Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Hvordan tillate bare noen Vimeo videoer som skal vises på en webside når all streaming er sperret? En utfordring for flere kommuner.

Holographic interface highlighting a malicious network packet within digital data cables

I går fikk jeg en henvendelse fra en kommune. De sperrer streaming for alle elever slik at de ikke bruker skoletiden på YouTube, Vimeo og annet.

Men…. Av forskjellige grunner må de allikevel tillate noen videoer, men de har slitt med en god løsning for dette da det er komplisert.

En av sidene elevene skal ha tilgang til er https://sykkeldyktig.no/. På denne siden er det flere videoer som skal vise eksempler. Disse videoene ligger på Vimeo, og Palo Alto Networks kategoriserer da dette som streaming, og videoene vil da ikke vises selv om man er inne på en annen side. Så hva gjør man?

HTTP header referer

Ganske raskt kom vi opp med ideen om å bruker http headeren referer:

Tanken var at om denne var på plass, sammen med forespørselen mot f.eks https://player.vimeo.com/video/572463704?dnt=1&app_id=122963 så kunne vi gjøre en match på dette og dermed få til unntaket.

Custom App-ID? Men det fungerte ikke.

Det første vi prøvde på var custom App-ID, men vi kom ikke i mål. Vi så at konseptet fungerte, men bare på forespørsler som tidligere var gjenkjent som web-browsing. De forespørslene som ble gjenkjent som youtube-base og vimeo-base ville ikke endres.

Etter en del feilsøking måtte vi spørre Chat-GPT og fikk dette til svar:

Once PAN-OS identifies a session as a more specific App-ID like vimeo or youtube, it does not “downgrade” or reclassify it to your custom/web-browsing-style match just because the HTTP Referer matches. App-ID keeps classifying based on protocol signatures, decoders, heuristics, etc., not only headers. Palo Alto describes App-ID as identifying applications irrespective of port/protocol/encryption and using multiple classification mechanisms.

Så da måtte vi inne med plan B, Custom Vulnerability Signature.

Custom Vulnerability Signature to the rescue

Så… Streaming blir sperret med URL filtering. Det betyr at den regelen som sperrer streaming fortsatt må leve som før og vi må lage en regel over som har en annen og mer liberal URL filtering profil, men da med en Vulnerability Protection profil som inneholder trikset vårt.

Så… Hva gjør vi?

La oss se på selve trikset med signaturen

Objects -> Custom Objects -> Vulnerability

Her lager vi en ny custom signatur som ser slik ut:

Det vi har laget her er følgende:

  • Vi matcher på http host header “player.vimeo.com”
    • Dette kan, og burde kanskje, være *.vimeo.com for å ta alt som har med Vimeo å gjøre.
  • and (det må være et “and” statement mellom disse to)
  • Vi kjører en negate på “sykkeldyktig.no” (det er viktig å kjøre negate for at konseptet skal fungere da det som treffer denne signaturen skal sperres)

Ny vulnerability protection profil

For at dette konseptet skal fungere må man sperre den nye signaturen.

Justering av Security Profile Groups

Denne SPG’en var allerede på plass og i bruk. Det er denne som sperrer streaming for elever:

Vi måtte derfor lage en ny SPG som bruker den nye Vulnerability Protection profilem “Outbound-VP-Elever” med den nye spesiel signaturen som sperrer. Samtidig endrer vi URL Filtering Profile til “Outbound-URL” som tillater streaming.

Den nye regelen som får dette til å fungere

Dette er regelen som nå ligger over den som sperrer streaming og får dette konseptet til å fungere. Nå fungerer Vimeo videoer på websiden https://sykkeldyktig.no/pa-skolen/ovelser-pa-sykkel/, men ikke på andre sider.

Det som også er kult, er at om man kopierer selve URL’en til videoen man ser og åpner den i et nytt vindu så fungerer den ikke da referer mangler. Herlig. Akkurat slik det skal være.

Denne regelen matcher på en gruppe hentet fra Entra ID, men den er naturligvis skjult for å ikke vise kundeinformasjon. Integrasjon mellom brannmur og Entra ID er essensielt i mye av arbeidet om dagen og fungerer veldig bra. Dette forutsetter for de fleste utrulling av GlobalProtect med Always-On, som også fungerer utmerket.

Konklusjon

Pan-OS er et meget kraftig OS med mange herlige funksjoner som veldig få er klar over. Dette er en av grunnene til at jeg startet for meg selv da jeg ønsker å hjelpe så mange som mulig med å få til mest mulig med den teknologien de allerede har på plass.

Hver eneste uke jobber jeg med kunder som kommer med utfordringer og problemer de kanskje ikke vet løsningen på, men som vi sammen klarer å løse på forskjellige måter, og akkurat denne i denne posten er ikke en typisk aktivitet, men det skyldes nok kanskje at mange ikke engang tenker tanken på at dette er mulig.

Jeg holder workshop på elementer som dette for veldig mange kunder hele tiden.

, ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading