Reglas del cortafuegos por URL

3

¿existe una solución para crear reglas de FW por URL en lugar de IP para el tráfico entrante? Por ejemplo, a.example.com y b.example.com son la misma IP en el DNS, pero son sitios diferentes. ¿Existe una solución para abrir el puerto 22, por ejemplo, solo para a.example.com?

Si es así, ¿cuál es el nombre de la solución?

Gracias.

    
pregunta gabi 27.07.2014 - 01:00
fuente

5 respuestas

1

Hay dos formas posibles en las que puedo pensar.

1.Si su firewall tiene una función de filtrado de URL / web, puede configurar un filtro local con la URL que mencionó, pero aún debe definir una política de firewall tradicional y adjuntar la configuración de filtrado de URL / web a la directiva.

2.Si su firewall tiene una característica de AI (identificación de aplicación) y soporte de firma personalizada, puede definir su URL como una aplicación personalizada. Debido a que la identificación de la aplicación se realiza en una etapa muy temprana, puede definir una política normal y reemplazar la IP y el puerto de destionación con su aplicación personalizada.

    
respondido por el appleleaf 28.07.2014 - 08:14
fuente
2

Esto depende de su solución de firewall. De lo que estás hablando suena como el Filtrado de Contenido de Capa 7. Esto no es tan común como el filtrado de IP de Capa 3, pero es compatible con algunos firewalls más avanzados.

Para responder a su pregunta de poder diferenciar entre conexiones a la misma IP pero diferentes nombres de host:

Esto es muy fácil de hacer con los sitios web, ya que el nombre de host se transmite en el encabezado HTTP y el firewall puede identificarlo fácilmente. Si desea hacer esto con SSL / TLS, obtendrá un error de certificado a menos que se instale la CA correcta en el cliente, esto se debe a que el firewall debe actuar como Man-In-The-Middle para descifrar, inspeccionar y re -cifrar los datos para ver el nombre de host.

Si deseaba esta funcionalidad para otros servicios, como SSH como sugirió, esto es mucho más complejo. No hay encabezados ni ninguna otra indicación de un nombre de host en muchos otros protocolos, como SSH. Algunos firewalls avanzados pueden ofrecer suficiente flexibilidad de configuración para ayudar a solucionar esto, pero no sería una solución infalible. Es probable que esto se haga en el nivel de DNS y sirva una IP incorrecta para el nombre de host prohibido, o bloquee la IP después de que se realice una solicitud de DNS para el nombre de host prohibido.

Editar : después de volver a leer tu pregunta, no estoy seguro de por qué asumí que estabas hablando sobre el filtro de salida. Si está hablando de filtrado de entrada, entonces el último bit sobre DNS realmente no se aplica.

    
respondido por el David Houde 27.07.2014 - 01:19
fuente
2

Esta función se denomina filtrado de contenido, porque está bloqueando en función del contenido específico en los paquetes TCP.

Antes de agotarse para comprar un producto, primero debe verificar si su firewall existente es compatible con esta función, muchos lo hacen. Incluso los enrutadores wifi y los módems de cable a menudo tienen esta característica. Por ejemplo, los productos de wifi y de cable módem de netgear, motorola o linksys son compatibles con los firewalls de filtrado de contenido.

    
respondido por el Jeff-Inventor ChromeOS 27.07.2014 - 10:43
fuente
1

Los firewalls de punto de control pueden hacer esto.

Estaría dispuesto a apostar que los firewalls "nextgen" como Palo Alto también hacen esto.

Sin embargo, ten en cuenta que si eres una gran empresa, esto causará muchos gastos generales en tu FW.

    
respondido por el k1DBLITZ 27.07.2014 - 02:30
fuente
1

Depende del firewall (como han dicho otros) pero también del protocolo de la aplicación. En su ejemplo, utiliza el puerto 22, que generalmente está asociado con SSH. Por lo que sé, SSH transmite el nombre de host de destino dentro del protocolo, por lo que no puede distinguir el acceso de SSH a diferentes nombres de host en la misma dirección IP (y el servidor de SSH tampoco distingue). Además, los protocolos utilizados para enviar y recibir correo electrónico (SMTP, IMAP, POP) tampoco tienen conocimiento del nombre de host de destino, por lo que tampoco puede filtrar por nombre de host.

En cuanto a HTTP: la mayoría de los navegadores envían el nombre de host de destino dentro del encabezado HTTP (requerido con HTTP / 1.1, pero la mayoría de los agentes de usuario HTTP / 1.0 lo hacen también) para que pueda tratar de distinguir el objetivo según este encabezado. Pero esto solo funciona si el usuario no manipula la solicitud. Muchos sitios web simplemente ignoran el encabezado del Host, lo que significa que usted podría eludir fácilmente un filtro para nytimes.com al colocar un encabezado del Host de example.com en la solicitud HTTP, pero enviar esta solicitud a la dirección IP de nytimes.com. Este método funciona para la mayoría de los llamados cortafuegos de próxima generación.

En cuanto al filtrado del tráfico entrante: también depende del protocolo de la aplicación. Por lo tanto, es posible detectar el nombre de host de destino para HTTP o incluso para HTTPS si se usa SNI, pero no será posible para IMAP, SSH, FTP, etc. porque el nombre de host no se transmite dentro de la capa de aplicación.

    
respondido por el Steffen Ullrich 27.07.2014 - 18:21
fuente

Lea otras preguntas en las etiquetas