Des Experts : URL mise en oeuvre de filtrage et de dépannage
Resolution
Dans cet article, nous présenterons quelques méthodes d’implémentation de filtrage d’URL et le dépannage de tout problème lié à elle en PAN-OS 7.0.
Dispositifs de Palo Alto Networks, filtrage d’URL PAN-DB est appliqué sur 2 principaux protocoles : HTTP et HTTPS (SSL).
Pan-DB utilise une base de données de filtrage d'url qui contient une liste de millions de sites Web qui ont été classés dans certaines catégories d'url comme documenté à https://urlfiltering.paloaltonetworks.com/CategoryList.aspx. Outre les catégories d’URL standards, il y a 3 catégories définies par le système :
- non-résolu - le site Web n’a pas été trouvé dans la base de données de filtrage URL locale et connectivité cloud n’était pas possible. Nous allons parler plus loin dans ce document la connectivité avec le nuage et la façon dont il fonctionne.
- adresse-ip-privé - soit le site Web est un domaine unique, l’adresse IP est dans une plage d’adresses IP privée, ou le domaine racine de l’URL est inconnu dans le nuage.
- inconnu - le site Web n’a pas encore été classé.
Afin de récupérer une certaine catégorie, le pare-feu doit se connecter à un nuage de base de données afin d’alimenter la base de données ou d’identifier une catégorie pour un site Web. Il existe 2 types de nuages :
- Cloud public - utilisé si le pare-feu dispose d’une connectivité Internet.
- Cloud privé - utilisé si le pare-feu n’a pas de connectivité Internet. Dans ce cas, une solution est d’avoir un appareil de M-500 en cours d’exécution en mode PAN-URL-DB.
Filtrage d’URL peut être utilisé pour 2 actions majeures :
- Certain trafic correspondant.
- Blocage ou permettant à certains trafics (utilisé pour les règles de sécurité).
Trafic à l’aide de filtrage d’URL correspondant
Utilisez cette option pour correspondre à un certain type de trafic qui va à un site Web particulier. Par exemple, l’utilisateur peut utiliser stratégies QoS afin de limiter la bande passante pour le trafic allant sur n’importe quel site Web « en streaming-médias ». Cette option se trouvent au « Service/URL catégorie » lors de la configuration d’une politique.
Blocage ou permettant à certains trafics
Utilisez cette option pour autoriser ou bloquer certains trafics basé sur un profil d’URL qui spécifie une action basée sur chaque catégorie. Vous trouverez des informations sur les profils d'URL de configuration dans le Guide de l'Administrateur https://paloaltonetworks.com/documentation/70/Pan-OS/Pan-OS
Tel que mentionné précédemment, fonctionne sur 2 principaux protocoles de filtrage d’URL : HTTP et HTTPS(SSL). Afin d’identifier une certaine catégorie d’un site Internet, le pare-feu doit faire une requête dans l’ordre suivant :
- Il vérifie son cache de données local plan
- Si aucune correspondance n’est trouvée, elle vérifie son cache de plan de gestion locale
- Si aucune correspondance n’est trouvée, il effectue une requête vers le cloud (public ou privé)
Afin que la requête à effectuer et une réponse reçue, le pare-feu doit extraire le nom du site Web de la communication TCP. Les informations suivantes sont vérifiées ou analysée :
Pour le trafic HTTP, le pare-feu va regarder mettrait en valeur le message HTTP GET. Dans L'exemple ci-dessous, nous avons des exemples de trafic pour www.paloaltonetworks.com. Observer qu’à l’intérieur du message HTTP GET, nous avons le champ « D’accueil » montrant le site Web paloaltonetworks.com. En voyant cela, le pare-feu maintenant connaît le site et va faire une vérification de la catégorie pour le site paloaltonetworks.com.
Pour le trafic HTTPS, étant donné que ce protocole est en cours de cryptage, pare-feu ressemble généralement à des données dans le certificat du serveur est présenté au client pendant la négociation SSL. Dans le cas de décryptage, ce trafic est considéré comme trafic HTTP normal quand il s’agit d’identifier la catégorie.
Comme nous pouvons le voir dans la capture d'écran ci-dessous, nous avons capturé le trafic lorsque vous allez à https://a.SSL.fastly.net. Dans le champ du certificat de serveur, nous pouvons voir le bon nom est « a.ssl.fastly.net », par conséquent, le pare-feu tenteront de résoudre ce site afin d’obtenir une catégorie. Pour SSL, il y a plus de champs et d’options que le pare-feu essaie de chercher. Nom commun est celui qui est très utilisé.
Résolution des problèmes
Afin de rendre l’identification d’une catégorie, tel que déjà mentionné que le pare-feu se produiront les requêtes suivantes :
- Il vérifie son cache de plan de données locales.
- Si aucune correspondance n’est trouvée, elle vérifie son cache de plan de gestion locale.
- Si aucune correspondance n’est trouvée, il effectue une requête vers le cloud (public ou privé).
Les 2 premières requêtes sont locales sur l’appareil et le dernier d'entre eux se fait sur une source externe.
Pour tester un certain site Web URL sur la CLI du pare-feu, utilisez la commande suivante, qui vérifie le cache de plan de gestion ainsi que la catégorisation de nuage :
> test URL www.google.com
www.google.com Search-Engines (base dB) expire en 0 secondes
www.google.com Cloud-non disponible (Cloud DB )
La base db - la réponse venues du plan de gestion
Db de nuages - la réponse provenant du nuage. Dans ce test, nous voyons que le nuage n’est pas disponible, un scénario que nous allons couvrir dans les prochaines étapes.
Afin de confirmer l’état de la connectivité de nuage, permet la commande suivante :
> Show URL-Cloud status
Pan-DB licence de filtrage d'url
:
connexion Cloud valide: non connecté
URL base de données version-Device: 2016.02.24. 236
URL Protocol version-Device: Pan/0.0.2
Nous pouvons voir que, dans ce cas, la licence pour PAN-DB est valide ; Toutefois, la connexion de nuage n’a pas été établie. Cela peut être dû à plusieurs raisons liées à l’une des opérations suivantes :
- Échec de la résolution DNS
- Trafic SSL ne pas autorisé entre le pare-feu et le Cloud
- Problèmes de routage dans le réseau
- Périphériques intermédiaires dans tout le réseau baisse de trafic
- Si configuré, proxy possible des questions en ce qui concerne la négociation SSL