.
Geben Sie einen passenden Namen, Kategorie, Unterkategorie und Technologie. - Unter derregisterKarte "Signaturen" klicken Sie auf "Hinzufügen", um eine neue Signatur hinzuzufügen. Damit öffnet sich eine Pop-up-Box.
- Nachdem Sie einen entsprechenden Namen zur Verfügung gestellt haben, klicken Sie entweder auf "Hinzufügen oder Bedingung" oder "Hinzufügen und Zustand". Da wir eine einzige Bedingung hinzufügen, ist jede Option in Ordnung. Wenn Sie jedoch mehrere Bedingungen hinzufügen, wählen Sie bitte den Bediener entsprechend.
- Die Wahl derOption "oder Bedingung" oder "und Bedingung" würde eine weitere Pop-up-Box öffnen. Hier sollten Sie Folgendes wählen:
- Bediener- Muster- Match
- Kontext- http-req-Headers
- Pattern- Trident \/
- Und schließlich noch eine bestimmte Politik der Verweigerung hinzufügen. Als einen kleinen Unterschied können Sie die Aktion als "Reset (mit Client, Server oder beides)" auswählen. Dadurch wird die Session schneller beendet und die Ressourcen auf der Firewall schneller frei.
Überprüfung:
Wenn alles richtig konfiguriert war, sollten wir die richtigen Maßnahmen sehen, die von der Firewall ergriffen werden. Daher sollten die Verkehrsprotokolle so aussehen:
Auf dem Client wird der Browser sofort anzeigen "Diese Seite kann nicht angezeigt werden" oder eine ähnliche Nachricht.
Wie der erwartete FTP-Zugang über den Web-Browser funktioniert, ist jedoch einfach gut.
Wenn wir die Paketaufnahmen nehmen, würden wir das RST-Paket beobachten, das im TCP-Stream injiziert wird:
Weitere Kommentare:
Diese Signatur wird aus dem Feld "User-Agent" im GET-Paket abgeleitet. Die gleiche Technik kann verwendet werden, um für andere Web-Browser oder verschiedene Versionen zu passen, wenn nötig. Zum Beispiel, um alle Versionen von Firefox zu entsprechen, wäre das Muster Firefox \/und so weiter.
Besitzer-ansharma