Configurer l'URL admin override

 Pour la détection de filtre D'Informations D'Identification

Soumission des informations d'Identification de l'Utilisateur = continuer

Dans certains cas, il peut y avoir des catégories d'URL que vous voulez avertir les utilisateurs au sujet de la détection d'informations d'identification au lieu de bloquer directement. Dans ces cas, vous souhaitez présenter une page de démarrage pour avertir l'utilisateur, mais permettre à l'utilisateur de continuer à avancer. Dans ce cas, vous devez définir l'action de soumission d'informations d'identification de l'utilisateur pour continuer. Lorsque les utilisateurs tentent de naviguer jusqu'à la catégorie, ils seront présentés avec une page de démarrage les alertant de leurs informations d'identification de l'utilisateur détecté, mais autorisés à continuer si elles choisissent. Utilisez la procédure suivante pour configurer la soumission d'Informations d'Identification de l'Utilisateur lorsque l'action est continue:

Etape 1 :

Créer un profil de gestion pour permettre à l'interface d'afficher le filtrage des URL continuer et remplacer la page réponse de la page:

1. Sélectionnez Network > Interface Mgmt et cliquez sur Ajouter.
2. Entrez un nom pour le profil, sélectionnez pages de réponse et tous les services supplémentaires dont vous avez besoin (ping), puis cliquez sur OK.

Créez l'interface de calque 3 ou utilisez une interface déjà existante (c'est-à-dire l'interface interne du pare-feu). Assurez-vous de joindre le profil de gestion que vous venez de créer (sur l'onglet avancé > autres informations de la boîte de dialogue Interface Ethernet).

L'image ci-dessus est mon interface interne de pare-feu

Étape 2 :

(Pour éviter les erreurs de certificat, utilisez un certificat signé par une autorité de certification approuvée dans l'organisation). Le certificat doit être créé en suivant ces paramètres:

1. Le nom commun doit être l'hôte DNS de l'interface interne/une autre interface du pare-feu, ou il doit être l'adresse IP de l'interface interne/une autre adresse IP de l'interface du pare-feu. (Il doit correspondre à ce que vous configurez à l'étape 5 point 6).
2. UN SAN pour l'adresse IP de l'étape a doit également exister sur le certificat.
3. Importez le certificat et Private dans le pare-feu.
   mon firewall interface interne n'a pas de nom DNS correspondant donc je dois utiliser l'adresse IP de l'interface directement que le CN et le San

Etape 3 :

1. Sélectionnez objets > profils de sécurité > filtrage d'URL et sélectionnez un profil de filtrage d'URL existant ou ajoutez-en un nouveau.
2. Sous l'onglet catégories, définissez l'action de soumission d'informations d'identification de l'utilisateur sur «continuer» pour chaque catégorie nécessitant une page de démarrage d'avertissement.
3. Remplissez toutes les sections restantes sur le profil de filtrage d'URL, puis cliquez sur OK pour enregistrer le profil. Dans L'image ci-dessus J'ai mis l'action de soumission d'informations d'identification de l'utilisateur à "continuer" pour les sites shareware-et-freeware

Etape 4 :

1. Créer un profil de service SSL/TLS à partir de Device-> Certificate Management-> SSL/TLS profil de service
2. Cliquez sur ajouter.
3. Donnez-lui un nom.
4. Sélectionnez le certificat importé de l'Étape 2.
5. Utilisez tlsv 1.2 comme version minimale pour des paramètres de sécurité optimaux à moins que le TLS inférieur ne soit requis.
   

Etape 5:

1. Sélectionnez Device > Setup > ID de contenu.
2. Dans la section remplacement de l'URL admin, cliquez sur Ajouter.
3. Dans le champ emplacement, sélectionnez le système virtuel auquel ce mot de passe s'applique.
4. Saisissez le mot de passe et confirmez le mot de passe. (Cela n'a pas d'importance pour L'action de filtrage des informations d'identification définie pour continuer, mais nous devons le fournir de toute façon)
5. Sélectionnez un profil de service SSL/TLS. Le profil spécifie le certificat que le pare-feu présente à l'utilisateur si le site avec l'action continue est un site https.
6. Sélectionnez le mode d'invite de l'utilisateur pour le mot de passe:
   • (ne pas utiliser) Transparent (ce mode n'est pas valide pour la soumission des informations d'identification continuer. La raison en est que nous ne pouvons pas générer un certificat qui est valide pour tous les sites Internet publics): le pare-feu intercepte le trafic du navigateur destiné au site dans une catégorie d'url que vous avez défini à substituer et emprunte l'URL de destination d'origine, émettant un http 401 pour demander le mot de passe. Notez que le navigateur client affichera les erreurs de certificat S'il ne fait pas confiance au certificat.
   • (utilisez celui-ci) Rediriger (nous devons rediriger avec force nos utilisateurs vers une adresse IP/nom d'hôte sur le pare-feu pour desservir la page de réponse en raison de l'étape 1) — le pare-feu intercepte le trafic http ou HTTPS vers une catégorie d'URL définie pour continuer et redirige la demande vers une couche 3 interface sur le pare-feu à l'Aide d'une redirection HTTP 302 afin d'inciter l'utilisateur à cliquer sur continuer. Si vous sélectionnez cette option, vous devez fournir l'Adresse (adresse IP ou nom d'hôte DNS) à laquelle vous souhaitez rediriger le trafic.
   
7. Cliquez sur OK.

Cet article a été contribué par Steven Austin @staustin

A propos de l'Auteur:

Steven travaille actuellement en tant qu'ingénieur de sécurité de l'information chez Palantir technologies à NYC avec son principal foyer étant la sécurité de réseau.  Il a plus de 10 ans d'expérience dans le domaine de la sécurité de l'information travaillant dans des environnements hétérogènes de fournisseurs du secteur commercial aux secteurs gouvernementaux.

PCNSE 8,0, CCIE #42978 (RS, sec), GIAC GXPN, OSCP