Tutoriale

URL Filtering

Functia de URL Filtering in Palo Alto este una din cele mai folosite functii a NGFW.  URL filtering foloseste baza de date PAN-DB in care sunt clasificate zeci de milioane de site-uri in functie de categorii (ex Bussiness , Games , Adult etc. )

Din experienta pot sa va spun a este incredibil de greu cu firewall-urile traditionale sa blocam de exemplu accessul spre www.google.com sau www.facebook.com datorita multitudinii de IP-uri folosite de aceste site-uri si care se schimba constant.

La fel , va urez mult noroc sa blocati cu un firewall traditional site-urile unei anumite categorii gen adult , streaming , etc.

Pentru a folosi baza de date cu URL-uri PAN-DB este nevoie de licenta dar daca doriti sa blocati anumite URL-uri manual , nu este nevoie de licenta , mai exact feature-ul nu are nevoie de licenta , insa consulatarea bazei de date da.

In functie de modelul de firewall ,  in cache exista un  „seed database”continand de la cateva sute pana la cateva miloane de URL-uri.  Firewall-ul face backup la cache pe disc la fiecare 8 ore si cand firewall-ul este resetat de catre administrator.  Entry-urile din cache expira bazate pe time-out-uri prestabilite pentru fiecare URL in parte si aceste valori nu pot fi configurate.

Daca un URL nu este gasit in cache , firewall-ul contacteaza PAN-DB (in cloud) si odata primit raspunsul il introduce in cache.

Functia de URL filtering functioneaza si fara decryptare SSL datorita faptului ca URL-ul este trimis in clear text .

Flow-ul logic al URL Filtering

url-filtering-logic

URL Filtering se configureaza ca parte a unui Profil de Securitate  care se ataseaza unui Politici de Securitate cu o actiune de allow.

A nu se confuda URL category dintr-o politica de securitate cu Profilul de URL Filtering.  Profilul de URL filtering permite o filtrare mult mai granulara.

Monitorizarea  URL-Fitering-ul se face :
Monitor-Logs-URL Filtering

De remarcat ca „by default” apar in log-uri doar actiunile de „alert”, „block”, „continue”si „override”. (explicate mai jos) 

Configurarea Profilului de securitate

Objects – Security Profiles – URL Filtering
Exista preconfigurat un „default profile ” care e read only dar pe care putem sa il clonam si sa modificam clona dupa bunul plac.

Profilul default este configurat  sa blocheze malware , adult , phising , malware , etc.
Daca creem un profil nou , toate categoriile sunt permise „by default”

De dragul demonstratiei vom crea un nou profil (butonul de „add”)
Dupa cum vedem totul este allow , dar actiunile se pot schimba per categorie facand click pe coloana „site access”din dreptul categoriei dorite.

De exemplu vom bloca categoria adult si permited restul.

Important de stiut este ordinea in care se face „match-ul”

1 Block list  – lista manuala de URL-uri (explicatie mai joc cum se configureaza)
2 Allowed list – lista manuala de URL-uri (explicatie mai joc cum se configureaza)
3 Custom URL categories – Mai multe URL-uri grupate manual de administrator.
4 External dynamic lists (o lista de URL-uri imporatata extern)
5 PAN-DB firewall cache
6 Downloaded PAN-DB file
7 PAN-DB cloud

Allow si block list-urile le gasim in TAB-ul „Overrides”

Daca dorim sa introducem URL-uri in allow sau block NU folositi sinaxa http sau https (exemplu http://www.facebook.com) . Se foloseste www.facebook.com si facebook.com sau *.facebook.com .

Sintaxa suporta wildcard-uri si separatoare , mai multe detalii si exemple gasim aici :

https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/url-filtering/block-and-allow-lists

Un „custom URL category” se poate crea de la

Objects – Custom Objects – URL Category si „add”

Actiunile ce le poate face firewall-ul sunt :
1 – Alert  – Permite accessul pe site dar creaza logheaza evenimentul
2 – Allow – Permite accessul dar nu logheaza
3 – Block – Nu permite accesul
4 – Continue – Afiseaza un „response page” in care user-ul trebuie sa apese „continue”
5 – Override – Afiseaza un „response page” in care user-ul poate sa introduca o parola predefinita.

Response Pages

Response page-ul este definit ca si pagina pe care o vede utilizatorul in browser , de obicei informand utilizatorul ca pagina a fost blocata , atunci cand actiunea policii este block , continue sau override. Daca nu ar exista response page-ul itilizatorul ar vedea o eroare generata de browser gen „connection error”si mai mult ca sigur ar suna la helpdesk crezand ca exista o problema de retea.

Pagina default de response afiseaza adresa IP , URL-ul si categoria din care acel URL face parte , iar in cazul in care User-ID-ul este folosit in loc de IP se afiseaza username-ul .

Daca utilizatorul foloseste optiunea de „override”sau „continue , are access la pagina pentru 15 minute fara a se mai prezenta pagina de „response” (timeout configurabil in Device – Setup – Content-ID – URL Filtering.
Parola de override poate fi configurata in Device – Setup – Content ID – URL Admin Override. Un firewall poate avea doar o singura parola de override.

Safe Search 

Safe Search este o setare in Web Browser care previne ca motoarele de cautare sa returneze continut pentru adulti . Motorul de cautare si nu firewall-ul este cel care decide ce afiseaza.

Activand aceasta functie , previne ca utilizatorii Google , Yahoo , Bing , Yandex sau Youtube sa vada rezultatele cautarii daca optiunea de este activata in browser.  Pentru ca sa functioneze decriptia SSL este necesara.

Daca optiunea de „log container page only” este bifata in log-uri se vor vedea doar site-ul principal nu si paginile individuale. (recomand sa bifati optiunea)

Unknown category

Ce facem cu URL-urile care nu apartin nici unei categorii :

In cazul in care un URL nu exista in PAN-DB si nu poate sa fie catalogat , va fi bagat in categoria de „unknown” . Recomand in prima faza sa permiteti accessul cu optiunea de „alert”incat sa puteti sa colectati datele necesare crearii manuale a unor exceptii iar dupa categoria unknown se poate bloca.

Cum downloadam  „seed-ul”bazei de data PanDB

Device-Licensing – Pan-db – Download now.

In momentul in care apasam download trebuie sa selectam regiunea in care ne aflam pentru ca baza de date va contine cele mai dese viziate site-uri din regiunea respectiva.

*a nu se intelege ca downloadati o copie pe PC a PAN-DB-ului si practic actualizam seed-ul. Aceasta operatiune rar este intalnita in practica.

Recatalogarea unui URL :

Se foloseste in cazul in care un URL este intr-o categorie eronata . Un exemplu personal este forumul meu de pe retrogames.ro a fost catalogat eronat in categoria „finance” forumul fiind despre jocuri retro si am dorit recategorisirea lui.

Avem doua optiuni.

Monitor – URL Filtering – Clicl pe „lupa”si apasam link-ul request catogorization change 

Online pe https://urlfiltering.paloaltonetworks.com/

Dupa cateva ore am primit un email ca site-ul a fost recatalogat.

Atasarea profillului de securitate (URL filtering in cazul asta ) la reguli de securitate .

Dupa atata vorbarie si configurari e momentul sa atasam profilul de URL-Filtering

Policies – Security – Click pe regula la care vrem sa atasam URL Filtering – Actions si atasam profilul de URL Filtering creat.

Teste 

Dupa cum se vede pornhub.com si facebook este blocat. (category adult si social-networking)  La fel si zoso.ro pe motivul de block-list.

Toate detaliile se vad in log-uri

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *