Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
URL Kategorisierung in SSL und Policy Lookup Work-Flow - Knowledge Base - Palo Alto Networks

URL Kategorisierung in SSL und Policy Lookup Work-Flow

40670
Created On 09/26/18 13:54 PM - Last Modified 06/06/24 18:52 PM


Symptom


PAN-OS führt URL die Kategoriesuche für URLs aus, die in HTTP Headern und SSL Handshake-Nutzlastengefunden wurden, solange eine gültige URL Filterlizenz installiert ist. Die Verwendung URL von Kategorie bei der Auswertung und Anwendung der policy URL- Filterprofilaktion unterliegt einigen Bedingungen, wie unten hervorgehoben.

HTTP Verbindung - Klartextverkehr:

Sobald das URL in einem Header gefunden HTTP PAN-OS wird, wird die Kategorie abgeleitet und die URL Kategorie verwendet, um die relevante Sicherheit URL policy (zusammen mit allen bereits verfügbaren Informationen einschließlich der app -id) nachzuschlagen. Wenn dem ausgewählten Sicherheitsprofil policy ein URL Filterprofil zugeordnet URL ist, wird die im Filterprofil definierte URL Kategorieaktion ausgeführt.

In den folgenden Abschnitten liegt der Fokus auf SSL Verbindungen. Der Arbeitsablauf hängt davon ab, ob die SSL Verbindung mit der SSL Forward-Proxy-Funktion entschlüsselt wird.

Anmerkung-1:Ab PAN-OS 8.1 kann die URL Kategorie als Übereinstimmungsbedingung in Sicherheitsrichtlinien, QoS-Richtlinien, Entschlüsselungsrichtlinien und Authentifizierungsrichtlinien hinzugefügt werden. Der Schwerpunkt liegt in diesem Artikel auf Entschlüsselungsrichtlinien und Sicherheitsrichtlinien.
Anmerkung-2: Obwohl sich der Artikel auf SSL bezieht, ist der korrekte Begriff in der Tat TLS .

Environment


  • PAN-OS 8.1 und höher.
  • Palo Alto Firewall .

Resolution


SSL Die Entschlüsselung ist entweder nicht aktiviert oder nicht anwendbar:

  • Sobald SSL Client Hello von verarbeitet PAN-OS wird, wird die app -id auf SSL gesetzt.
  • Client Hello (ab TLS 1.2) enthält in der Regel eine Erweiterung namens ServerName Indication ( SNI ) - Diese enthält den vollqualifizierten Domänennamen ( ) des FQDN Servers.
    Beispiel: Wenn der Benutzer über einen Webbrowser auf https://www.example.com zugreift, initiiert er eine SSL Verbindung mit dem Client Hello, der = SNI www.example.com
  • Falls die SNI vorhanden ist, PAN-OS dann wird die Kategorie URL ableiten, die im Falle von www.example.com ist "Computer-und-Internet-Info"
  • An dieser Stelle PAN-OS wird eine policy Sicherheits-Neubewertung mit diesen zusätzlichen Informationen von app -id = SSL und Category = URL Computer-and-Internet-info durchgeführt
  • Falls das SNI nicht vorhanden ist, wird eine PAN-OS policy Sicherheits-Neubewertung mit den zusätzlichen Informationen von app -id = SSL
  • Sobald SSL Server Hello mit der Serverzertifikat-Nutzlast empfangen wird, wird PAN-OS versucht, die Kategorie mithilfe des allgemeinen Namens URL ( ) des CN Serverzertifikatssubjekts DN abzuleiten.
  • Hinweis: PAN-OS Versucht auch, die app -id mithilfe der Serverzertifikat-Nutzlast abzuleiten, die in diesem Artikel nicht behandelt wird. -id bleibt also app SSL .
  • Wenn die URL mit dem Serverzertifikat abgeleitete Kategorie CN eine neue Information ist, wird eine PAN-OS policy Sicherheitsneubewertung mit diesen zusätzlichen Informationen von app -id = und Category = SSL Category of Server Certificate URL URL CN durchgeführt.

SSL Die Entschlüsselung ist aktiviert und anwendbar:

  • Sobald SSL Client Hello von verarbeitet PAN-OS wird, wird die app -id auf SSL gesetzt.
  • PAN-OS führt eine policy Sicherheits-Neubewertung mit den zusätzlichen Informationen von app -id = durch SSL
  • Falls der Client Hello SNI vorhanden ist, leitet sich PAN-OS die Kategorie URL ab, die im Falle www.example.com "Computer-und-Internet-Info" ist.
  • An diesem Punkt wird die URL Kategorie von PAN-OS verwendet, um Entschlüsselungsrichtlinien allein zu suchen. Mit diesem PAN-OS SSL Forward Proxy wird die Funktionalität aktiviert.
  • Es ist wichtig zu beachten, dass PAN-OS die Kategorie nicht verwendet URL wird, um Sicherheitsrichtlinien neu zu bewerten. Sie wendet auch nicht die URL kategorie aktion an, die im entsprechenden Filterprofil definiert URL ist. und die Begründung ist:
    a) Die Kategorie wird mit der URL vom Client FQDN (Web-Browser) dargestellten abgeleitet; PAN-OS trifft eine informierte Entscheidung, dass die Anwendung, die die Verbindung verwendet, SSL wahrscheinlich den vollständigen (einschließlich des Dateispeicherorts - www.example.com/images/amsterdam.png) enthält, der nach der URL URL Entschlüsselung sichtbar sein wird und einer benutzerdefinierten Kategorie entsprechen URL kann.
    b) URL Kategorisierungund Filteraktion gilt streng für den basierten Datenverkehr und während des HTTP SSL Handshakes ist nicht garantiert, dass HTTP der Datenverkehr durch den Kanal SSL fließt.
    c) Wenn die URL Kategorie-Aktion erfordert, PAN-OS dem Endbenutzer eine Antwortseite HTTP zu präsentieren, muss sie warten, bis der SSL Handshake abgeschlossen ist.
  • Wenn eine entschlüsselte SSL Verbindung ordnungsgemäß beendet wird, ohne Anwendungsdaten zu senden, oder wenn die Verbindung keine SSL Daten HTTP sendet, werden in den Datenverkehrsprotokollen falsche Sicherheitsrichtlinien als Regeln angezeigt, wenn URL- Kategorieübereinstimmungsbedingungen konfiguriert sind, da sie vom Entwurf ignoriert werden.

Hinweis: Die obige Begründung ist möglicherweise nicht narrensicher, aber wie beschrieben ist die Änderung des Arbeitsablaufs der aktuelle Entwurf.
 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,286
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzlCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language