Comment bloquer Internet Explorer (toutes les versions) depuis L'Accès à Internet

Comment bloquer Internet Explorer (toutes les versions) depuis L'Accès à Internet

43454
Created On 09/25/18 17:18 PM - Last Modified 06/14/23 06:06 AM


Symptom


Dans un scénario où un certain navigateur Web doit être complètement bloqué pour http ou HTTPS, Palo Alto NGFW peut fournir un contrôle granulaire via des signatures personnalisées. Dans notre exemple, ce serait l'omniprésent Internet Explorer. L'exigence est d'empêcher que le trafic http ou HTTPS, tout autre protocole utilisant le navigateur (par exemple FTP) devrait être autorisé. Comment y parvenir?

Resolution


Remarque: le décryptage est un must pour le trafic HTTPS. Nous avons besoin d'avoir une visibilité totale sur le trafic après la SSL-Handshake.

 

  1. Accédez à l'onglet objets. Sous «applications», cliquez sur l'option «Ajouter» pour créer une nouvelle application.
    Donner un nom, une catégorie, une sous-catégorie et une technologie appropriées. Etape i. JPG
  2. Sous l'onglet'Signatures', cliquez Sur'ajouter'pour ajouter une nouvelle signature. Cela va ouvrir une boîte pop-up.Application1A. JPG
  3. Après avoir fourni un nom approprié, cliquez sur'Ajouter ou condition'Ou'Ajouter et condition'. Puisque nous ajoutons une seule condition, l'une ou L'autre option est fine. Toutefois, si vous ajoutez plusieurs conditions, veuillez choisir l'opérateur de manière appropriée.Application1B. JPG
  4. Le choix de l'option'ou condition'ou'et condition'ouvrirait une autre boîte contextuelle. Ici, vous devez choisir ce qui suit:
    • Opérateur- modèle match
    • Context- http-req-en- têtes
    • Pattern- Trident \/ Application1C. JPG
  5. Enfin, ajoutez-le à une stratégie de refus particulière. Comme une légère différence, vous pouvez choisir l'action comme'Reset (avec le client, le serveur ou les deux)'. Cela mettra fin à la session plus rapidement et libérera les ressources sur le pare-feu plus rapidement.SecPolicy. JPG

 

Vérification:

 

Si tout a été correctement configuré, nous devrions voir les actions appropriées prises par le pare-feu. En conséquence, les journaux de trafic doivent ressembler à ceci: Trafficlogs. JPG

 

Sur le client, le navigateur montrera immédiatement «cette page ne peut pas être affichée» ou un message similaire.

 Blockedpage1A. JPG

 

Cependant, comme prévu l'accès FTP à travers le navigateur Web fonctionne très bien.

 Blockedpage1B. JPG

 

Si nous prenons les captures de paquets, nous observerions le paquet RST injecté dans le flux TCP:

 Wshark. JPG

 

Commentaires additionnels:

 

Cette signature est dérivée du champ'User-Agent'du paquet Get. La même technique peut être utilisée pour correspondre à d'autres navigateurs Web ou des versions différentes, si nécessaire. Par exemple, pour correspondre à toutes les versions de Firefox, le modèle serait Firefox \/et ainsi de suite.

 VA chercher PKT. Jpg

 

 

propriétaire-ansharma
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEdCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language