Identifizieren von URL-Informationen zum SSL Datenverkehr ohne Entschlüsselung
50785
Created On 02/07/20 18:26 PM - Last Modified 01/29/24 09:01 AM
Objective
Identifizieren von URL Informationen über Datenverkehr ohne SSL Entschlüsselung
Environment
- Palo Alto Firewall .
- Jede PAN-OS .
Procedure
Palo Alto Networks firewall identifiziert Web-Traffic, der HTTPS ohne Dieentschlüsselung durch Servername Indication verwendet wird ( SNI )
Hier in unserem Beispiel haben wir die Verweigerungssicherheit konfiguriert, die policy Facebook-Base und Facebook-Chat blockiert
Im SSL Handshake empfängt das firewall Client Hello-Paket und identifiziert das Feld Servername Indication im SSL Handshake-Protokoll.
Additional Information
Hinweis:
- Der wird für die SNI URL Kategorisierung verwendet, wenn die SSL Entschlüsselung nicht aktiviert ist.
- Wenn der Client die nicht SNI sendet, wird der allgemeine Name ( CN ), der den durch das Zertifikat geschützten Servernamen darstellt, für die SSL URL Kategorisierung verwendet.
- Wenn Sie den Hostnamen des Webservers in die Liste "Zulassen" oder "Blockieren" eines Filterprofils eingeben, URL wird im Wesentlichen dasselbe Ziel erreicht wie die CN zum Erzwingen von policy .
- Der firewall verwaltet einen Cache mit URL Kategorisierungen sowohl auf der Datenebene als auch auf der Verwaltungsebene. Wenn der in der enthaltene Hostname SNI in keinem der Caches vorhanden ist, führt der firewall eine Suche in der Cloud für seine Kategorie URL durch.
So verhindern Sie, dass SSL Sitzungen neu kategorisiert werden
Wie Sie eine benutzerdefinierte Anwendung für Datenverkehr mithilfe des SSL SNI Felds erstellen