Resolver la categoría URL en descifrado cuando varias URLs utilizan la misma IP

PAN-OS 6.0

Incidencia

Un problema se produce cuando hay varios servicios web detrás de la misma IP, como es el caso de Google, que ofrece todos sus servicios (tal como conducir, traducir, buscar motor, Google +, Maps, juego, Gmail, calendario y así sucesivamente) detrás del mismo grupo de direcciones IP.

En casos donde el DNS resuelve www.google.com y www.drive.google.com en la misma dirección IP (por ejemplo, 173.194.78.189), hosts utilizan la misma IP de google.com y drive.google.com. Por lo tanto, si el primer tráfico de sesión es www.google.com, la memoria caché local mapas 173.194.78.189 a los "motores de búsqueda." Entonces, si el siguiente anfitrión va a www.drive.google.com usando la misma IP de destino, la categoría de URL se resolverá en los "buscadores" en lugar de "almacenamiento en línea-personal-."

Falta de una política de desciframiento para descifrar solo la categoría de "almacenamiento en línea-personal-" esta combinación de tráfico y datos reales drive.google.com no serán descifrados.

Detalles

Cuando solucionar problemas relacionados con el descifrado de SSL, es un buen punto de partida comprender el funcionamiento de un mecanismo de descifrado con categorización de URL. Para establecer un túnel SSL seguro, el cliente y el servidor realizan un método de autenticación. El cliente generalmente autentica la identidad del servidor basada en su certificado. Conexión HTTPS es siempre iniciada por el cliente que resuelve la dirección URL del servidor, primero envía un cliente Hola resuelto por dirección IP. El cliente entonces espera una respuesta desde el servidor, que debe incluir su certificado.

Para resolver la categoría de URL correcta y determinar si descifrar cierto tráfico SSL, el firewall de Palo Alto Networks se basa en el campo de nombre común (CN) del certificado recibido del servidor. Por lo tanto, categorización de URL se basa en lo que se encuentra en el campo de la CN. La categoría de URL resuelve entonces se asigna a la IP de destino del paquete interceptado del lado del cliente. Para acelerar el proceso de resolución de la categoría de URL, el servidor de seguridad almacena cada dirección URL de la asignación de IP de destino en su memoria caché local. Por lo tanto, se resuelve en la instancia siguiente del tráfico SSL para el mismo destino en la categoría de URL ya almacenada en el archivo de caché local.  El mecanismo de categorización de URL para los propósitos de descifrado se parece:

1. Mensaje de Hola cliente es interceptada por el firewall
2. Firewall determina la IP de destino del paquete
3. Firewall compara esa IP de destino con la lista de asignación de categoría de IP a la URL de su memoria caché local
4. Si la misma dirección IP está en la lista, la categoría de URL luego se toma de la memoria caché local
5. Si ninguna coincidencia es en la memoria caché local, el servidor de seguridad espera una respuesta del servidor para echar un vistazo en el servidor el campo CN del certificado
6. Resolución de la dirección URL se basa en el campo de la CN, y esa categoría es mapeada a la IP del servidor y agregar a la lista en memoria caché local para uso futuro

Resolución

PAN-OS 6.0 introduce un nuevo método de resolución de la categoría de URL para los propósitos de descifrado. Este nuevo método no se basa en el campo CN de certificado del servidor sino en el valor SNI (indicación del nombre del servidor) del mensaje ClientHello SSL. Usando este método garantiza que en cada circunstancia, el Palo Alto Networks firewall puede correctamente resolver la categoría URL de tráfico por aguas arriba y, con esa información, comprometer la política de desencriptación correcta.

Nota: el campo SNI no es soportado por versiones anteriores de navegadores, como IE 8,0, que es la última versión en Win XP. Por lo tanto, la solución con SNI no funciona para los hosts finales de WinXP u otros clientes que utilicen una versión antigua del navegador. En este caso, o para firewalls ejecutan PAN OS anterior a 6.0, la solución consiste en crear un perfil más amplio de descifrado para comprenden la categoría de URL de cada servicio que se encuentra detrás de la misma dirección IP.

Propietario: djoksimovic