URL Filtern von Such- und Erzwingungsunterschieden zwischen Klartext HTTP und verschlüsseltem HTTPS Datenverkehr
28131
Created On 08/12/20 22:08 PM - Last Modified 03/26/21 18:33 PM
Objective
Dieser KB Artikel URL beschreibt, wie die Filterung während der policy Sitzungseinrichtung angewendet wird HTTP und wie das Verhalten der während firewall verschiedener Klartext- und verschlüsselter Szenarien ist.
URL Filterung ermöglicht es policy Netzwerk- und Websicherheitsadministratoren, den Zugriff auf Websites nach Kategorie zu URL kontrollieren, und wird verwendet, um die webakzeptable Nutzung ( ) zu erzwingen und wichtige Sicherheitsfunktionen wie das Blockieren des Zugriffs auf bekannte bösartige policy AUP URLs, einschließlich Malware, Phishing, Befehls- und Kontrollfunktionen und andere Websites mit hohem Risiko, auszuführen. Die Besonderheiten, welche Daten für die Kategoriesuche verwendet werden und wie sich URL policy die Erzwingung auf den Datenverkehr auswirkt, hängen von mehreren Faktoren ab und werden im Folgenden ausführlicher beschrieben.
Procedure
HTTP Klartextwebtransaktionen
Wenn eine Webtransaktion über Klartext ausgeführt wird HTTP (in der Regel Port 80), überprüft die URL Filterung policy die HTTP Host- und URL Pfadheader in der Clientanforderung, um die Erzwingung durchzuführen. Der kann so konfiguriert werden, dass es nachdemen und erzwingen kann, firewall bevor das ursprüngliche policy firewall Anforderungspaket das im Web austritt, oder für eine höhere Leistung kann die Suche und Erzwingung nach dem Senden des ursprünglichen Anforderungspakets erfolgen, wobei nachfolgende Pakete blockiert werden, wenn die policy Suche zu einer Blockaktion führt. (Weitere Informationen zu dieser Einstellung und anderen Konfigurationsparametern der URL Filterung finden Sie im PAN-OS Admin Guide, verfügbar hier: https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/url-filtering/configure-url-filtering.html)
Verschlüsselte HTTPS Webtransaktionen
Wenn eine Webtransaktion über verschlüsselt HTTPS (in der Regel Port 443) durchgeführt wird, überprüft die URL Filterung das Feld policy Servername Indication ( ) innerhalb des SNI Client TLS Hello-Handshakes. Der kann so konfiguriert werden, dass er firewall sucht und durchsetzt, policy bevor das ursprüngliche Anforderungspaket firewall ins Web oder für eine höhere Leistung kann die Suche und Erzwingung erfolgen, nachdem das ursprüngliche Anforderungspaket gesendet wurde, wobei nachfolgende Pakete blockiert werden, wenn die policy Suche zu einer Blockaktion führt.
Entschlüsselte HTTPS Webtransaktionen
Wenn eine Webtransaktion über verschlüsselt durchgeführt wird HTTPS und der Administrator eine Entschlüsselungsregel konfiguriert hat, die die Webtransaktion entschlüsselt, überprüft die URL Filterung den Host und policy den HTTP URL Pfadheader in der Clientanforderung, berücksichtigt jedoch nicht das SNI Feld innerhalb des Client TLS Hello-Handshakes. Dies geschieht, weil der kombinierte Host und URL Pfad im HTTP Anforderungsheader detailliertere Informationen bereitstellt, die verwendet werden können, um eine spezifischere Kategoriesuche für die URL Erzwingung durchzuführen.
Hinweis: Dies führt zwar zu einer genaueren und spezifischeren URL Kategorieübereinstimmung, führt jedoch dazu, dass die TLS Client Hello-Nachricht übertragen wird, bevor URL die Filterprüfung für die nachfolgende Anforderung, die vom Client gesendet wird, durchgeführt werden HTTP kann. Dies stellt ein mögliches Risiko eines bidirektionalen Datenkanals zwischen einem kompromittierten Host innerhalb eines Netzwerks und einem bösartigen Webserver im Internet dar, indem Felder innerhalb des TLS Handshake-Prozesses zum Datenaustausch verwendet werden. Kunden, die sich mit diesem Verhalten für entschlüsselte HTTPS Sitzungen befassen, wird empfohlen, eine der folgenden beiden Optionen zu verfolgen:
- Palo Alto Networks arbeitet derzeit an einem PAN-OS Softwareupdate, um dieses Verhalten zu beheben, indem URL sowohl das Feld als auch der Host und die Header für policy TLS SNI HTTP URL entschlüsselte HTTPS Transaktionen gefiltert werden. Die PSIRT zu diesem Problem zusammenhängende Empfehlung (CVE-2020-2035) wird aktualisiert, wenn ein Softwareupdate verfügbar ist.
- Kunden, die das oben beschriebene Risiko sofort mindern möchten, können den Artikel Wie Sie die KB URL Filterung policy von TLS Handshakes für entschlüsselte HTTPS Sitzungen erzwingen möchten, damit bei Bedarf Problemumgehungsoptionen ausgewertet und bereitgestellt werden.
Hinweis: Dieses Problem betrifft nur Datenverkehr, der HTTPS mit der Deschlüsselung des Vorwärtsproxys entschlüsselt wird und nur von einem Angreifer genutzt werden kann, der HTTPS bereits einen Host im Netzwerk kompromittiert hat und policy versucht, diese spezielle Technik zum Ausführen von Befehlen und Steuerelementen zu verwenden.