URL 管理の上書きを構成する

URL 管理の上書きを構成する

38958
Created On 09/25/18 18:55 PM - Last Modified 06/08/23 02:53 AM


Resolution


 資格情報フィルタの検出

ユーザー資格情報の送信 = 続行

 

場合によっては、完全にブロックするのではなく、資格情報の検出についてユーザーに警告する URL カテゴリが存在する場合があります。このような場合は、ユーザーに警告するためにスプラッシュページを表示しますが、ユーザーが続行できるようにする必要があります。この場合は、ユーザー資格情報の送信アクションを続行するように設定します。ユーザーがカテゴリを参照しようとすると、検出されたユーザーの資格情報に警告するスプラッシュページが示されますが、選択した場合は続行できます。次の手順を使用して、操作が続行されるユーザー資格情報の送信を構成します。

 

手順 1:

管理プロファイルを作成して、インターフェイスで [URL フィルタリングの続行] および [ページ応答の上書き] ページを表示できるようにします。

  1. [ネットワーク] > [インターフェイス管理] を選択し、[追加] をクリックします。
  2. プロファイルの名前を入力し、[応答ページ] と必要な追加サービス (ping) を選択して、[OK] をクリックします。Picture1.png

 

レイヤ3インタフェースを作成するか、すでに既存のインタフェース (ファイアウォールの内部インタフェース) を使用します。先ほど作成した管理プロファイルを必ず添付してください ([詳細設定] > [イーサネットインターフェイス] ダイアログの [その他の情報] タブ)。

Picture2.png上記の画像は、私のファイアウォールの内部インターフェイスです

手順 2:

(証明書のエラーを回避するには、組織内の信頼された CA が署名した証明書を使用します)。証明書は次のパラメータに従って作成する必要があります。

  1. 一般的な名前は、内部インターフェイスの DNS ホスト名/ファイアウォールのいくつかの他のインターフェイス、または内部インターフェイスの ip アドレス/ファイアウォールのいくつかの他のインターフェイスの ip アドレスでなければなりません。(ステップ5ポイント6で設定したものと一致している必要があります)。
  2. ステップ a の IP アドレスの SAN は、証明書にも存在する必要があります。
  3. 証明書とプライベートをファイアウォールにインポートします。私は
    Picture3.pngCN と SAN として直接インターフェイスの ip アドレスを使用する必要がありますので、私のファイアウォールの内部インターフェイスは、対応する DNS 名を持っていない

手順 3:

  1. [オブジェクト] > [セキュリティプロファイル] > [url フィルタリング] を選択し、既存の url フィルタプロファイルを選択するか、新しいプロフィールを追加します。
  2. [カテゴリ] タブで、警告スプラッシュページが必要なカテゴリごとに、ユーザー資格情報の送信アクションを "続行" に設定します。
  3. URL フィルタプロファイルの残りのセクションをすべて完了し、[OK] をクリックしてプロファイルを保存します。Picture4.png上記の画像で私は、シェアウェアのサイトのために "続行" にユーザーの資格情報の提出アクションを設定している

手順 4:

  1. デバイスから ssl/tls サービスプロファイルを作成する-> 証明書の管理-> ssl/tls サービスプロファイル
  2. [追加] をクリックします。
  3. 名前を付けて
  4. 手順2からインポートした証明書を選択します。
  5. 低 TLS が必要な場合を除き、最適なセキュリティ設定のために tlsv 1.2 を最小バージョンとして使用します。
    tlsv 1.2. png

ステップ 5:

  1. デバイス > 設定 > コンテンツ ID を選択します。
  2. [URL 管理の上書き] セクションで、[追加] をクリックします。
  3. [場所] フィールドで、このパスワードを適用する仮想システムを選択します。
  4. [ パスワードを入力し、パスワードを確認します。(これは、資格情報のフィルタリングアクションが続行するように設定するためには問題ではないが、我々はとにかくそれを提供する必要がある)
  5. SSL/TLS サービスプロファイルを選択します。[続行] アクションのあるサイトが HTTPS サイトである場合、プロファイルは、ファイアウォールがユーザーに提示する証明書を指定します。
  6. ユーザーにパスワードの入力を求めるモードを選択します。
    • (使用しないでください)透過的 (このモードは、資格情報の送信の続行アクションには有効ではありません。その理由は、すべてのパブリックインターネットサイトに対して有効な証明書を生成できないためです)、ファイアウォールは、元の宛先 url を上書きして偽装するように設定した url カテゴリのサイト宛てのブラウザトラフィックをインターセプトし、HTTP を発行します。401パスワードの入力を求められます。証明書を信頼していない場合は、クライアントブラウザに証明書エラーが表示されることに注意してください。
    • (この1つを使用)リダイレクト (我々は強制的に ip アドレスにユーザーをリダイレクトする必要があります/ファイアウォール上のホスト名は、ステップ1のための応答ページを提供する)-ファイアウォールの URL カテゴリに設定する HTTP または HTTPS トラフィックをインターセプト続行し、要求をレイヤ3にリダイレクトHTTP 302 リダイレクトを使用してファイアウォールのインターフェイスをクリックし、[続行] をユーザーに要求します。このオプションを選択した場合は、トラフィックをリダイレクトするアドレス (IP アドレスまたは DNS ホスト名) を指定する必要があります。
    Picture7.png
  7. [OK] をクリックします。

 

 

この記事はスティーブンオースティンによって貢献された@staustin

 

著者について:

スティーブンは現在、ネットワークセキュリティである彼の主な焦点と NYC の Palantir 技術で情報セキュリティエンジニアとして動作します。  彼は、商業から政府部門への混合ベンダー環境で働いている情報セキュリティ分野で10年以上の経験を持っています。

PCNSE 8.0、CCIE #42978 (RS、Sec)、ヤック GXPN、OSCP

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRdCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language