Bloquear correos electrónicos basados en web desde portales de Internet
22078
Created On 06/25/20 02:51 AM - Last Modified 03/26/21 18:26 PM
Symptom
- Firewall configurado con una regla para filtrar la categoría de "correos electrónicos basados en web" URL sólo funciona al acceder directamente al correo electrónico basado en web:
- Sin embargo, un usuario que ha iniciado sesión en 'yahoo.com' puede acceder al correo directamente desde la página de inicio.
El lanzamiento de 'Mail' desde la página de inicio se abre sin ser bloqueado:
Environment
- Cualquier PAN-OS archivo .
- Palo Alto Firewall .
- SSL proxy de avance configurado
- URL filtrando la categoría de correo electrónico basado URL en web en el archivo firewall .
Cause
El tráfico comienza como una aplicación 'ssl' y coincide con una seguridad policy que permite SSL el tráfico. En este ejemplo, la coincidencia policy es 'Egress_Thegreatwall' como se resalta a continuación. Sin embargo, un cambio de aplicación se produce tan pronto como el usuario intenta acceder al 'correo' desde la página de inicio. La aplicación pasa de 'ssl' a 'yahoo-mail-base'. Esto desencadena una nueva búsqueda de seguridad policy contra la aplicación 'yahoo-mail-base' que coincide con la regla 'Match_Webmail'.
Supervisar --> Traffic:
Vista de tráfico detallada: Como se
resalta arriba, la regla está bloqueando URL la aplicación /porque está configurada con un perfil de URL filtrado. A pesar de esto, yahoo mail todavía carga. La razón por la que esto está sucediendo es que el lanzamiento de correo de Yahoo desde la página de inicio hace que la página inicie contenido desde múltiples fuentes / URL que están siendo permitidos por una regla sobre el firewall que puede no ser inmediatamente obvio.
Resolution
- Activa la consola de desarrollador en el navegador para ver todo el contenido que el navegador está intentando cargar mientras se accede a yahoo mail.
- Cree una regla de seguridad que bloquee estos contenidos; utilizar un comodín si es necesario: '*.yimg' y '*.mail.yahoo.com.' En esta ilustración, la regla se coloca debajo de 'Match_Webmail'. El objeto personalizado 'Yahoo_URLs' de esta regla contiene los comodines y la regla se establece para denegar. Para simplificar las políticas de seguridad, la categoría "portales de Internet" se agrega a la seguridad "Match_Webmail". policy
- Crear un policy descifrado : para la categoría 'portales de Internet' y el objeto personalizado que contiene los URL URL FQDN comodín.
Additional Information
- En este artículo se supone que el lector está familiarizado con los cambios de aplicación, URL el filtrado y el SSL descifrado. Sin SSL resultados de descifrado puede variar: por ejemplo, un usuario en Chrome puede ser bloqueado, pero no los usuarios en Safari o Firefox. Por lo tanto, el descifrado es muy recomendable.
- El mismo principio se aplica a otros servicios de correo electrónico basados en web; una captura de paquetes o información tomada de la consola de desarrollador podría ayudar a determinar qué API, DIRECCIONES URL o FQDN pueden necesitar ser bloqueadas.
- En algunos casos, el navegador utiliza caché/cookies para cargar el cliente de correo; borrar las cookies del navegador es una solución temporal; solución a largo plazo es descifrar y bloquear el tráfico descrito.