Blockieren von webbasierten E-Mails aus Internetportalen
22100
Created On 06/25/20 02:51 AM - Last Modified 03/26/21 18:26 PM
Symptom
- Firewall konfiguriert mit einer Regel zum Filtern der Kategorie "webbasierte E-Mails" URL funktioniert nur, wenn Sie direkt auf webbasierte E-Mails zugreifen:
- Ein Benutzer, der bei "yahoo.com" angemeldet ist, kann jedoch direkt von der Homepage aus auf E-Mails zugreifen.
Das Starten von 'Mail' von der Homepage wird geöffnet, ohne blockiert zu werden:
Environment
- Jede PAN-OS .
- Palo Alto Firewall .
- SSL Vorwärtsproxy konfiguriert
- URL Filtern der webbasierten E-Mail-Kategorie URL auf der firewall .
Cause
Der Datenverkehr beginnt als Ssl-Anwendung und entspricht einer policy Sicherheit, die Datenverkehr zulässt. SSL In diesem Beispiel ist der Abgleich policy 'Egress_Thegreatwall', wie unten hervorgehoben. Eine Anwendungsverschiebung erfolgt jedoch, sobald der Benutzer versucht, von der Homepage aus auf "E-Mail" zuzugreifen. Die Anwendung wechselt von 'ssl' zu 'yahoo-mail-base'. Dies löst eine neue policy Sicherheitssuche gegen die Anwendung "yahoo-mail-base" aus, die der Regel "Match_Webmail" entspricht.
Monitor --> Traffic:
Detaillierte Datenverkehrsansicht:
Wie oben hervorgehoben, blockiert die Regel die URL /application, weil sie mit einem Filterprofil konfiguriert URL ist. Trotzdem lädt yahoo mail immer noch. Der Grund dafür ist, dass das Starten von Yahoo-Mail von der Homepage bewirkt, dass die Seite Inhalte aus mehreren Quellen/URLs startet, die durch eine Regel über die erlaubt sind, firewall die möglicherweise nicht sofort offensichtlich ist.
Resolution
- Aktivieren Sie die Entwicklerkonsole im Browser, um alle Inhalte anzuzeigen, die der Browser zu laden versucht, während auf Yahoo Mail zugegriffen wird.
- Erstellen Sie eine Sicherheitsregel, die diese Inhalte blockiert. Verwenden Sie bei Bedarf einen Platzhalter: '*.yimg' und '*.mail.yahoo.com.' In dieser Abbildung wird die Regel unter "Match_Webmail" platziert. Das benutzerdefinierte Objekt 'Yahoo_URLs' in dieser Regel enthält die Platzhalter, und die Regel ist so festgelegt, dass sie verweigert wird. Um die Sicherheitsrichtlinien zu vereinfachen, wird die Kategorie "Internetportale" zur "Match_Webmail" policy hinzugefügt.
- Erstellen Sie eine Entschlüsselung policy für die Kategorie "Internetportale" URL und das benutzerdefinierte URL Objekt, das die Platzhalter-FQDNs enthält.
Additional Information
- In diesem Artikel wird davon ausgegangen, dass der Leser mit Anwendungsverschiebungen, URL Filtern und SSL Entschlüsseln vertraut ist. Ohne SSL Entschlüsselung können die Ergebnisse variieren: Zum Beispiel kann ein Benutzer auf Chrome blockiert werden, aber nicht Benutzer auf Safari oder Firefox. Daher ist die Entschlüsselung sehr zu empfehlen.
- Das gleiche Prinzip gilt für andere webbasierte E-Mail-Dienste; Eine Paketerfassung oder Informationen, die von der Entwicklerkonsole übernommen werden, können bei der Bestimmung helfen, welche APIs, URLs oder FQDNs möglicherweise blockiert werden müssen.
- In bestimmten Fällen verwendet der Browser Cache/Cookies, um den Mail-Client zu laden; Das Löschen von Browser-Cookies ist eine vorübergehende Problemumgehung; langfristige Lösung ist es, den umrissenen Datenverkehr zu entschlüsseln und zu blockieren.