DotW: FQDN política

En la discusión de la semana de la semana (DotW), a echar un vistazo a una pregunta del usuario 'aguley' sobre el nombre de dominio completo.

Aunque no es posible usar un comodín dentro de un objeto de nombre de dominio completo, te destaco dos posibles soluciones.

Cuando un objeto FQDN está comprometido con el sistema, el plano de gestión envía periódicamente consultas DNS para rellenar este objeto con direcciones IP asignadas de la respuesta DNS. Estas direcciones IP asignadas son entonces ser presionada hacia el dataplane, donde se utilizan dentro del objeto de la política de seguridad. En el dataplane, este objeto incluye sólo las direcciones IP que recibe desde el plano de gestión, pero no hay información de dominio. Cada objeto FQDN en el dataplane se limita a un máximo de 10 direcciones IP. No hay búsquedas de enlace reales se realizan, razón por la cual no se puede utilizar un carácter comodín.

Si el requisito es permitir la navegación a todos los subdominios de un dominio de ciertos posibles, una política de seguridad basada en una categoría de dirección URL personalizada en el destino puede ser útil para llenar la brecha entre un objeto de nombre de dominio completo y un perfil de seguridad de filtrado de URL.

El primer paso es crear una categoría de dirección URL personalizada que incluye los dominios comodín deseada:

A continuación, una política de seguridad donde se utiliza la categoría de URL personalizada en la ficha de la categoría de dirección URL del servicio.

Nota: no se requiere una licencia de filtrado de URL O un perfil de seguridad de filtrado de URL para que funcione.

Esto permite la navegación a todos los subdominios del dominio mientras se pueden bloquear todas las conexiones de web saliente.

Una solución un poco más compleja que permite mayor versatilidad es el uso dinámico de dirección de grupos y etiquetas que pueden actualizarse mediante una API llaman. En este escenario, la resolución de DNS debe ser realizada por un script externo, pero el número de direcciones en un grupo dinámico de dirección es mucho mayor que en un objeto de nombre de dominio completo.

En primer lugar, usted necesitará generar una API key:

https://hostname/API/?Type=keygen&User=username&password=Password

 Donde nombre de host es el servidor de seguridad IP o nombre de host, nombre de usuario y contraseña son su nombre de usuario y contraseña.

La salida se verá algo como esto:

A continuación, cree una etiqueta para representar el grupo de direcciones IP:

Luego crear un nuevo grupo de dirección dinámica y agregar la etiqueta como criterios de coincidencia:

Por último, crear una política de seguridad con el DAG.

Este DAG ahora puede rellenarse con direcciones IP desde un script externo. Las IPS se pueden agregar con una operación de registro o eliminarse con una operación de anulación de Registro .

Este ejemplo estaba preparado para registrar 2 nuevas direcciones IP en la etiqueta wildcard1:

User @ mi Server: ~ # cat comodín. XML 
 <uid-message> 
 <version>1,0</version>
<type>Update</type>
<payload>
<register>
<entry ip="195.51.100.1">
<tag>
<member>wildcard1</member>


        </tag>  </entry><entry ip="195.51.100.2">
<tag>
<member></member> wildcard1




        </tag>   </entry>   </register> </payload>  </uid-message>

El archivo se puede empujar hacia fuera con ambos wget o curl--el ejemplo usa wget:

User @ mi Server: ~ # wget--no-check-Certificate--post-File comodín. xml "https://MyIP/API/?Type=User-ID&Action=Set&Key=111MyKey111=&File-Name=Wildcard.XML&Client=wget"--no-http-Keep-Alive
--2015-09-28 10:30:30--https://MyIP/API/? Type = usuario-ID & Action = Set & Key = 111MyKey111 = & File-Name = comodín. XML & Client = wget
conectándose a MyIP: 443...  Conectado. 
ADVERTENCIA: no se puede verificar el certificado de MyIP, emitido por '/c = US/St = CA/L = Sunnyvale/O = Palo Alto Networks/ou = support/CN = localhost/emailAddress = support@paloaltonetworks.com ': se
 encontró un certificado autofirmado. 
    ADVERTENCIA: el nombre común del certificado ' localhost ' no coincide con el nombre de host solicitado ' MyIP '. 
Petición http enviada, esperando respuesta... 200 OK
Longitud: 167 [Application/XML]
Guardar en: ' index. html? Type = usuario-ID & Action = Set & Key = 111MyKey111 = & File-Name = comodín. XML & Client = wget ' 100% [= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

>] 167--.-K/s en 0s 

 2015-09-28 10:30:31 (36,7 MB/s)-' index. html? tipo = usuario-ID & Action = Set & Key = 111MyKey111 = & File-Name = comodín. XML & Client = wget guardado [167/167]   

Para comprobar que se han agregado las direcciones IP, haga clic en el más... enlace en los grupos de dirección de la interfaz gráfica de usuario:

O use el comando de la CLI:

admin @ PA-200 > Mostrar objeto registrado-IP todas las

etiquetas IP registradas
---------------------------------------------------------

195.51.100.1 #
 "wildcard1"

195.51.100.2 #
 "wildcard1"

total: 2 direcciones registradas
*: recibido de agente de ID de usuario #: persistente       

También puede comprobar las direcciones IP están ahora en uso en la política de seguridad:

admin @ PA-200 > Mostrar ejecutar seguridad-Policy

dynobject {
 de confianza;
        fuente cualquiera; 
fuente-región ninguna; 
a la desconfianza; 
destino [195.51.100.1 195.51.100.2]; 
destino-región ninguno; 
usuario cualquiera; 
categoría cualquiera; uso/cualquie/cualesquiera/ 
cualesquiera/cualesquiera; la 
acción permite; 
ICMP-inalcanzable: no
 terminal Yes;
}             

Para ver la discusión original, por favor siga este enlace: política de FQDN

Animamos a todos los comentarios o sugerencias.

¡Gracias por leerme!

Tom Piens

Para obtener información adicional:

Patrón RegEx para FQDN dirección objeto

Cómo configurar y probar objetos FQDN 

Más información acerca de los grupos de dirección dinámica:

Trabajar con grupos dinámicos de dirección en el cortafuegos de Palo Alto Networks