HTTP Solution de contournement de l’insertion d’en-tête pour HTTPles applications SaaS /2.0
28043
Created On 05/24/21 20:48 PM - Last Modified 03/03/23 01:58 AM
Symptom
La fonction d’insertion et de modification d’en-tête vous permet de gérer HTTP les informations d’en-tête, par exemple pour restreindre l’accès aux comptes consommateurs SaaS tout en autorisant un compte d’entreprise spécifique ou des options HTTP d’accès personnalisées. HTTP La fonctionnalité d’insertion d’en-tête ne prend en charge que HTTPle protocole /1.1 dans PAN-OS les versions 9.1 et antérieures, mais de nombreuses applications SaaS utilisent HTTPdésormais /2.0. Voici une solution de contournement qui vous permet de rétrograder la HTTP version pour le SaaS spécifique afin de garder votre contrôle sur les applications
SaaS. Problème : HTTP la fonction d’insertion d’en-tête ne prend pas en charge HTTP/2.0, ce qui signifie que vous ne pourrez pas contrôler les applications SaaS modernes.
Solution : utilisez ALPN Strip pour rétrograder la version d’une certaine liste d’URL/applications afin de conserver HTTP l’insertion HTTP d’en-tête. Cette fonctionnalité spécifie pour le pour supprimer firewall toute valeur contenue dans l’extension Application-Layer Protocol Negotiation (ALPN). TLS ALPN est utilisé pour sécuriser HTTPles connexions /2. Si aucune valeur n’est spécifiée pour cette TLS extension, le rétrogradera HTTPle firewall trafic /2 à HTTP/1.1.
Environment
- Pare-feu Palo Alto
- PAN-OS 9.1 et moins.
- HTTP Insertion d’en-tête
Cause
HTTP La fonction d’insertion d’en-tête ne prend pas en charge HTTP/2.0.
Resolution
Voici quelques étapes à suivre pour activer HTTP l’insertion d’en-tête et HTTP la rétrogradation de version dans PAN-OS. Si vous avez déjà établi HTTP l’insertion d’en-tête et que vous souhaitez rétrograder HTTP/2.0 vers HTTP/1.1 pour une certaine liste de domaines, il vous suffit de créer une catégorie personnalisée URL (étape 1), de créer un profil de déchiffrement (étape 2) et de l’ajouter à votre déchiffrement Policy (étape 4)
Dans l’exemple suivant, nous allons activer HTTP l’insertion d’en-tête pour restreindre l’accès à l’application Office365 SaaS, Autoriser les utilisateurs à se connecter uniquement avec des comptes de domaine d’entreprise.
- Catégorie personnalisée URL :
Créer une catégorie personnaliséeURL, répertoriant les sites pour lesquels vous souhaitez activer HTTP l’insertion d’en-tête et rétrograder HTTP la version vers /1.1 Accédez à : Objets > Objets personnalisés > Catégorie > URL et cliquez sur « Ajouter » Ajoutez des sites d’intérêt à GUIla HTTPliste.
- Profil de décryptage:
Il n’est pas nécessaire de rétrograder la HTTP version pour tout le trafic. Créez un profil de déchiffrement dédié pour les applications SaaS que vous souhaitez contrôler avec HTTP l’insertion d’en-tête. Accédez à GUI: Objets > Décryptage > Profil de déchiffrement Vous pouvez cloner l’un des profils existants ou en créer un nouveau. Assurez-vous de cocher l'option « Strip ALPN '' dans la section Extension client.
- URL Profil de filtrage :
Pour activer HTTP l’insertion d’en-tête, créez un profil de filtrage dédié URL en ajoutant un nouveau profil ou en clonant l’existant. Ajoutez HTTP des options d’insertion d’en-tête conformément à la documentation de l’application SaaS et à la documentation de Palo Alto Networks. Dans cet exemple, I'm active HTTP l’insertion d’en-tête pour l’application Office 365. Reportez-vous à la documentation Microsoft pour plus de détails. Accédez à GUI: Objets > Profils de sécurité > URL filtrage
- Décryptage Policy:
Pour contrôler la liste des sites pour lesquels vous souhaitez utiliser HTTP l’insertion et la rétrogradation HTTP d’en-tête, créez un déchiffrement policy
dédié. Accédez à GUI: Stratégies > Déchiffrement et ajoutez une nouvelle règle ou clonez la règle existante. Assurez-vous d’ajouter votre nouvelle catégorie personnalisée et votre nouveau profil de déchiffrement que URL nous avons créés aux étapes 1 et 2 à la règle :
dédié. Accédez à GUI: Stratégies > Déchiffrement et ajoutez une nouvelle règle ou clonez la règle existante. Assurez-vous d’ajouter votre nouvelle catégorie personnalisée et votre nouveau profil de déchiffrement que URL nous avons créés aux étapes 1 et 2 à la règle :
- Règle de sécurité :
Pour que tout fonctionne ensemble, créez une nouvelle règle de sécurité, autorisant vos applications SaaS.
Ajoutez votre nouveau URL profil de filtrage dans l’onglet Actions .Enregistrez la règle et validez les modifications apportées à la Firewall configuration.
Résultats :
Après avoir validé les modifications apportées Firewallau , vous pourrez bloquer l’accès au SaaS Office365 avec les comptes des consommateurs.
Ajoutez votre nouveau URL profil de filtrage dans l’onglet Actions .Enregistrez la règle et validez les modifications apportées à la Firewall configuration.
Résultats :
Après avoir validé les modifications apportées Firewallau , vous pourrez bloquer l’accès au SaaS Office365 avec les comptes des consommateurs.