Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
URL Categorización SSL y Policy búsqueda trabajo-flujo - Knowledge Base - Palo Alto Networks

URL Categorización SSL y Policy búsqueda trabajo-flujo

40670
Created On 09/26/18 13:54 PM - Last Modified 06/06/24 18:52 PM


Symptom


PAN-OS realiza URL la búsqueda de categorías para direcciones URL encontradas en HTTP encabezados y SSL cargas útiles de protocolo de enlace,siempre y cuando se instale una URL licencia de filtrado válida. El uso URL de categoría en la evaluación y aplicación de la acción de perfil de filtrado está sujeto a policy un par de condiciones como se URL- resalta a continuación.

HTTP Conexión - Tráfico de texto claro:

Tan pronto como URL se encuentre en un HTTP encabezado, PAN-OS derivará la categoría y usará la URL categoría para buscar la seguridad relevante URL policy (junto con toda la información ya disponible, incluido el app -id). Si la seguridad seleccionada policy tiene un perfil de filtrado asociado, se realizará la acción de categoría definida en el perfil de URL URL URL filtrado.

En las secciones siguientes, el foco estará en las SSL conexiones. El flujo de trabajo depende de si la SSL conexión está sujeta a descifrado mediante la característica de proxy de SSL reenvío.

Nota-1:A partir de PAN-OS 8.1, la categoría se puede agregar como condición de coincidencia en las directivas de URL seguridad, las directivas de QoS, las directivas de descifrado y las directivas de autenticación. El enfoque estará en las directivas de descifrado y las directivas de seguridad en este artículo.
Nota-2: Aunque el artículo se refiere a SSL , el término correcto es de hecho TLS .

Environment


  • PAN-OS 8.1 y superior.
  • Palo Alto Firewall .

Resolution


SSL El descifrado no está habilitado o no es aplicable:

  • Tan pronto como SSL , PAN-OS el -id procesa client hello app se establece en SSL .
  • Client Hello (a partir de TLS 1.2) normalmente contiene una extensión denominada Indicación de nombre de servidor ( SNI ) - Contiene el nombre de dominio completo ( ) del FQDN servidor.
    Ejemplo: Si el usuario accede a https://www.example.com mediante un explorador web, inicia una SSL conexión con client hello que contiene = SNI www.example.com
  • En caso de que SNI el presente, a continuación, PAN-OS derivará la URL categoría, que en el caso de www.example.com es "ordenador e internet-información"
  • En este punto, PAN-OS se realizará una policy seguridad- reevaluación con esta información adicional de app -id = y Categoría = SSL URL equipo-e-internet-info
  • En caso de que el SNI no esté presente, PAN-OS se realizará una policy seguridad- reevaluación con la información adicional de app -id = SSL
  • Tan pronto como SSL se reciba Server Hello with the Server Certificate Payload, intentará PAN-OS derivar la categoría utilizando el nombre URL común ( ) del asunto del certificado del CN DN servidor.
  • Nota: PAN-OS también intentará derivar el app -id utilizando la carga del certificado de servidor, que no se tratará en este artículo. Así que app -id permanece SSL .
  • Si la URL categoría derivada mediante el certificado de servidor es una nueva CN información, a continuación, PAN-OS se realizará una seguridad- policy reevaluación con esta información adicional de app -id = y categoría = SSL categoría de certificado de servidor URL URL CN .

SSL El descifrado está habilitado y es aplicable:

  • Tan pronto como SSL , PAN-OS el -id procesa client hello app se establece en SSL .
  • PAN-OS realizará una reevaluación de seguridad policy con la información adicional de app -id = SSL
  • En caso de que el Client Hello SNI esté presente, PAN-OS derivará la URL categoría, que en caso de www.example.com es "computer-and-internet-info"
  • En este punto, la URL categoría se utiliza solo para buscar PAN-OS directivas de descifrado. Con esta PAN-OS SSL funcionalidad de proxy de reenvío se activa.
  • Es importante tener en cuenta que PAN-OS no usará la URL categoría para reevaluar las directivas de seguridad. Tampoco aplica la URL acción de categoría definida en el perfil de filtrado URL correspondiente. y la justificación es:
    a) La categoría se deriva utilizando la URL presentada por el Cliente FQDN (web-navegador); PAN-OS toma una decisión informada de que la aplicación que utiliza la conexión probablemente presentará la SSL totalidad URL URL (incluida la ubicación del archivo - www.example.com/images/amsterdam.png), que será visible después del descifrado y puede coincidir con una URL categoría personalizada.
    b) la acción de URL categorización y filtrado se aplicará estrictamente al HTTP tráfico basado y durante el SSL apretón de manos, no se garantiza que HTTP el tráfico fluya a través del SSL canal.
    c) Si la acción Categoría requiere URL presentar una página de respuesta al usuario PAN-OS HTTP final, tendrá que esperar hasta que se complete el SSL apretón de manos.
  • Si una SSL conexión descifrada termina correctamente sin enviar datos de la aplicación o si la conexión no envía ningún dato, los registros de tráfico SSL HTTP mostrarán directivas de seguridad incorrectas también conocida como reglas si URL- las condiciones de coincidencia de categoría están configuradas, porque se omiten por diseño.

Nota: La justificación proporcionada anteriormente puede no ser a prueba de tontos, sin embargo, como se describe, el cambio en el flujo de trabajo es el diseño actual.
 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,286
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzlCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language