So erzwingen Sie die URL Filterung policy von TLS Handshakes für entschlüsselte HTTPS Sitzungen
28072
Created On 08/04/20 19:32 PM - Last Modified 10/10/23 08:32 AM
Objective
Bitte beachten Sie KB URL Artikelfiltersuche und Erzwingungsunterschiede zwischen Klartext HTTP und verschlüsseltem HTTPS Datenverkehr für kontextabhängig, bevor Sie eine der folgenden Abschwächungen implementieren.
Um die URL Filterung policy von TLS Handshakes für entschlüsselte Sitzungen zu HTTPS erzwingen, empfehlen wir Ihnen, eine der folgenden Problemumgehungen zu verwenden:
- Leiten Sie ausgehenden Datenverkehr zwischen zwei vsys auf PanOS-Firewalls weiter, die dazu in der Lage sind und URL die Filterung auf einer und SSL / TLS Entschlüsselung auf einem anderen vsys durchführen.
- Fügen Sie zwei zusätzliche Sicherheitszonen hinzu und leiten Sie ausgehenden Datenverkehr zwischen ihnen weiter, um sowohl die Entschlüsselungsregeln "Entschlüsseln" als auch "Keine Entschlüsselung" policy anzuwenden. Sie konfigurieren z. B. Ihre Art und NGFW Weise, wie der Datenverkehr von der Innenzone in die interne Zone mit DMZ "Keine Entschlüsselung" geleitet wird, dann an External-DMZ übergeben wird und von der Externen-DMZ in die Internetzone mit angewendeter "Entschlüsselung"-Regel geleitet wird. Diese Problemumgehung wird im Folgenden ausführlich beschrieben. Beachten Sie, dass diese Konfiguration die Last auf der erheblich erhöhen firewall kann.
- Verwenden Sie das zusätzliche Sicherheitsgerät in der Verkehrskette. Die SSL / TLS Entschlüsselungs- und URL- Filterfunktionen sollten zwischen ihnen aufgeteilt werden (z. B. führt das erste Gerät URL die Filterung durch, und das zweite Gerät führt / SSL TLS Entschlüsselung.
Wir empfehlen nicht, deaktivieren SSL / TLS Entschlüsselung, weil es Sie viel höhere Risiken aussetzen wird.
Procedure
Details zur vorgeschlagenen Problemumgehung (2)
Das Konzept dieser Problemumgehung besteht darin, das zweite Cybersicherheitsgerät in PanOS zu emulieren, NGFW um sowohl "Entschlüsseln" als auch "Keine Entschlüsselung" policy Sicherheitsregeln für denselben Teil des Datenverkehrs zu implementieren. Der Implementierungsworkflow wird unten beschrieben, jedoch basierend auf Ihrer Konfiguration können einige Änderungen erforderlich
ATTENTION sein. Die beschriebene Konfiguration kann die Firewall Auslastung aufgrund der Verdoppelung der Anzahl der aktiven Sitzungen und des SSL Webbrowsing-Datenverkehrs erheblich erhöhen. Erwägen Sie die Implementierung nur für die vertraulichen Datensegmente oder die Verwendung PBF (Policy Based Forwarding), um zu beschränken, welcher Datenverkehr zweimal überprüft werden soll.
Die folgenden Schritte sollen Ihnen helfen, die Konfiguration auf Ihrem zu firewall erstellen, das das Hauptdiagramm für das folgende Schema darstellt. Die folgende Tabelle stellt die Konfiguration der Netzwerkschnittstellen dar. Der Datenverkehr aus der Sicherheitszone Innere sollte durch interneDMZ und externeDMZ Zonen geleitet werden, die von zwei getrennten virtuellen Routern geleitet werden, bevor er die Internetzone erreicht. Auf diese Weise können Sie für jeden der Verkehrspfadabschnitte(Inside - Internal DMZ and External - Internet DMZ )unterschiedliche Sicherheitsregeln implementieren.
