Was wird dazu führen, dass eine URL als "private-ip-Adresse" kategorisiert wird?

Was wird dazu führen, dass eine URL als "private-ip-Adresse" kategorisiert wird?

55869
Created On 09/26/18 19:16 PM - Last Modified 04/19/24 19:30 PM


Symptom


Der Datenverkehr wird als "private-ip-Adresse" eingestuft URL und durch URL Filtern blockiert.

Environment


PAN-OS >= 6,0

Cause


Die URL Filterkategorie 'private-ip-adresse' wird auf "Blockieren" festgelegt.

Resolution


Es wird empfohlen, die Kategorie private IP-Adresse in URL Filtering zu blockieren, um diese Steuerelemente in Sicherheitsrichtlinien zu verschieben. Definieren Sie eine IP Adressgruppe mit den RFC1918-Subnetzen und eines mit den Link-Local-Subnetzen, und legen Sie eine Regel über dem Sicherheitssatz fest, Policy um den Datenverkehr auf "Vertrauen" zu verwerfen, wenn sich die IP Zieladresse in der RFC1918-Adressgruppe IP und in der Link-Lokalen IP Adressgruppe befindet.
 

Hinweis: Der Grund für das Erstellen separater RFC1918- und IP Link-Local-Adressgruppen ist, dass Sie das RFC1918-Objekt möglicherweise für andere Zwecke wiederverwenden möchten.


 

Additional Information


Die Kategorie "private-ip-adresse" wird für IP RFC1918 definierte Adressen verwendet:

  • 10.0.0.0 - 10.255.255.255 (10/8 Präfix)
  • 172.16.0.0 - 172.31.255.255 (Präfix 172.16/12)
  • 192.168.0.0 - 192.168.255.255 (Präfix 192.168/16)
Wenn eine Link-Local - RFC 3927) IP Adresse in der Zieladresse gefunden IP wird, führt dies auch zu einer Kategorie "private IP-Adresse".
  • 169.254.0.0 - 169.254.255.255 (169.254/16 Präfix)


Die Cloud bestimmt zunächst, ob es sich um PAN-DB eine URL IP handelt. Wenn nicht ein IP , wird es herausfinden, ob es eine TLD . Wenn es keine TLD gibt, würde die Cloud "private IP Adresse" zurückgeben.

Die Kategorie private ip-Adresse wird auch für Domänen der obersten Ebene verwendet, die nicht öffentlich registriert sind, z. B. .local.

Dazu gehören auch URLs, die Kurznamen verwenden, die keine Domänen der obersten Ebene enthalten. Weitere Beispiele finden Sie unter:

Routing-weise wird der Datenverkehr zu einer privaten IP Adresse, der nicht in der Willensroute definiert LAN ist, zum Standardgateway weitergeleitet und in vielen Fällen an "Nicht vertrauenswürdig" (Internet) gesendet. 

Dies geschieht häufig bei mobilen Geräten, die Netzwerke ändern (z. B. ein Laptop, der zu Hause in den Ruhemodus versetzt wird und dann bei der Arbeit geweckt wird, einige Augenblicke in Anspruch nehmen kann, um den Netzwerkwechsel zu realisieren, und möglicherweise weiterhin ins Heimnetzwerk einsteigen). Dies kann auch bei Verbindungs-/Trennungsübergängen zu einem VPN geschehen.

Der Upstream-Router ISP würde den Datenverkehr wahrscheinlich verwerfen, aber es ist verständlich, dass Sie nicht möchten, dass interner Datenverkehr, der möglicherweise identifizierbare Informationen enthält, an Untrust weitergegeben wird.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3wCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language