DotW: FQDN Politik
Resolution
In der Woche Diskussion der Woche (DotW) nehmen wir einen Blick auf eine Frage von Benutzer "Aguley" über FQDN.
Auch wenn es nicht möglich, einen Platzhalter in einem FQDN-Objekt zu verwenden ist, werde ich zwei mögliche Problemumgehungen hervorheben.
Wenn ein FQDN-Objekt für das System einsetzt, sendet die Managementebene periodische DNS-Anfragen zu diesem Objekt mit IP-Adressen von DNS-Antwort zugeordnet zu füllen. Dann sind diese zugeordneten IP-Adressen werden nach unten gedrückt, die Dataplane, wo sind sie im Inneren des Objekts in der Sicherheitsrichtlinie verwendet. Auf der Dataplane enthält dieses Objekt nur die IP-Adressen, die sie aus der Managementebene, aber keine Domain-Informationen erhält. Jede FQDN-Objekt auf die Dataplane beschränkt sich auf maximal 10 IP-Adressen. Keine tatsächliche URL-Lookups werden durchgeführt, weshalb ein Platzhalter verwendet werden kann.
Wenn die Anforderung besteht darin surfen im Internet, alle möglichen Subdomains einer bestimmten Domäne zu ermöglichen, könnte eine Sicherheitsrichtlinie basierend auf einer benutzerdefinierten URL-Kategorie im Ziel um die Lücke zwischen einem FQDN-Objekt und ein URL-Filterung Sicherheitsprofil nützlich sein.
Der erste Schritt ist eine benutzerdefinierte URL-Kategorie zu erstellen, die den gewünschten Platzhalter Domains enthält:
Als nächstes wird eine Sicherheitsrichtlinie, wo die benutzerdefinierte URL-Kategorie in die Kategorie Register Service/URL verwendet wird.
Hinweis: eine URL-Filter Lizenz oder ein URL-Filter-Sicherheitsprofil ist nicht erforderlich, damit dies funktioniert.
Dadurch können ausgehende Web-browsing, alle Subdomains der Domain, während alle anderen Verbindungen blockiert werden können.
Rufen Sie eine etwas komplexere Problemumgehung, die ermöglicht mehr Flexibilität soll mithilfe von dynamischen Adressgruppen und Tags, die von einer API aktualisiert werden können. In diesem Szenario die DNS-Auflösung muss durch ein externes Skript erfolgen, aber die Anzahl der Adressen in eine dynamische Adresse Gruppe erlaubt ist weit größer als in einem FQDN-Objekt.
Zuerst musst du einen API-Schlüssel zu generieren:
https://Hostname/API/?Type=keygen&user=username&password=Password
Wo Hostname die Firewall IP oder Hostname, sind Benutzername und Passwort, Benutzername und Passwort.
Die Ausgabe wird ungefähr so aussehen:
Als Nächstes erstellen Sie ein Tag um den IP-Adresspool darzustellen:
Dann erstellen Sie eine neue dynamische Adresse Gruppe und fügen Sie das Tag als Übereinstimmungskriterien:
Abschließend erstellen Sie eine Sicherheitsrichtlinie mit der DAG.
Diese DAG kann jetzt mit IP-Adressen aus ein externes Skript gefüllt werden. IPS können mit einem Register Betrieb hinzugefügt oder mit einem Abmelden- Betrieb entfernt werden.
Dieses Beispiel war bereit, 2 neue IP-Adressen auf dem WILDCARD1- Tag zu registrieren:
User @ MyServer: ~ # Cat Wildcard. XML
<uid-message>
<version>1,0</version>
<type>Update</type>
<payload>
<register>
<entry ip="195.51.100.1">
<tag>
<member>wildcard1</member>
</tag> </entry><entry ip="195.51.100.2">
<tag>
<member></member> wildcard1
</tag> </entry> </register> </payload> </uid-message>
Die Datei heraus geschoben werden kann, mit beiden Wget oder Curl - das Beispiel verwendet Wget:
User @ MyServer: ~ # wget--No-Check-Zertifikat--Post-File Wildcard. xml "https://MyIP/api/?type=user-id&action=set&key=111MyKey111=&file-name=wildcard.xml&client=wget"--No-HTTP-Keep-Alive
--2015-09-28 10:30:30--https://MyIP/API/? Typ = Benutzer-ID & Action = Set & Key = 111MyKey111 = & Datei-Name = Wildcard. XML & Client = wget
Verbindung zu MyIP: 443... Verbunden.
Warnung: kann das Zertifikat von MyIP nicht verifizieren, das von '/C = US/St = ca/L = Sunnyvale/O = Palo Alto Networks/ou = Support/CN = localhost/Email Address = Support@paloaltonetworks.com ' ausgestellt wurde:
selbst signiertes Zertifikat ist aufgetreten.
Warnung: der gemeinsame Name ' localhost ' entspricht nicht dem angeforderten Hostnamen ' MyIP '.
HTTP-Anfrage gesendet, wartet auf Antwort... 200 OK
Länge: 167 [Anwendung/XML]
Speichern auf: ' Index. html? Typ = Benutzer-ID & Action = Set & Key = 111Mykey111 = & Datei-Name = Wildcard. XML & Client = wget ' 100% [= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
= = = = = = =
= = = = = = = = = = = = = = = = = = 2015-09-28 10:30:31 (36,7 MB/s)-' Index. html? Type = User-ID & Action = Set & Key = 111MyKey111 = & Datei-Name = Wildcard. XML & Client = wget ' gespeichert [167/167]
Um zu überprüfen, welche IP-Adressen hinzugefügt wurden, klicken Sie auf die ... Link in die GUI-Adressgruppen:
Oder verwenden Sie den CLI-Befehl:
admin @ PA-200 > Objekt registriert-IP alle
registrierten IP-Tags
---------------------------------------------------------
195.51.100.1 #
"wildcard1"
195.51.100.2 #
"wildcard1"
insgesamt: 2 registrierte Adressen
*: erhalten von User-ID Agent #: persistent
Sie können auch überprüfen, die IP-Adressen jetzt in der Sicherheitsrichtlinie verwendet werden:
admin @ PA-200 > zeigen Sie laufende sicherheitspolitische
dynobject {
from Trust;
Quelle any;
Quelle-Region None;
zu veruntrauen;
Reiseziel [195.51.100.1 195.51.100.2];
Reiseziel-Region None;
Benutzer;
Kategorie any; Anwendung/Service alle/alle/irgendwelche/Any
;
Aktion erlauben;
ICMP-unerreichbar: kein
Terminal ja;
}
Um die ursprüngliche Diskussion zu sehen, folgen Sie bitte diesem Link: FQDN Policy
Alle Kommentare oder Anregungen werden gefördert.
Danke fürs Lesen!
Tom Piens
Weitere Informationen:
RegEx-Muster für FQDN-Address-Objekt
Gewusst wie: konfigurieren und Testen der FQDN Objekte
Weitere Informationen über dynamische Adressgruppen:
Arbeiten mit dynamischen Adressgruppen auf der Palo Alto Networks firewall