URL filtración de las diferencias de búsqueda y aplicación entre el texto claro HTTP y el tráfico cifrado HTTPS
28129
Created On 08/12/20 22:08 PM - Last Modified 03/26/21 18:33 PM
Objective
En KB este artículo se describe cómo se aplica el filtrado durante la configuración de la sesión y cuál es el comportamiento de los usuarios durante varios escenarios URL policy HTTP firewall
URL policy cifrados URL policy y de texto claro. AUP Los detalles de qué datos se utilizan para realizar URL la búsqueda de categorías y cómo la aplicación afecta al flujo de tráfico depende de varios factores y policy se describen con más detalle a continuación.
Procedure
Borrar HTTP transacciones web de texto
Cuando una transacción web se realiza a través de texto sin cifrar HTTP (normalmente puerto 80), el URL filtrado inspecciona los policy HTTP encabezados Host y path en URL la solicitud de cliente para realizar la aplicación. El firewall se puede configurar para buscar y aplicar antes de que el paquete de solicitud inicial policy egrese firewall el a la web, o para un mayor rendimiento, la búsqueda y la aplicación pueden suceder después de que se envíe el paquete de solicitud inicial, donde los paquetes subsiguientes se bloquean si la policy búsqueda da lugar a una acción de bloque. (Puede encontrar más información sobre esta configuración y otros parámetros de configuración de URL filtrado en la Guía de PAN-OS administración, disponible aquí: https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/url-filtering/configure-url-filtering.html)
HTTPS Transacciones web cifradas
Si se realiza una transacción web sobre cifrada HTTPS (normalmente puerto 443), el URL filtrado inspecciona el campo Indicación de nombre de servidor ( ) dentro del protocolo de enlace policy Saludo SNI de TLS cliente. El firewall se puede configurar para buscar y aplicar antes de que el paquete de la petición inicial policy egrese el firewall a la web, o para aumentar el rendimiento, la búsqueda y la aplicación pueden ocurrir después de enviar el paquete de solicitud inicial, donde los paquetes posteriores se bloquean si la búsqueda da como resultado una acción de policy bloque.
HTTPS
HTTPS URL policy HTTP URL SNI TLS Esto se hace porque el host combinado y URL la ruta de acceso en el encabezado de solicitud proporciona información más HTTP granular que se puede usar para realizar una búsqueda de categorías más específica URL para la aplicación.
Nota: Mientras que esto da lugar a una coincidencia de categoría más precisa y URL específica, da lugar a la salida del mensaje del saludo del TLS cliente que se transmite antes de filtrar la inspección se puede realizar en la petición URL subsiguiente HTTP enviada del cliente. Esto presenta un posible riesgo de canal de datos bidireccional entre un host comprometido dentro de una red y un servidor web malicioso en Internet mediante el uso de campos dentro del TLS proceso de apretón de manos para intercambiar datos. Se recomienda a los clientes preocupados por este comportamiento para sesiones descifradas HTTPS que busquen cualquiera de las dos opciones siguientes:
- Palo Alto Networks está trabajando actualmente en una PAN-OS actualización de software para abordar este comportamiento mediante la adición de una comprobación de filtrado tanto en URL el campo como en el host y policy TLS SNI HTTP URL encabezados para transacciones descifradas. HTTPS El PSIRT aviso relacionado con este problema (CVE-2020-2035) se actualizará cuando haya una actualización de software disponible.
- Para los clientes que deseen mitigar inmediatamente el riesgo descrito anteriormente pueden ver el KB artículo Cómo aplicar el filtrado en los URL policy TLS protocolos de enlace para HTTPS sesiones descifradas para que las opciones de solución alternativa se evalúen e implementen si es necesario.
Nota: Que este problema solo afecta al HTTPS tráfico que se descifra mediante HTTPS el descifrado proxy de reenvío policy y solo puede ser aprovechado por un atacante que ya ha comprometido un host dentro de la red y busca utilizar esta técnica específica para realizar comando y control.