Résoudre la catégorie URL au déchiffrement lorsque plusieurs URL utilise la même adresse IP

PAN-OS 6.0

Demande client

Un problème se produit lorsqu’il y a plusieurs services web derrière la même adresse IP, comme c’est le cas avec Google, qui accueille tous ses services (telles que conduire, Traduisez, Search engine, Google +, cartes, Play, Gmail, calendrier et ainsi de suite) derrière le même groupe d’adresses IP.

Dans les cas où DNS résout les www.google.com et www.drive.google.com à la même adresse IP (par exemple, 173.194.78.189), les hôtes utilisent la même adresse IP pour google.com et drive.google.com. Donc, si le trafic de la première session est sur www.google.com, le cache local des cartes 173.194.78.189 à « moteurs de recherche. » Ensuite, si l’hôte suivant va sur www.drive.google.com en utilisant la même adresse IP de destination, la catégorie d’URL sera résolue dans « moteurs de recherche » au lieu de « stockage en ligne-personal-. »

Une politique de décryptage pour ne déchiffrer que la catégorie «-personal-stockage en ligne » manque cette combinaison de trafic et données real drive.google.com ne seront pas déchiffrées.

Détails

Lors du dépannage des problèmes liés au décryptage SSL, un bon point de départ est de comprendre le fonctionne d’un mécanisme de déchiffrement avec la catégorisation de l’URL. Pour établir un tunnel SSL sécurisé, le client et le serveur exécutent une méthode d’authentification. Habituellement, le client s’authentifie identité du serveur basée sur son certificat. Connexion HTTPS est toujours initiée par le client qui résout l’URL du serveur d’abord, puis envoie un Bonjour Client à l’adresse IP résolue. Le client puis attend une réponse du côté serveur, qui doit inclure son certificat.

Pour résoudre la catégorie appropriée d’URL et déterminer s’il faut décrypter certains trafics SSL, le pare-feu de Palo Alto Networks s’appuie sur le champ de nom commun (CN) du certificat serveur reçu. Ainsi, les URL classification est basée sur ce qui se trouve dans le domaine de la CN. La catégorie d’URL résolue est alors mappée à l’adresse IP de destination du paquet intercepté envoyé du côté client. Pour accélérer le processus de résolution de la catégorie de l’URL, le pare-feu stocke chaque URL au mappage IP destination dans sa mémoire cache locale. Ainsi, l’instance suivante du trafic SSL vers la même destination est résolu dans la catégorie URL déjà stockée dans le fichier de cache local.  Le mécanisme de la catégorisation de l’URL à des fins de décryptage ressemble à :

1. Message de client Hello est intercepté par le pare-feu
2. Pare-feu détermine l’IP de destination du paquet
3. Pare-feu compare cette IP de destination avec la liste de mappage de catégorie de IP-to-URL de sa mémoire cache locale
4. Si la même adresse IP figure dans la liste, la catégorie de l’URL est prélevée sur la mémoire cache locale
5. Si aucune correspondance n’est dans le cache local, le pare-feu attend une réponse du serveur à jeter un oeil dans le serveur champ CN du certificat
6. Résolution des URL est basée sur le terrain CN, et cette catégorie est mappée à l’IP du serveur et ajoutée à la liste dans la mémoire cache locale pour une utilisation future

Résolution

PAN-OS 6.0 introduit une nouvelle méthode de résolution de la catégorie d’URL à des fins de décryptage. Cette nouvelle méthode ne repose pas sur le champ CN pour le certificat du serveur, mais sur la valeur de la SNI (Indication de nom de serveur) du message ClientHello SSL. En utilisant cette méthode fait en sorte que dans chaque circonstance, le pare-feu de Palo Alto Networks peut correctement résoudre la catégorie URL du trafic en amont et, avec cette information, la politique de déchiffrement correct.

Remarque: le champ SNI n'est pas pris en charge par les anciennes versions de navigateurs, telles que IE 8,0, qui est la dernière version de Win XP. Ainsi, la solution avec SNI ne fonctionne pas pour les hôtes finaux WinXP ou d'autres clients en utilisant une ancienne version du navigateur. Dans ce cas, ou pour les pare-feu en cours d’exécution PAN-OS antérieures à la version 6.0, la solution consiste à créer un profil de déchiffrement plus large pour comprendre la catégorie de l’URL de chaque service qui que se trouve derrière la même adresse IP.

propriétaire : djoksimovic