Pages

Saturday, October 5, 2019

Windows Update - liste des URLs

Pour les utlisateurs de PAN-OS, il est possible de faire une regle de securite pour autoriser l'application "ms-update" (la signature applicative qui correspond a Windows Update).

L'avantage d'App-ID est que le firewall ne se focalise plus seulement sur les informations de couche 3 (adresse IP) et 4 (ports utilises); le firewall va aussi chercher des marqueurs au niveau des couches superieures (par exemple le SNI).

La regle la plus simple est de simplement autorise l'application. Le firewall va laisser passer les flux reconnus comme "ms-update" vers toutes les destinations.
"MicrosoftUpdate; index: x" {
        from trust;
        source any;
        source-region none;
        to untrust;
        destination any;
        destination-region none;
        user any;
        category any;
        application/service [0:ssl/tcp/any/443 1:ms-update/tcp/any/80 2:ms-update/tcp/any/443 3:ms-update/tcp/any/8530 4:ms-update/tcp/any/8531 ];
        application/service(implicit) [0:web-browsing/tcp/any/80 1:web-browsing/tcp/any/443 2:web-browsing/tcp/any/8530 3:web-browsing/tcp/any/8531 ];
        action allow;
        icmp-unreachable: no
        terminal yes;
}

Ce n'est pas forcement la meilleure des choses : imaginons un traffic reconnu comme "ms-update" alors que ce n'est pas le cas, le pare-feu laissera passer le traffic vers cette destination.

Une facon de restreinte l'autorisation de "ms-update" via une URL category. Le pare-feu autorisera alors les flux corespondant a l'application qui corresponds aux URLs dans l'URL category.

J'ai mis une liste (qui sera amene a evoluer dans le temps) des URLs utilisees par Windows Update.
C'est par ici (github)

Il suffit simplement ensuite de creer une nouvelle URL categorie et d'y importer la liste.
Ensuite, il suffit de modifier la regle de securite.

"MicrosoftUpdate; index: x" {
        from trust;
        source any;
        source-region none;
>        to untrust;
        destination any;
        destination-region none;
        user any;
        category "Microsoft update";
        application/service [0:ssl/tcp/any/443 1:ms-update/tcp/any/80 2:ms-update/tcp/any/443 3:ms-update/tcp/any/8530 4:ms-update/tcp/any/8531 ];
        application/service(implicit) [0:web-browsing/tcp/any/80 1:web-browsing/tcp/any/443 2:web-browsing/tcp/any/8530 3:web-browsing/tcp/any/8531 ];
        action allow;
        icmp-unreachable: no
        terminal yes;
}

No comments: