URL admin override konfigurieren

 Für die Erkennung von Credential Filtern

User-Credential-Einreichung = weiter

In einigen Fällen kann es URL-Kategorien geben, die Nutzer vor einer Beglaubigungs Erkennung warnen wollen, anstatt sie vollständig zu blockieren. In diesen Fällen möchten Sie eine Splash-Seite präsentieren, um den Benutzer zu warnen, aber dem Benutzer erlauben, weiter voranzukommen. In diesem Fall würden Sie die Aktion zur Einreichung von Nutzern einstellen, um fortzufahren. Wenn Nutzer versuchen, in die Kategorie zu suchen, werden Sie mit einer Splash-Seite vorgestellt, die Sie auf Ihre erkannte Benutzer Bescheinigung aufmerksam macht, aber erlaubt, weiterzumachen, wenn Sie wählen. Verwenden Sie die folgende Prozedur, um die Einreichung der Benutzer Berechtigung zu konfigurieren, wenn die Aktion fortgesetzt wird:

Schritt 1:

Erstellen Sie ein Management-Profil, um die Schnittstelle zu ermöglichen, die URL-Filterung FortZusetzen und Seite Antwortseite zu überSchreiben:

1. Wählen Sie Netzwerk > Interface Mgmt und klicken Sie auf HinzuFügen.
2. Geben Sie einen Namen für das Profil ein, wählen Sie AntwortSeiten und alle zusätzlichen Dienste, die Sie benötigen (Ping), dann klicken Sie auf OK.

Erstellen Sie die Ebene-3-Schnittstelle oder verwenden Sie eine bereits vorhandene Schnittstelle (z.b. die interne Schnittstelle der Firewall). Stellen Sie sicher, dass Sie das gerade erstellte Management Profil (auf der Registerkarte Advanced > Weitere Informationen im Ethernet-Interface-Dialog) anhängen.

Das obige Bild ist meine Firewalls interne Schnittstelle

Schritt 2:

(Um Zertifikats Fehler zu vermeiden, verwenden Sie ein Zertifikat, das von einer vertrauenswürdigen CA in der Organisation signiert wurde). Das Zertifikat sollte nach diesen Parametern erstellt werden:

1. Der gemeinsame Name muss der DNS-Hostname der internen Schnittstelle/einer anderen Schnittstelle der Firewall sein, oder es muss die interne Interface-IP-Adresse/eine andere Interface-IP-Adresse der Firewall sein. (Es muss mit dem übereinstimmen, was Sie in Schritt 5 Punkt 6 konfigurieren).
2. EIN SAN für die IP-Adresse für Step a muss auch auf dem Zertifikat vorhanden sein.
3. Importieren Sie das Zertifikat und privat in die Firewall.
   meine Firewall-interne Schnittstelle hat keinen entsprechenden DNS-Namen, daher muss ich die IP-Adresse der Schnittstelle direkt als CN und die San verwenden

Schritt 3:

1. Wählen Sie Objekte > Sicherheitsprofile > URL-Filterung und wählen Sie entweder ein bestehendes URL-Filter Profil oder fügen Sie ein neues hinzu.
2. Auf der Registerkarte Kategorien setzen Sie die Aktion "Benutzer Berechtigung" für jede Kategorie, die eine Warn spritzseite benötigt, "weiter".
3. Vervollständigen Sie alle verbleibenden Abschnitte auf dem URL-Filter Profil und klicken Sie auf OK, um das Profil zu speichern. Im obigen Bild habe ich die Bedienungs Aktion für die Benutzer Bescheinigung auf "weiter" für Shareware-und-Freeware-Websites eingestellt .

Schritt 4:

1. Erstellen Sie ein SSL/TLS-Service-Profil von Device-> Zertifikats Management-> SSL/TLS Service Profile
2. Klick Hinzufügen.
3. Geben Sie ihm einen Namen.
4. Wählen Sie das aus Schritt 2 importierte Zertifikat aus.
5. Verwenden Sie TLSv 1.2 als Minimalversion für optimale Sicherheitseinstellungen, es sei denn, es wird niedrigere TLS benötigt.
   

Schritt 5:

1. Wählen Sie das Gerät > Setup > Content ID.
2. Im URL-admin-override-Abschnitt klicken Sie auf HinzuFügen.
3. Wählen Sie im Feld Standort das virtuelle System aus, auf das dieses Passwort zutrifft.
4. Geben Sie das Passwort ein und bestätigen Sie das Passwort. (Dies spielt keine Rolle für die Bescheinigung-Filter Aktion, die fortgesetzt werden soll, aber wir müssen Sie trotzdem zur Verfügung stellen)
5. Wählen Sie ein SSL/TLS-Service-Profil. Das Profil gibt das Zertifikat an, das die Firewall dem Benutzer vorstellt, wenn die Seite mit der weiteren Aktion eine HTTPS-Seite ist.
6. Wählen Sie den Modus, um den Benutzer für das Passwort zu provozieren:
   • (nicht verwenden) Transparent (dieser Modus ist nicht gültig für die Beglaubigungs Einreichung setzen Sie die Aktion fort. Der Grund dafür ist, dass wir kein Zertifikat generieren können, das für alle öffentlichen Internetseiten gültig ist) — die Firewall den Browser Verkehr, der für die Website bestimmt ist, in einer URL-Kategorie abfängt, die Sie eingestellt haben, um zu überschreiben und die ursprüngliche Ziel-URL zu verkörpern. 401, um das Passwort zu veranlassen. Beachten Sie, dass der Client-Browser Zertifikats Fehler anzeigt, wenn er dem Zertifikat nicht vertraut.
   • (verwenden Sie diese) Redirect (wir müssen unsere Benutzer mit Nachdruck auf eine IP-Adresse/Hostname auf der Firewall umleiten, um die Antwortseite wegen Schritt 1 zu bedienen) — die Firewall fängt http oder HTTPS Traffic auf eine URL-Kategorie ab, die gesetzt wird, um fortzufahren und leitet die Anfrage auf eine Ebene 3 Schnittstelle auf der Firewall mit einer HTTP 302-Umleitung, um den Benutzer zu veranlassen, weiter zu klicken. Wenn Sie diese Option wählen, müssen Sie die Adresse (IP-Adresse oder DNS-Hostname) angeben, an die Sie den Traffic weiterleiten.
   
7. Click OK.

Dieser Artikel wurde von Steven Austin beige steuert @staustin

Über den Autor:

Steven arbeitet derzeit als Informations Sicherheits Ingenieur bei Palantir Technologies in NYC, wobei sein Hauptaugenmerk auf der Netzwerksicherheit liegt.  Er verfügt über mehr als 10 Jahre Erfahrung im Bereich der Informationssicherheit, die in gemischten Lieferanten Umgebungen von der Handels-bis zur Regierungs Branche arbeiten.

PCNSE 8,0, CCIE #42978 (RS, sec), GIAC GXPN, OSCP