URL Catégorisation SSL et suivi du flux de Policy travail
40670
Created On 09/26/18 13:54 PM - Last Modified 06/06/24 18:52 PM
Symptom
PAN-OS effectue la recherche de catégorie pour les URL rencontrées dans les URL HTTP en-têtes et les charges utiles de poignée SSL de main,tant qu’une licence URL de filtrage valide est installée. URLL’utilisation de la catégorie dans policy URL- l’évaluation et l’application de l’action de profil de filtrage est soumise à quelques conditions telles que mises en évidence ci-dessous.
HTTP Connexion - Trafic texte clair:
Dès que le URL est rencontré dans un HTTP en-tête, PAN-OS dérivera la catégorie et utilisera la URL catégorie pour rechercher la sécurité pertinente URL policy (ainsi que toutes les informations déjà disponibles, y compris le app -id). Si un profil de filtrage est attaché à la sécurité policy URL sélectionnée, l’action de URL catégorie définie dans le profil de filtrage est URL effectuée.Dans les sections suivantes, l’accent sera mis sur SSL les connexions. Le flux de travail varie selon que la SSL connexion est soumise ou non au déchiffrement à l’aide de la fonctionnalité de proxy de SSL transit.
Note-1: À compter de PAN-OS la section 8.1, la URL catégorie peut être ajoutée comme condition de correspondance dans les stratégies de sécurité, les stratégies QoS, les stratégies de déchiffrement et les stratégies d’authentification. L’accent sera mis sur les politiques de déchiffrement et les politiques de sécurité dans cet article.
Note-2: Bien que l’article se réfère à SSL , le terme correct est en effet TLS .
Environment
- PAN-OS 8,1 et plus.
- Palo Alto Firewall .
Resolution
SSL Le décryptage est activé et s’applique :
- Dès que SSL Client Hello est traité par , PAN-OS app l'-id est défini sur SSL .
- PAN-OS effectuera une réévaluation de la sécurité policy avec les informations supplémentaires de app -id = SSL
- Dans le cas où le Client Bonjour SNI est présent, PAN-OS puis dérivera la URL catégorie, qui en cas de www.example.com est « ordinateur et internet-info »
- À ce stade, la URL catégorie est utilisée pour rechercher des PAN-OS stratégies de décryptage seules. Avec cette PAN-OS SSL fonctionnalité Proxy forward est engagé.
- Il est important de noter qu’il PAN-OS n’utilisera pas URL la catégorie pour réévaluer les politiques de sécurité. Il n’applique pas non plus URL l’action de catégorie définie dans le profil de filtrage pertinent. et la justification est la suivante: a) La catégorie est dérivée en utilisant le tel que présenté URL par le Client
URL FQDN (navigateur Web); PAN-OS prend une décision éclairée que l’application utilisant la connexion présentera probablement le plein SSL URL (y compris URL l’emplacement du fichier - www.example.com/images/amsterdam.png), qui sera visible après le décryptage et il peut correspondre à une catégorie URL personnalisée.
b) URL l’action de catégorisation et de filtrage s’appliquera strictement au trafic basé HTTP et pendant la poignée de SSL main, il n’est pas garanti que le trafic circulera à travers le HTTP SSL
canal. c) Si URL PAN-OS l’action catégorie exige de présenter une page de réponse à HTTP l’utilisateur final, elle devra attendre que SSL la poignée de main soit terminée. - Si une connexion décryptée se termine gracieusement sans envoyer de données d’application ou si la connexion n’envoie pas de données, alors les journaux de trafic afficheront des règles incorrectes de stratégies de sécurité aka si les conditions de correspondance de SSL SSL catégorie sont HTTP URL- configurées, car elles sont ignorées par la conception.
Remarque : La justification fournie ci-dessus peut ne pas être infaillible, mais comme décrit, le changement dans le flux de travail est la conception actuelle.