| Schnittstelle | Typ | Sicherheitszone | Virtueller Router | Kommentar |
|---|---|---|---|---|
| Ethernet 1/1 | L3 IP- Egress-Adresse | Internet | VR-2 | |
| Ethernet 1/2 | L3 192.168.112.1/24 | Extern-DMZ | VR-2 | Physikalische Schnittstellen werden mit der Ethernet-Verbindung verbunden |
| Ethernet 1/3 | L3 192.168.112.1/24 | Intern-DMZ | VR-1 | |
| Ethernet 1/4 | L3 192.168.42.1/24 | In | VR-1 |
STEPS TO IMPLEMENT:
Verbinden Sie zwei freie Ethernet-Schnittstellen mit der physischen Verbindung. In dieser Beschreibung werden Ethernet 1/2 und Ethernet 1/3 als Referenz verwendet.
Konfigurieren Sie Ethernet 1/2 und Ethernet 1/3 als Layer 3-Schnittstelle (Navigieren Sie zu Netzwerk- > Schnittstellen, wählen Sie Schnittstelle und weisen Sie Layer 3-Schnittstellentyp zu. Lassen Sie andere Felder vorerst als Standard)
Erstellen Sie einen neuen virtuellen Router. Wir beziehen uns auf diesen virtuellen Router wie VR-2 in diesem Handbuch. Zuweisen zur VR-2 Schnittstelle Ethernet 1/2 und die Schnittstelle mit der Verbindung zum Internet (Ethernet 1/1 auf dem Diagramm). Um die letzte Zutun zu tun, müssen Sie diese Schnittstelle möglicherweise vom aktuellen virtuellen Router entfernen.
Weisen Sie die Schnittstelle Ethernet 1/3 dem virtuellen Router zu, wenn Ihre Innenzone angeschlossen ist. Wir beziehen uns auf diesen virtuellen Router wie VR-1 in diesem Handbuch.
Erstellen Sie neue Sicherheitszonen: Extern-DMZ und Intern -DMZ und weisen Sie diese den Schnittstellen Ethernet 1/2 bzw. Ethernet 1/3 zu.
- Konfigurieren Sie die Schnittstellen Ethernet 1/2 und Ethernet 1/3, indem Sie ihnen Adressen aus demselben IP- Netzwerkbereich zuweisen (in diesem Handbuch verwenden wir 192.168.112.1/24). So ist Ethernet 1/2 mit IP- adresse 192.168.112.1/24 und Ethernet 1/3 - mit IP- Adresse 192.168.112.2/24) konfiguriert. Bitte beachten Sie den Screenshot unten.
- Navigieren Sie zurück zum Konfigurationsbildschirm virtuelle Router (Network > Virtual Routers). Hinzufügen von Statischer Route, die den Datenverkehr VR-1 VR-2 von:
- Auf VR-2 müssen Sie zwei neue statische Routen hinzufügen, die Datenverkehr an internen und leitenden Datenverkehr an das Internet DMZ leiten:
- Sie müssen auch Ihre NAT policy anpassen, um die Änderungen widerzuspiegeln. Für ausgehenden Datenverkehr müssen Sie NAT policy aus der Innenzone (falls vorhanden) entfernen und sie der ExternenDMZ Zone hinzufügen. Das Beispiel finden Sie im Screenshot unten
- Nach dem Commit der Konfiguration können Sie feststellen, dass für jede ausgehende Verbindung zwei Sitzungen erstellt wurden, eine zwischen Inside und Internal-DMZ und eine weitere zwischen External-DMZ und Internet.
- Jetzt können Sie zwei EntschlüsselungsregelnPolicy für den ausgehenden Datenverkehr erstellen, indem Sie die Aktion "Keine Entschlüsselung" für den Datenverkehr zwischen Inside und Internal-DMZ und "Decrypt" für den Datenverkehr zwischen Extern-DMZ und Internetanwenden.
- Passen Sie Ihre Sicherheitsregeln Policy entsprechend an die Änderungen an. Um Risiken zu vermeiden, die mit der ermittelten Exfiltrationsmethode verbunden sind, müssen Sie URL die Filterung auf den Datenverkehr auf den beiden Segmenten Inside > Internal-DMZ und External- DMZ > Internetanwenden.