Cómo identificar a los usuarios que se conectan mediante proxy y restringen el acceso mediante la política de seguridad

Cómo identificar a los usuarios que se conectan mediante proxy y restringen el acceso mediante la política de seguridad

45953
Created On 09/25/18 19:49 PM - Last Modified 01/28/24 04:44 AM


Symptom


Síntomas de

Considere un servidor proxy desplegado entre usuarios en una red y firewall. En tal caso, el cortafuegos muestra la dirección IP del servidor proxy como la dirección IP de origen en los registros de tráfico. Por lo tanto, no es posible restringir el acceso basado en el usuario real y determinar el usuario real de los registros de tráfico.

 

Este artículo se centra en proporcionar una solución a este problema.

Nota: esto es aplicable a pan-os 7,0 y posteriores.

Diagnóstico

Requisitos previos:

 

  1. El servidor proxy debe agregar encabezado X reenviado para (XFF) que contenga la IP real del cliente al reenviar al cortafuegos
  2. Configurar la identificación del usuario en el cortafuegos para recopilar la asignación de usuario IP
  3. Habilite la identificación de XFF para User-ID. Para saber más sobre esto, por favor haga clic aquí.

Resolution


 

Configuración:

 

Servidor proxy (192.168.30.103)----PA Firewall-----Internet

 

Configure las directivas de seguridad en el cortafuegos como se muestra en orden:

 

Directivas de seguridad. png

 

 

 

 

 

Detalles:

 

Permitir DNS- requerido para permitir consultas DNS antes de la conexión real

 

Permitir el apretón de mano- requerido para permitir el protocolo de enlace TCP de 3 vías porque XFF estaría en el paquete HTTP GET, que seguiría el apretón de tres vías. Por lo tanto, el mapeo de usuarios sólo se puede determinar después del apretón de mano inicial. Los siguientes son registros de tráfico para el apretón de mano inicial de 3 vías:

 

Apretón de mano inicial. png

 

Nota esta directiva tiene el perfil de filtrado de URL aplicado para permitir sólo un apretón de mano de 3 vías inicial y ninguna navegación web. Después del apretón de dirección de tres vías, la acción adicional se determina mediante políticas específicas del usuario:

 

Apretón de direcciones URL Filtering. png

 

XFF- requerido para restringir el acceso basado en el usuario (la aplicación se puede cambiar a la navegación web específica [ya que XFF está en http] o combinada con otra directiva basada en el usuario según sea necesario. Además, se podría aplicar un perfil de filtrado de URL para obtener más restricciones sobre el tráfico.

 

Después de que los paquetes HTTP GET vienen en el Firewall desde un servidor proxy, el Firewall comprueba la tabla de asignación de usuario IP para buscar y aplicar directivas basadas en el usuario de origen.

 

OBTENER paquete:

XFF Packet-1. pngMapeo de usuarios:

Mapping. png del usuario

 

Cambio de política:

 

Cambio de política. png

 

 

 

 

Notas adicionales:

 

-Para HTTPS, el apretón de mano SSL completo necesita ser permitido (como permitir el apretón de mano pero no hay filtrado de URL) y el descifrado SSL necesita ser permitido para leer el encabezado XFF y comprobar el mapeo de usuarios

-Si no hay ninguna asignación de usuario para la IP en XFF, el usuario de origen estaría en blanco en los registros de tráfico y las políticas basadas en el usuario no entrarán en acción

-Si habilitas XFF para User-ID, los logs de filtrado de URL mostrarán el nombre de usuario en Source user en lugar de XFF IP. Para ver cómo habilitar XFF en registros de filtrado de URL, por favor haga clic aquí

-XFF se puede activar para los registros de filtrado de URL, incluso si no hay ninguna licencia de filtrado de URL. Para más detalles, chasque por favor aquí
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CletCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language