Cómo bloquear Internet Explorer (todas las versiones) desde el acceso a Internet
Symptom
En un escenario donde un determinado navegador web necesita ser completamente bloqueado para http o https, palo alto NGFW puede proporcionar control granular a través de firmas personalizadas. En nuestro ejemplo, sería el omnipresente Internet Explorer. El requisito es prevenir solamente el tráfico del http o del https, cualquier otro protocolo usando el hojeador (e.g. FTP) debe ser permitido. ¿Cómo lograrlo?
Resolution
Nota: el descifrado es una necesidad para el tráfico HTTPS. Necesitamos tener visibilidad completa del tráfico después del protocolo SSL.
- Desplácese a la ficha objetos. En 'aplicaciones', haga clic en laopción ' agregar' para crear una nueva aplicación.
Dé un nombre, una categoría, una subcategoría y una tecnología convenientes. - En lapestaña ' firmas', haga clic en 'Add' para agregar una nueva firma. Esto abrirá una ventana emergente.
- Después de proporcionar un nombre apropiado, haga clic en 'Add or Condition' o 'Add and Condition'. Ya que estamos agregando una sola condición, cualquiera de las opciones está bien. Sin embargo, si usted está agregando varias condiciones, elija por favor el operador convenientemente.
- Si elige laopción ' or Condition' o 'y Condition' se abrirá otro cuadro emergente. Aquí, usted debe elegir lo siguiente:
- Partido del operador- patrón
- Context- http-req -headers
- Patrón- Trident \/
- Por último, añádalo a una política de denegación determinada. Como una ligera diferencia, puede elegir la acción como 'RESET (con cliente, servidor o ambos)'. Esto terminará la sesión más rápido y liberará recursos en el cortafuegos más rápido.
Verificación:
Si todo estaba configurado correctamente, deberíamos ver la acción correcta tomada por el firewall. Como resultado, los registros de tráfico deben tener este aspecto:
En el cliente, el navegador mostrará inmediatamente ' esta página no se puede mostrar ' o un mensaje similar.
Sin embargo, como el acceso FTP esperado a través del navegador web funciona muy bien.
Si tomamos las capturas de paquetes, observaremos el paquete RST inyectado en la secuencia TCP:
Comentarios adicionales:
Esta firma se deriva del campo ' usuario-agente ' del paquete GET. La misma técnica puede ser utilizada para coincidir con otros navegadores web o versiones diferentes, si es necesario. Por ejemplo, para que coincida con todas las versiones de Firefox, el patrón sería Firefox \/y así sucesivamente.
propietario-pansharma