Comment masquer la connexion URL global-protect (FQDN ou IP/sslmgr) pour obtenir des informations tout en n’autorisant que quelques utilisateurs
Objective
Certains scanners de sécurité lors de l’analyse sur le Firewall peuvent découvrir la page de connexion de protection globale. Comme il s’agit URL de « address/sslmgr », ce qui signifie que le chemin est « FQDN-IP-sslmgr » à la fin, la confusion la plus courante est que la page de connexion affiche un nom de processus.
Nous voulons masquer la page de connexion global-protect "FQDN ou IP /sslmgr « , et n’autoriser que quelques IP à accéder à cette page.
Environment
- Palo Alto (Palo Alto) Firewall
- Configuration de Global Protect
Procedure
Pour atteindre notre objectif, nous pouvons créer un personnalisé URL et l’utiliser dans la sécurité policy. Dans cet article, nous bloquons l’accès aux pages 10.46.43.25/sslmgr et 10.46.43.25/global-protect/login-esp.
Veuillez noter que les IP adresses peuvent être remplacées par le FQDN nom tel que « example[.] com/sslmgr."
Veuillez suivre les étapes ci-dessous pour créer la configuration.
- Créez une catégorie personnalisée URL comme suit pour la page dont nous voulons bloquer l’accès en tant que ->Objets-> client -> catégorie -> nom -> < tout nom que vous aimez. tel que GUIGP-login-page-block>URL
- Dans l’entrée, cliquez sur « Ajouter un bouton » et ajoutez le chemin complet URL pour la protection globale.
- FQDN< ou IP/sslmgr>
- FQDN< ou IP-address/global-protect/login.esp>
- Créez maintenant une sécurité policy pour refuser à tout le monde de cette adresse et n’autoriser que quelques-uns sélectionnés.
- GUI-> policy ->Créer un et donner un policy nom.
- Sous l’onglet Adresse source, ajoutez les adresses autorisées à accéder à la page. Une fois que vous avez ajouté l’adresse, veuillez cliquer sur la case « Nier la boîte ».
- Onglet Sécurité policy ->utilisateur, vous pouvez sélectionner n’importe lequel, et l’adresse de destination en sélectionnez également.
- L’application de sécurité policy> est également sélectionnée.
- Sécurité Policy-> Service/URL catégorie, sélectionnez la catégorie d'URL client que nous avons créée 'GP-login-page-block'.
- Sécurité Policy->action, sélectionnez refuser.
- Maintenant, toute personne qui veut accéder à la page sera bloquée, à l’exception des quelques que IP nous avons ajoutées dans l’onglet source - 10.47.125.7 et 10.101.102.96
- Tout autre utilisateur pour tout autre IP sera bloqué et recevra le message suivant.
Additional Information
Remarque : Le sslmgr est utilisé dans la protection globale pour répondre OCSP et interroger les demandes des démons et du plan de données. sslmgr gère essentiellement le protocole d’état des certificats en ligne et CRL la liste de révocation des certificats, donc la désactivation de sslmgr n’est pas une option car il est attendu que le comportement de Global protect /global-protect/login.esp fait également partie du portail
de protection globale Si vous souhaitez voir la page de URL blocage, Vous pouvez utiliser la même catégorie et URL le même profil personnalisésURL.
- Créez la configuration personnalisée URL comme ci-dessus
- Modifier l’action personnalisée URL dans un URL-profil
- Créez la sécurité policy et sélectionnez les adresses IP sources comme ci-dessus et sélectionnez annuler.
- Sélectionnez l’adresse de destination comme GP adresse.
- Dans l’onglet Action > sélectionnez « Autoriser » et dans le profil > sélectionnez -> URL-profil que nous avons modifié.
- Maintenant, quand un utilisateur (autre que les adresses IP que nous avons autorisées) sera bloqué