Cómo bloquear Internet Explorer (todas las versiones) desde el acceso a Internet

Cómo bloquear Internet Explorer (todas las versiones) desde el acceso a Internet

43458
Created On 09/25/18 17:18 PM - Last Modified 06/14/23 06:06 AM


Symptom


En un escenario donde un determinado navegador web necesita ser completamente bloqueado para http o https, palo alto NGFW puede proporcionar control granular a través de firmas personalizadas. En nuestro ejemplo, sería el omnipresente Internet Explorer. El requisito es prevenir solamente el tráfico del http o del https, cualquier otro protocolo usando el hojeador (e.g. FTP) debe ser permitido. ¿Cómo lograrlo?

Resolution


Nota: el descifrado es una necesidad para el tráfico HTTPS. Necesitamos tener visibilidad completa del tráfico después del protocolo SSL.

 

  1. Desplácese a la ficha objetos. En 'aplicaciones', haga clic en laopción ' agregar' para crear una nueva aplicación.
    Dé un nombre, una categoría, una subcategoría y una tecnología convenientes. STEP1. JPG
  2. En lapestaña ' firmas', haga clic en 'Add' para agregar una nueva firma. Esto abrirá una ventana emergente.Application1A. JPG
  3. Después de proporcionar un nombre apropiado, haga clic en 'Add or Condition' o 'Add and Condition'. Ya que estamos agregando una sola condición, cualquiera de las opciones está bien. Sin embargo, si usted está agregando varias condiciones, elija por favor el operador convenientemente.Application1B. JPG
  4. Si elige laopción ' or Condition' o 'y Condition' se abrirá otro cuadro emergente. Aquí, usted debe elegir lo siguiente:
    • Partido del operador- patrón
    • Context- http-req -headers
    • Patrón- Trident \/ Application1C. JPG
  5. Por último, añádalo a una política de denegación determinada. Como una ligera diferencia, puede elegir la acción como 'RESET (con cliente, servidor o ambos)'. Esto terminará la sesión más rápido y liberará recursos en el cortafuegos más rápido.SecPolicy. JPG

 

Verificación:

 

Si todo estaba configurado correctamente, deberíamos ver la acción correcta tomada por el firewall. Como resultado, los registros de tráfico deben tener este aspecto: Trafficlogs. JPG

 

En el cliente, el navegador mostrará inmediatamente ' esta página no se puede mostrar ' o un mensaje similar.

 Blockedpage1A. JPG

 

Sin embargo, como el acceso FTP esperado a través del navegador web funciona muy bien.

 Blockedpage1B. JPG

 

Si tomamos las capturas de paquetes, observaremos el paquete RST inyectado en la secuencia TCP:

 Wshark. JPG

 

Comentarios adicionales:

 

Esta firma se deriva del campo ' usuario-agente ' del paquete GET. La misma técnica puede ser utilizada para coincidir con otros navegadores web o versiones diferentes, si es necesario. Por ejemplo, para que coincida con todas las versiones de Firefox, el patrón sería Firefox \/y así sucesivamente.

 ¡ PKT! Jpg

 

 

propietario-pansharma
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEdCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language