Comment appliquer le URL filtrage policy sur les TLS poignées de main pour les sessions HTTPS décryptées
Objective
Veuillez consulter les KB différences de recherche et URL d’application de l’article entre le texte clair et HTTP le trafic crypté HTTPS pour le contexte avant de mettre en œuvre l’une ou l’autre des mesures d’atténuation suivantes.
Pour faire respecter URL le policy TLS filtrage des poignées de main pour les sessions HTTPS décryptées, nous vous suggérons d’utiliser l’une des solutions de contournement suivantes :
- Itinéraire trafic sortant entre deux vsys sur les pare-feu PanOS qui sont capables de cela et effectuer URL le filtrage sur SSL l’un et / TLS décryptage sur un autre vsys.
- Ajoutez 2 zones de sécurité supplémentaires et routez le trafic sortant entre elles pour appliquer les règles de décryptage « Décryptage » et « Pas de policy décryptage ». Par exemple, vous configurez votre dans la façon dont le trafic se déplace de la zone intérieure à la zone interne NGFW DMZ avec « No Decrypt » appliqué, puis est passé à externe- etDMZ se déplace de l’extérieur àDMZ la zone Internet avec « Décryptage » règle appliquée. Cette solution de contournement est décrite en détail ci-dessous. Sachez que cette configuration peut augmenter considérablement la charge sur le firewall .
- Utilisez le dispositif de sécurité supplémentaire dans la chaîne de trafic. Les SSL fonctions TLS / Décryptage URL- et filtrage doivent être séparées entre elles (par exemple, le premier appareil effectue URL le filtrage, et le deuxième appareil est performant SSL / TLS Décryptage.
Nous ne recommandons pas la désactivation SSL / TLS décryptage, car il vous exposera à des risques beaucoup plus élevés.
Procedure
Détails de la solution de contournement suggérée (2)
Le concept de cette solution de contournement est d’imiter le deuxième dispositif de cybersécurité au sein de PanOS pour implémenter à la fois des règles NGFW de sécurité « Décryptage » et « No Decrypt policy » dans la même partie du trafic. Le workflow de mise en œuvre est décrit ci-dessous, mais en fonction de votre configuration, certaines modifications peuvent être nécessaires.
ATTENTION : La configuration décrite peut augmenter considérablement la Firewall charge en raison du doublement du nombre de sessions SSL actives et du trafic de navigation web. Envisagez de le mettre en œuvre uniquement sur les segments de données PBF sensibles ouPolicy d’utiliser ( Based Forwarding) pour restreindre le trafic à inspecter deux fois.
Les étapes suivantes sont censées vous aider à construire la configuration sur votre firewall qui représente le diagramme principal sur le schéma ci-dessous. Le tableau suivant représente la configuration des interfaces réseau. Le trafic en provenance de la zone de sécurité intérieure doit passer par lesDMZ zones internes etDMZ externes, acheminés par deux routeurs virtuels séparés avant d’atteindre la zone Internet. Cela vous permet de mettre en œuvre un ensemble différent de règles de sécurité sur chacune des sections de chemin de circulation (Intérieur - Interne DMZ et Externe - DMZ Internet).
Interface | Type de | Zone de sécurité | Routeur virtuel | Commentaire |
---|---|---|---|---|
Ethernet 1/1 | L3 Adresse egress IP- | Internet | VR-2 | |
Ethernet 1/2 | L3 192.168.112.1/24 | LesDMZ | VR-2 | Les interfaces physiques sont connectées avec le lien Ethernet |
Ethernet 1/3 | L3 192.168.112.1/24 | LesDMZ | VR-1 | |
Ethernet 1/4 | L3 192.168.42.1/24 | Intérieur | VR-1 |
STEPS TO IMPLEMENT:
Connectez deux interfaces Ethernet vacantes avec le lien physique. Dans cette description, Ethernet 1/2 et Ethernet 1/3 seront utilisés pour la référence.
Configurez Ethernet 1/2 et Ethernet 1/3 comme interface de type Couche 3 (Naviguer vers les interfaces de > réseau,choisir l’interface et assigner le type d’interface couche 3. Laissez d’autres champs par défaut pour l’instant)
Créez un nouveau routeur virtuel. Nous nous référerons à ce routeur virtuel comme VR-2 dans ce guide. Assignez VR-2 à l’interface Ethernet 1/2 et l’interface avec le lien vers Internet(Ethernet 1/1 sur le diagramme). Pour faire le dernier, vous devrez peut-être dé-assigner cette interface à partir du routeur virtuel actuel.
Attribuez l’interface Ethernet 1/3 au Routeur Virtuel avec votre zone Inside connectée. Nous nous référons à ce routeur virtuel comme VR-1 dans ce guide.
Créez de nouvelles zones desécurité : externes etDMZ internes et assignez-les aux interfaces Ethernet 1/2 et Ethernet 1/3 respectivement. DMZ
- Configurez les interfaces Ethernet 1/2 et Ethernet 1/3 en leur attribuant des adresses de la même IP- plage réseau (dans ce guide, nous utiliserons le 192.168.112.1/24. Ainsi, Ethernet 1/2 est configuré IP- avec l’adresse 192.168.112.1/24 et Ethernet 1/3 - avec IP- adresse 192.168.112.2/24). Veuillez consulter la capture d’écran ci-dessous.
- Revenez à l’écran de configuration Virtual Routers(Network > Virtual Routers). Ajouter static route, diriger le trafic de VR-1 VR-2 :
- Sur VR-2 vous devez ajouter deux nouvelles routes statiques, diriger le trafic vers interne et diriger le trafic vers DMZ Internet:
- Vous devez également ajuster votre NAT policy pour refléter les changements. Pour le trafic sortant, vous devez supprimer NAT policy de votre zone intérieure (si vous en aviez une) et l’ajouter à laDMZ zone externe. L’exemple est dans la capture d’écran ci-dessous
- Après avoir commis la configuration, vous pouvez observer que deux sessions ont été créées pour chacune des connexions sortantes, l’une entre l’intérieur et l’intérieur etDMZ l’autre entre externe etDMZ Internet.
- Maintenant, vous pouvez créer deux règles de décryptagePolicy pour le trafic sortant, en appliquant « Pas de décryptage » action pour le trafic entre l’intérieur et interne etDMZ « Décryptage » pour le trafic entre externe etDMZ Internet.
- Ajustez vos règles Policy de sécurité en conséquence pour refléter les modifications. Pour éviter les risques, associés à la méthode d’exfiltration découverte, vous devez appliquer URL le filtrage au trafic sur les deux segments Inside > Internal-DMZ and External- DMZ > Internet.