Bloquer les e-mails web à partir de portails Internet
22054
Created On 06/25/20 02:51 AM - Last Modified 03/26/21 18:26 PM
Symptom
- Firewall configuré avec une règle pour filtrer la catégorie « e-mails basés sur le URL Web » ne fonctionne que lorsque vous accédez directement à des e-mails basés sur le Web :
- Toutefois, un utilisateur connecté à 'yahoo.com' peut accéder au courrier directement à partir de la page d’accueil.
« Mail » à partir de la page d’accueil s’ouvre sans être bloqué:
Environment
- Tout PAN-OS .
- Palo Alto Firewall .
- SSL proxy avant configuré
- URL filtrage de la catégorie web-email URL sur le firewall .
Cause
Le trafic commence comme une application « ssl » et correspond à une sécurité qui policy permet le SSL trafic. Dans cet exemple, l’appariement policy est « Egress_Thegreatwall comme souligné ci-dessous. Toutefois, un changement d’application se produit dès que l’utilisateur tente d’accéder au « courrier » à partir de la page d’accueil. L’application passe de « ssl » à « yahoo-mail-base. Cela déclenche une nouvelle recherche policy de sécurité contre l’application « yahoo-mail-base » qui correspond à la règle « Match_Webmail ».
Moniteur --> : Vue
détaillée du trafic : Comme mis en évidence
ci-dessus la règle bloque URL l’application parce qu’elle est configurée avec un URL profil de filtrage. Malgré cela, yahoo mail charge toujours. La raison pour laquelle cela se produit est que le lancement de yahoo mail à partir de la page d’accueil provoque la page de lancer du contenu à partir de sources multiples / URL qui sont autorisés par une règle sur ce firewall qui peut ne pas être immédiatement évident.
Resolution
- Activez la console des développeurs dans le navigateur pour voir tout le contenu que le navigateur tente de charger pendant que le courrier yahoo est accessible.
- Créez une règle de sécurité qui bloque ces contenus; utiliser une wildcard si nécessaire : '*.yimg' et '*.mail.yahoo.com.' Dans cette illustration, la règle est placée en dessous de « Match_Webmail ». L’objet personnalisé « Yahoo_URLs » dans cette règle contient les wildcards et la règle est définie pour nier. Pour simplifier les politiques de sécurité, la catégorie « portails Internet » est ajoutée à la sécurité Match_Webmail policy ».
- Créez un décryptage policy - pour la catégorie « portails Internet » et URL URL l’objet personnalisé contenant les FQDNs wildcard.
Additional Information
- Cet article suppose que le lecteur est familier avec les changements d’application, le URL filtrage et SSL le décryptage. Sans SSL résultats de décryptage peut varier: par exemple, un utilisateur sur Chrome peut être bloqué, mais pas les utilisateurs sur Safari ou Firefox. Par conséquent, le décryptage est fortement recommandé.
- Le même principe s’applique à d’autres services de messagerie web; une capture de paquets ou des informations provenant de la console de développeur pourraient aider à déterminer quelles API, URL ou FQDN peuvent devoir être bloquées.
- Dans certains cas, le navigateur utilise cache/cookies pour charger le client de messagerie; effacer les cookies du navigateur est une solution de contournement temporaire; solution à long terme est de décrypter et de bloquer le trafic décrit.