DotW : Nom de domaine complet politique
Resolution
Dans Discussion de la semaine de la semaine (DotW), nous allons jeter un coup d’oeil à une question de « aguley » sur le nom de domaine complet de l’utilisateur.
Même si elle n’est pas possible d’utiliser un caractère générique à l’intérieur d’un objet de nom de domaine complet, je vais mettre en évidence deux solutions possibles.
Lorsqu’un objet du nom de domaine complet est validé pour le système, le plan de gestion envoie des requêtes DNS périodiques pour remplir cet objet avec des adresses IP mappés à partir de la réponse DNS. Ces adresses IP mappées sont ensuite être poussé vers le bas à le dataplane, où ils sont utilisés à l’intérieur de l’objet dans la stratégie de sécurité. Sur le dataplane, cet objet inclut uniquement les adresses IP qu’il reçoit du plan de gestion, mais aucune information de domaine. Chaque objet de nom de domaine complet sur le dataplane est limitée à un maximum de 10 adresses IP. Les recherches de URL sans réelles sont exécutées, c’est pourquoi un caractère générique ne peut pas être utilisé.
Si l’exigence est de permettre à tous les sous-domaines possibles d’un certain domaine de navigation web, une politique de sécurité basée sur une catégorie d’URL personnalisée dans la destination pourrait être utile pour combler le décalage entre un objet de nom de domaine complet et un profil de sécurité du filtrage d’URL.
La première étape consiste à créer une catégorie personnalisée de URL qui comprend les domaines génériques souhaités :
Ensuite, une stratégie de sécurité lorsque la catégorie URL personnalisée est utilisée dans l’onglet service/URL de la catégorie.
Remarque: une licence de filtrage D'url ou un profil de sécurité de filtrage D'url n'est pas requis pour que cela fonctionne.
Cela permet la navigation à tous les sous-domaines du domaine, tandis que toutes les autres connexions peuvent être bloquées web sortante.
Une solution légèrement plus complexe qui permet pour plus de polyvalence est d’utiliser des groupes d’adresses dynamiques et balises pouvant être mis à jour par une API appellent. Dans ce scénario, la résolution DNS doit être effectuée par un script externe, mais le nombre d’adresses autorisées dans un groupe d’adresse dynamique est beaucoup plus grand que dans un objet de nom de domaine complet.
Tout d’abord, vous aurez besoin pour générer une clé API :
https://hostname/API/?type=keygen&user=username&password=password
Où nomhôte est le pare-feu IP ou nom d’hôte, nom d’utilisateur et mot de passe sont votre nom d’utilisateur et mot de passe.
La sortie se présente un peu comme ceci :
Ensuite, créez une balise pour représenter le pool d’adresses IP :
Puis créez un nouveau groupe d’adresses dynamiques et ajouter la balise comme critère de correspondance :
Enfin, créez une stratégie de sécurité à l’aide de la DAG.
Ce DAG peut maintenant être rempli avec des adresses IP à partir d’un script externe. IPs peut être ajouté avec une opération de Registre ou supprimé avec une opération d'annulation de Registre .
Cet exemple a été préparé pour inscrire 2 nouvelles adresses IP à la balise wildcard1:
utilisateur @ myserver: ~ # Cat wildcard. XML
<uid-message>
<version>1,0</version>
<type>mise à jour</type>
<payload>
<register>
<entry ip="195.51.100.1">
<tag>
<member>wildcard1</member>
</tag> </entry><entry ip="195.51.100.2">
<tag>
<member>wildcard1</member>
</tag> </entry> </register> </payload> </uid-message>
Le fichier peut être expulsé à l’aide soit wget ou curl--l’exemple utilise wget :
utilisateur @ myserver: ~ # wget--no-Check-Certificate--wildcard. xml post-file "https://MyIP/API/?type=User-ID&action=set&key=111MyKey111=&file-name=wildcard.xml&client=wget"--non-http-Keep-Alive
--2015-09-28 10:30:30--https://MyIP/API/? type = User-ID & action = set & key = 111MyKey111 = & fichier-name = wildcard. xml & client = wget
se connectant à MyIP: 443... Connecté.
Avertissement: impossible de vérifier le certificat de MyIP, délivré par'/c = US/St = ca/L = Sunnyvale/O = Palo Alto Networks/ou = support/CN = localhost/email = support@paloaltonetworks.com':
certificat auto-signé rencontré.
AVERTISSEMENT: le nom usuel du certificat'localhost'ne correspond pas au nom d'hôte demandé'MyIP'.
Requête http envoyée, en attente de réponse... 200 OK
longueur: 167 [application/XML]
enregistrement à: 'index. html? type = User-ID & action = set & key = 111MyKey111 = & fichier-name = wildcard. xml & client = wget' 100% [= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
167--.-K/s en 0
2015-09-28 10:30:31 (36,7 Mo/s)-'index. html? type = User-ID & action = set & key = 111MyKey111 = & fichier-name = wildcard. xml & client = wget'sauvé [167/167]
Pour vérifier les adresses IP ont été ajoutés, cliquez sur le plus... un lien dans les groupes d’adresses de GUI :
Ou utilisez la commande CLI :
admin @ PA-200 > Show Object Registered-IP toutes les
balises IP enregistrées
---------------------------------------------------------
195.51.100.1 #
"wildcard1"
195.51.100.2 #
"wildcard1"
total: 2 adresses enregistrées
*: reçu de User-ID agent #: persistant
Vous pouvez également vérifier les adresses IP sont utilisées dans la politique de sécurité :
admin @ PA-200 > afficher la sécurité en cours d'exécution-Policy
dynobject {
de Trust;
source any;
source-région None;
à la méfiance;
destination [195.51.100.1 195.51.100.2];
Destination-région None;
utilisateur any;
catégorie any;
application/service any/any/any/any;
action autoriser;
ICMP-inaccessible: aucun
Terminal oui;
}
Pour consulter la discussion originale, veuillez suivre ce lien: politique de FQDN
Tous commentaires ou suggestions sont encouragées.
Merci pour la lecture!
Tom Piens
Pour plus d’informations :
Motif de la RegEx pour objet adresse FQDN
Comment faire pour configurer et tester les objets de nom de domaine complet
Plus d’informations sur les groupes d’adresses dynamiques :
Travailler avec des groupes d’adresses dynamiques sur le pare-feu de Palo Alto Networks