URL filtrage des différences de recherche et d’application entre le texte clair HTTP et le trafic HTTPS crypté
28127
Created On 08/12/20 22:08 PM - Last Modified 03/26/21 18:33 PM
Objective
Cet article décrit comment le filtrage est appliqué pendant la configuration de la session et quel est le comportement de l’est au cours de divers scénarios texte clair et crypté. filtrage permet aux administrateurs de sécurité réseau et web de contrôler l’accès aux sites Web par catégorie, et est utilisé pour faire respecter KB URL l’utilisation acceptable web ( ) ainsi que d’effectuer policy des fonctions de sécurité critiques telles que le blocage HTTP de firewall
URL policy URL policy AUP l’accès à des URL malveillantes connues, y compris les logiciels malveillants, phishing, commande et contrôle, et d’autres sites Web à haut risque. Les détails des données utilisées pour effectuer la collecte des catégories URL et de l’incidence de l’application de la loi policy sur le flux de trafic dépendent de plusieurs facteurs et sont décrits plus en détail ci-dessous.
Procedure
Transactions Web HTTP textuelles claires
Lorsqu’une transaction Web est effectuée sur du texte clair HTTP (généralement le port 80), URL le filtrage policy inspecte l’hôte et les HTTP en-têtes URL de chemin dans la demande du client pour effectuer l’exécution. Le firewall peut être configuré pour rechercher et appliquer avant policy que le paquet de demande initial n’égresse le web, ou pour firewall des performances accrues, la recherche et l’application peuvent se produire après l’envoi du paquet de demande initial, lorsque les paquets suivants sont bloqués policy si la recherche entraîne une action de bloc. (Plus d’informations sur ce paramètre et d’autres paramètres de configuration URL de filtrage peuvent être trouvés dans PAN-OS le Guide admin, disponible ici: https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/url-filtering/configure-url-filtering.html)
Transactions Web HTTPS cryptées
Si une transaction web est effectuée sur HTTPS crypté (généralement le port 443), URL le policy filtrage inspecte l’indication de nom du serveur ( SNI ) champ dans la poignée de main Client TLS Hello. Le firewall peut être configuré pour rechercher et appliquer policy avant que le paquet de demande initial n’égresse firewall le web, ou pour des performances accrues, la recherche et l’application peuvent se produire après l’envoi du paquet de demande initial, lorsque les paquets suivants sont bloqués si la recherche entraîne policy une action de blocage. Transactions
HTTPS Web décryptées
Si une transaction Web est effectuée HTTPS sur cryptée, et que l’administrateur a configuré une règle de décryptage qui décrypte la transaction Web, le URL policy HTTP filtrage inspecte l’hôte et les en-têtes de URL chemin dans la demande du client, SNI mais TLS ne tient pas compte du champ dans la poignée de main Client Hello. Cela est fait parce que l’hôte combiné et URL le chemin dans HTTP l’en-tête de demande fournit plus d’informations granulaires qui peuvent être utilisés pour effectuer une URL recherche de catégorie plus spécifique pour l’application.
Remarque : Bien que cela se traduit par une correspondance de catégorie plus URL précise et spécifique, il en résulte l’évacuation du message Client Bonjour transmis avant que TLS URL l’inspection de filtrage puisse être effectuée sur la HTTP demande ultérieure envoyée par le client. Cela présente un risque possible de canal de données bidirectionnel entre un hôte compromis au sein d’un réseau et un serveur Web malveillant sur Internet en utilisant des champs TLS dans le processus de poignée de main pour échanger des données. Les clients concernés par ce comportement pour les sessions décryptées HTTPS sont invités à poursuivre l’une ou l’autre des deux options suivantes :
- Palo Alto Networks travaille actuellement sur une mise à jour PAN-OS logicielle pour remédier à ce comportement en ajoutant un contrôle de URL filtrage à la fois sur le terrain et policy TLS SNI HTTP URL l’hôte et les en-têtes pour les HTTPS transactions décryptées. PSIRTL’avis lié à ce problème (CVE-2020-2035) sera mis à jour lorsqu’une mise à jour logicielle sera disponible.
- Pour les clients qui souhaitent atténuer immédiatement le risque décrit ci-dessus peut voir KB l’article Comment faire respecter le URL policy TLS filtrage sur les poignées de main pour les HTTPS sessions décryptées pour les options de contournement à évaluer et à déployer si nécessaire.
Note: Que ce problème affecte uniquement HTTPS le trafic qui est décrypté à HTTPS l’aide du décryptage proxy avant, et ne peut être exploité par un attaquant qui a déjà compromis un hôte à l’intérieur du réseau et cherche à utiliser cette technique spécifique pour policy effectuer la commande et le contrôle.