Cómo aplicar URL el filtrado en los policy TLS apretones de manos para sesiones descifradas HTTPS
Objective
Consulte KB la búsqueda de filtrado de artículos URL y las diferencias de aplicación entre texto sin HTTP cifrar y HTTPS tráfico cifrado para el contexto antes de implementar cualquiera de las siguientes mitigaciones.
Para aplicar URL el filtrado policy en TLS protocolos de enlace para sesiones descifradas, HTTPS le sugerimos que utilice cualquiera de las siguientes soluciones alternativas:
- Rutee el tráfico saliente entre dos vsys en los firewalls de PanOS que son capaces de eso y realizan URL el filtrado en uno y / SSL TLS descifrado en otro vsys.
- Agregue 2 zonas de seguridad adicionales y rutee el tráfico saliente entre ellas para aplicar las reglas de descifrado "Descifrar" y "Sin policy descifrar". Por ejemplo, usted configura su NGFW en la forma en que el tráfico viaja de la zona interior a la zona interna con DMZ "Sin descifrado" aplicado, luego se pasa a externo-DMZ y viaja de la zona externaDMZ a la zona de Internet con la regla "Descifrar" aplicada. Esta solución alternativa se describe en detalle a continuación. Tenga en cuenta que esta configuración puede aumentar significativamente la carga en el firewall archivo .
- Utilice el dispositivo de seguridad adicional en la cadena de tráfico. Las SSL TLS funciones / Descifrado y URL- filtrado deben separarse entre ellas (por ejemplo, el primer dispositivo está realizando URL filtrado, y el segundo dispositivo está realizando SSL / TLS Descifrado.
No recomendamos deshabilitar SSL / TLS Descifrado porque le expondrá a riesgos mucho más altos.
Procedure
Detalles de la solución alternativa sugerida (2)
El concepto de esta solución alternativa es emular el segundo dispositivo de ciberseguridad dentro de PanOS NGFW para implementar reglas de seguridad "Decrypt" y "No Decrypt" a la misma parte del policy tráfico. El flujo de trabajo de implementación se describe a continuación, sin embargo, en función de la configuración, es posible que se requieran algunas modificaciones.
ATTENTION : La configuración descrita puede aumentar significativamente la Firewall carga debido a duplicar el número de sesiones activas y el tráfico de navegación SSL web. Considere la posibilidad de implementarlo solo en los segmentos de datos confidenciales o usar PBF (Policy Reenvío basado) para restringir el tráfico que se debe inspeccionar dos veces.
Se supone que los pasos siguientes le ayudarán a crear la configuración en firewall el que representa el diagrama de principios en el esquema siguiente. La tabla siguiente representa la configuración de interfaces de red. El tráfico de la zona de seguridad interior debe pasar a través de las zonas internasDMZ y externas,DMZ ruteadas por dos routers virtuales separados antes de que llegue a la zona de Internet. Esto le permite implementar diferentes conjuntos de reglas de seguridad en cada una de las secciones de la ruta de tráfico (Interior - Interno DMZ y Externo - DMZ Internet).
Interfaz de | Tipo | Zona de seguridad | Virtual Router | Comentario |
---|---|---|---|---|
Ethernet 1/1 | Dirección L3 Egress IP- | Internet | VR-2 | |
Ethernet 1/2 | L3 192.168.112.1/24 | Externo-DMZ | VR-2 | Las interfaces físicas están conectadas junto con el enlace Ethernet |
Ethernet 1/3 | L3 192.168.112.1/24 | Interna-DMZ | VR-1 | |
Ethernet 1/4 | L3 192.168.42.1/24 | Dentro | VR-1 |
STEPS TO IMPLEMENT:
Conecte dos interfaces Ethernet vacantes con el link físico. En esta descripción Se utilizarán Ethernet 1/2 y Ethernet 1/3 como referencia.
Configure los Ethernetes 1/2 y Ethernet 1/3 como interfaz de tipo de capa 3 (navegue a las interfacesde la red >, elija la interfaz y asigne el tipo de interfaz de la capa 3. Deje otros campos como predeterminados por ahora)
Cree un nuevo router virtual. Nos referiremos a este router virtual como VR-2 en esta guía. Asigne a VR-2 la interfaz Ethernet 1/2 y a la interfaz con el link a Internet(Ethernet 1/1 en el diagrama). Para hacer el último, usted puede ser que necesite desasignar esta interfaz del router virtual actual.
Asigne la interfaz Ethernet 1/3 al router virtual con su zona interior conectada. Nos referimos a este router virtual como VR-1 en esta guía.
Cree nuevas zonas de seguridad: externasDMZ e internas yDMZ asígnelas a las interfaces Ethernet 1/2 y Ethernet 1/3 respectivamente.
- Configure las interfaces Ethernet 1/2 y Ethernet 1/3 asignándoles IP- direcciones desde el mismo rango de red (en esta guía usaremos 192.168.112.1/24. Así que Ethernet 1/2 se configura con IP- la dirección 192.168.112.1/24 y Ethernet 1/3 - con IP- la dirección 192.168.112.2/24). Consulte la captura de pantalla a continuación.
- Navegue de nuevo a la pantalla de configuración del Routers virtuales(red > del Routers virtual). Añadir static route, dirigiendo el tráfico VR-1 de: VR-2
- En VR-2 usted necesita agregar dos nuevas rutas estáticas, dirigiendo el tráfico al tráfico interno y DMZ dirigiendo el tráfico a Internet:
- También debe ajustar su NAT policy para reflejar los cambios. Para el tráfico saliente, debe quitar NAT policy de su zona interior (si la tenía) y agregarla a la zona externa.DMZ El ejemplo está en la captura de pantalla de abajo
- Después de confirmar la configuración, puede observar que se crearon dos sesiones para cada una de las conexiones salientes, una entre Interior e Interior-DMZ y otra entre ExternoDMZ e Internet.
- Ahora puede crear dos reglas de descifradoPolicy para el tráfico saliente, aplicando la acción "Sin descifrado" para el tráfico entre el interior y el interno-DMZ y "Descifrar" para el tráfico entre externo eDMZ Internet.
- Ajuste las reglas de seguridad Policy en consecuencia para reflejar los cambios. Para evitar riesgos, asociado con el método de exfiltración descubierto, debe aplicar URL el filtrado al tráfico en ambos segmentos dentro > DMZ Internet interno y externo >. DMZ