De los expertos: URL filtrado de aplicación y solución de problemas

En este artículo, presentaremos algunos métodos de aplicación de filtrado de URL y solucionar cualquier problema relacionado con PAN OS 7.0.

En dispositivos de Palo Alto Networks, filtrado de URL de PAN-DB se aplica en 2 principales protocolos: HTTP y HTTPS (SSL).

PAN-dB está utilizando una base de datos de filtrado de URL que contiene una lista de millones de sitios web que han sido categorizados en ciertas categorías de URL como se documentó en https://urlfiltering.paloaltonetworks.com/categoryList.aspx. Además de las categorías de URL estándar, existen 3 categorías más definidas por el sistema:

• no-resuelto - el sitio web no se encuentra en la base local de filtrado de URL y conectividad de la nube no era posible. Hablaremos más adelante en este documento la conectividad a la nube y la forma en que funciona.

• privado-dirección-ip - o la página web es un solo dominio, la dirección IP es en un rango IP privado o el dominio de la URL raíz es desconocido a la nube.

• desconocido - el sitio web no ha sido categorizado aún.

Para recuperar una cierta categoría, debe conectar el firewall a una nube de base de datos para poblar la base de datos o para identificar una categoría para un sitio Web. Hay 2 tipos de nubes:

• Nube pública - si el firewall tiene conectividad a Internet.
• Nube privada - si el firewall no tiene conectividad a Internet. En este caso, una solución es tener un dispositivo de M-500 en modo PAN-URL-DB.

Filtrado de URL se puede utilizar para 2 acciones principales:

• Coincidencia de cierto tráfico.
• Bloquear o permitir cierto tráfico (utilizado para las reglas de seguridad).

Juego tráfico filtrado de URL

Utilice esta opción para que coincida con un determinado tipo de tráfico que llega a un sitio web en particular. Por ejemplo, el usuario puede utilizar las políticas de QoS para limitar el ancho de banda para el tráfico de cualquier sitio web de "streaming media". Esta opción puede encontrarse en 'Dirección URL del servicio categoría' al configurar una política.

Bloquear o permitir determinado tráfico

Utilice esta opción para permitir o bloquear cierto tráfico basado en un perfil de dirección URL que especifica una acción basada en cada categoría. La información acerca de los perfiles de URL de configuración se puede encontrar en la guía del administrador https://paloaltonetworks.com/documentation/70/pan-os/pan-os

Como se mencionó anteriormente, obras en 2 protocolos principales de filtrado de URL: HTTP y HTTPS(SSL). Para la identificación de una categoría determinada de un sitio web, el servidor de seguridad debe hacer una consulta en el siguiente orden:

• Comprueba su caché de datos local plano
• Si se encuentra ninguna coincidencia, comprueba su caché de plano de la gestión local
• Si se encuentra ninguna coincidencia, realiza una consulta a la nube (pública o privada)

En orden para la consulta a realizar y una respuesta que recibió, el cortafuegos debe extraer el nombre del sitio web de la comunicación TCP. La siguiente información está siendo revisado o analizado:

Para el tráfico HTTP, el servidor de seguridad se va a ver principalmente en el mensaje HTTP GET. En el ejemplo siguiente, tenemos tráfico de muestra para www.paloaltonetworks.com. Observar que dentro del mensaje HTTP GET, tenemos el campo 'Host' que muestra la página web paloaltonetworks.com. Al ver esto, el firewall ahora conoce el sitio web y va a hacer una verificación de categoría para el sitio web paloaltonetworks.com.

Para el tráfico HTTPS, ya que este protocolo está siendo encriptada, el firewall generalmente mira datos en el certificado de servidor que se presenta al cliente durante el protocolo SSL. En el caso de descifrado, este tráfico se tratará como tráfico HTTP normal cuando se trata de identificar la categoría.

Como podemos ver en la captura de pantalla de abajo, hemos capturado el tráfico al ir a https://a.SSL.fastly.net. Dentro del campo de certificado de servidor, podemos ver el común nombre es 'a.ssl.fastly.net,' por lo tanto, el firewall intentará resolver este sitio web para obtener una categoría. SSL, hay más campos y opciones que el servidor de seguridad está tratando de buscar. Nombre común es uno que es muy utilizado.

 Solución de problemas

 Para hacer una identificación de una categoría, como se ha mencionado que el firewall realizará las preguntas siguientes:

• Comprobar su caché de plano de datos locales.
• Si se encuentra ninguna coincidencia, comprueba su caché de plano de la gestión local.
• Si se encuentra ninguna coincidencia, realiza una consulta a la nube (pública o privada).

Las 2 primeras consultas son locales en el dispositivo y la última de ellas se hace en una fuente externa.

Para comprobar un cierto sitio web URL en CLI de firewall, utilice el siguiente comando, que comprueba la caché del plano de gestión, así como la clasificación de nubes:

> Test URL www.Google.com
www.Google.com Search-Engines (base dB) caduca en 0 segundos
www.Google.com Cloud-no disponible (Cloud dB  )    

Según db - la respuesta que vino del plano de gestión

Db - la respuesta de la nube de la nube. En esta prueba en particular, vemos que la nube no está disponible, un escenario que vamos a cubrir en los próximos pasos.

Para confirmar el estado de la conectividad de la nube, puede utilizarse el siguiente comando:

> Mostrar URL-estado de nube

bandeja de filtrado de URL de pan-dB
:
conexión de nube válida: no está conectada
versión de base de datos URL-dispositivo: 2016.02.24.   
versión del Protocolo de URL 236-dispositivo: pan  /0.0.2

Podemos ver que, en este caso, la licencia para PAN-DB es válida; sin embargo, no se ha establecido la conexión de la nube. Esto puede ser debido a múltiples razones de cualquiera de los siguientes:

• Error de resolución DNS
• Tráfico SSL no permitido entre el firewall y nube
• Problemas de enrutamiento en la red
• Dispositivos intermedios en toda la red caída de tráfico
• Si configura, proxy posibles cuestiones en cuanto a protocolo de enlace SSL