URL クリア テキストと暗号化トラフィックの検索と適用の違いをフィルタリング HTTP する HTTPS

URL クリア テキストと暗号化トラフィックの検索と適用の違いをフィルタリング HTTP する HTTPS

28115
Created On 08/12/20 22:08 PM - Last Modified 03/26/21 18:33 PM


Objective


この KB 記事では、 URL policy セッションのセットアップ中にフィルタリングを適用する方法 HTTP と firewall 、さまざまなクリア テキストおよび暗号化されたシナリオでの動作について

URL policy URL policy AUP 説明します。 カテゴリのルックアップを実行するために使用されるデータの詳細 URL と、強制が policy トラフィック フローに与える影響は、いくつかの要因に依存し、以下で詳しく説明します。

Procedure


クリア テキスト HTTP Web トランザクション
Web トランザクションがクリア テキスト (通常はポート 80) で実行されると HTTP 、フィルタリングは URL policy HTTP クライアント要求の Host ヘッダーと URL path ヘッダーを検査して強制を実行します。 firewall最初の要求パケットが Web に送信される前に、ルックアップと強制を行うように設定することも policy firewall 、パフォーマンスを向上させるために、最初の要求パケットが送信された後にルックアップと強制が発生する可能性があり、ルックアップ policy がブロックアクションの結果として発生した場合に後続のパケットがブロックされます。 (この設定とフィルタリングの他の構成パラメータの詳細については URL PAN-OS 、ここで入手できる管理ガイドを参照してください: https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/url-filtering/configure-url-filtering.html)

Web HTTPS トランザクション
が暗号化された (通常はポート 443) を介して Web トランザクションを実行する場合 HTTPS 、フィルタリングはクライアント Hello URL policy ハンドシェイク内のサーバー名表示 ( SNI ) フィールドを検査します TLS 。 firewall最初の要求パケットが Web に送信される前に、ルックアップおよび強制を行うように設定できます policy 。 firewall パフォーマンスの向上のために、最初の要求パケットが送信された後、ルックアップパケットが送信された後に、ルックアップがブロックアクションになった場合に後続のパケットがブロックされる可能性があります policy 。

HTTPS
HTTPS URL policy HTTP URL SNI TLS これは、要求ヘッダー内の Host と path を組み合わせたものが URL HTTP 、より詳細な情報を提供し、より詳細な情報を使用して、より具体的なカテゴリ検索を実行して実施するために使用できるため URL です。

注: この結果、より正確で特定の URL カテゴリ一致が発生しますが、その結果、 TLS クライアント URL から送信される後続の要求に対してフィルタリング検査を実行する前に、Client Hello メッセージの出力が送信されます HTTP 。 これは、ハンドシェイク プロセス内のフィールドを使用してデータを交換することにより、ネットワーク内の侵害されたホストとインターネット上の悪意のある Web サーバーとの間の双方向データ チャネルのリスク TLS を示します。 復号化されたセッションのこの動作に関するお客様 HTTPS は、次の 2 つのオプションのいずれかを使用することをお勧めします。
  1. パロアルトネットワークスは現在、 PAN-OS URL policy TLS SNI 復号化されたトランザクションのフィールドとホストとヘッダーの両方にフィルタリングチェックを追加することで、この動作に対処するためのソフトウェアアップデートに取り組 HTTP URL HTTPS んでいます。 PSIRTこの問題に関連するアドバイザリ (CVE-2020-2035) は、ソフトウェアの更新が利用可能になると更新されます。
  2. 上記のリスクを直ちに軽減したいお客様は、 KB 必要に応じて評価および展開するための回避策オプションについて、 URL policy TLS 復号された HTTPS セッションのハンドシェイクでのフィルタリングを実施する方法を参照できます。

注:この問題 HTTPS は、転送プロキシ復号化を使用して復号化されるトラフィックにのみ影響 HTTPS policy し、ネットワーク内のホストを既に侵害し、この特定の手法を使用してコマンドと制御を実行しようとする攻撃者によってのみ悪用できます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAL0CAO&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language