Lorsque la catégorie d'URL est « n'importe quel », le trafic est autorisé
4123
Created On 03/20/24 11:57 AM - Last Modified 05/07/24 13:56 PM
Symptom
- Catégorie d’URL définie sur n’importe quelle règle incorrecte ou n’est pas autorisée
- Les journaux de trafic indiquent le trafic autorisé et la raison de fin de session autre que la menace
Environment
- Pan-OS
- Catégorie d’URL configurée sur les règles de stratégie de sécurité
Cause
Il y a peu d’occasions où la catégorie est n’importe quelle et où la circulation est autorisée
- La catégorie d’URL any est autorisée par conception, car il s’agit d’une catégorie implicitement définie avant que la catégorie ne soit identifiée. Ce choix a été fait à dessein, car si vous avez configuré des critères de correspondance de catégorie d’URL dans l’une des règles et qu’il n’y a pas de règle d’autorisation par défaut, tout le trafic dont la catégorie n’est pas encore identifiée sera supprimé.
- Si la session est enregistrée au démarrage, la catégorie peut être 'any' car elle ne fait qu'enregistrer les données initiales après la négociation à 3 voies. Cela signifie que nous devons nous préoccuper de son type de session 'end', du point de vue du journal de trafic.
- Si l'identifiant de l'application identifié est la catégorie ssl peut être 'any', cela signifie que la session s'est terminée juste après la fin de la négociation ssl. Dans ce cas, s’il y a un problème de correspondance de stratégie, la session doit être déchiffrée. S’il n’est pas décrypté, l’identifiant de l’application peut rester ssl, donc le pare-feu n’a pas la capacité d’inspecter le trafic http pour correspondre à la bonne catégorie d’URL.
- Si l'identifiant de l'application identifié est incomplet, la transaction est incomplète, nous n'avons pas de données significatives à analyser, de sorte que la catégorie sera « any »
- La catégorie d'URL de la session parente HTTP2 est « any ». Cela peut être identifié comme l’ID de connexion http2 étant 0. Pour HTTP2 qui a une session de connexion et une session de flux, à l’intérieur de HTTP2, il y a plusieurs flux. Dans le pare-feu, nous traitons chaque session de flux comme des sessions dédiées.
Resolution
Pour un audit correct des journaux pour la correspondance de la stratégie de sécurité et pour savoir si le trafic est autorisé ou non :
- Filtrer le trafic qui démarre la session du journal
- Filtrer le trafic dont l’application est ssl, incomplète, insuffisante
- Filtrer le trafic qui est SSL et non déchiffré
- Filtrer les sessions parentes http2
Le filtre suivant est une bonne référence pour vérifier le trafic pertinent :
( sous-type eq 'end' ) et ( app neq 'ssl' ) et ( flags a proxy ) et ( http2_connection neq '0' )
Additional Information
Recherche de filtrage d’URL et différences d’application entre le texte clair HTTP et le trafic HTTPS crypté