iT邦幫忙

0

FortiGate Log問題 HTTPS 與 HTTPS.BROWSER

各位先進大家好,
近日有位User反應說無法上網, 使用IE瀏覽器預設的首頁也上不了,
經檢查LOG&Report > Forward Traffic, 發現該User的Application紀錄很多都是 Http or Https, 然後都是被Deny的, Policy是套到 Implicit Deny, 也就是該User IP沒有套到任何Policy,
User的通訊軟體卻都是正常通訊的(EX: LINE, SKYPE),

檢查到其他同事的Log, 發現Application大多是 HTTPS.BROWSER, 這是有被正常套用Policy的, 也能正常存取網頁.

請問 HTTPS or HTTP 與 HTTPS.BROWSER 的差異是什麼?

感謝各位回覆.

ks1217 iT邦研究生 4 級 ‧ 2019-03-19 09:50:07 檢舉
剛才替User重設IE瀏覽器後, 看起來已經正常, LOG裡大多都已經都變成 HTTPS.BROWSER, 但仍不知道原因在哪裡, 這裡繼續開放討論~~
froce iT邦大師 1 級 ‧ 2019-03-19 10:23:55 檢舉
那就是ie的進階選項那邊勾選到什麼了吧?
沒詳細一個一個試不會清楚。
nansen iT邦新手 3 級 ‧ 2019-03-20 08:52:08 檢舉
感覺是IE的user-agent的表頭不見了或者Fortigate不認得所以當成普通的HTTP要求而不是瀏覽器發出的

1 個回答

0
mytiny
iT邦大師 1 級 ‧ 2019-03-19 22:30:06

建議樓主下次提問時對於背景情況能夠描述更深入點
小弟只能猜測樓主應該用的是比較小型的Fortigate
是否有Disk Log不可知(牽涉到Fortiview)
而且很可能UTM並未購買授權
OS的版本應當介於5.4.x-5.6.x

猜了這麼多以後,發現貴公司還在用IE
瀏覽器本身就很多不同狀況,何況用IE
是不是首頁被綁架也不知道(因為首頁開不了)
簡單說,因為防火牆讀到的是Service 80或443的Log
因此在沒有更多資訊(如DNS或Web Filter)狀況下
Fortigate就只能判是HTTPS or HTTP 與 HTTPS.BROWSER
以上情況為初步判斷,不到位之處請多海涵
或可請熟知貴公司網路狀況SI公司前往研判

ks1217 iT邦研究生 4 級 ‧ 2019-03-25 14:21:30 檢舉

Hi 您好~
感謝回覆,
抱歉資訊沒有完整, 我以為FortiGate的Log辨識名稱應該都大同小異,
公司使用FortiGate 100D兩台做HA, 版本是5.6版, 該買的授權都有, 且都到2021年,
IE目前仍是大多數網路銀行支援的瀏覽器之一, 首頁是預設首頁為MSN首頁,
無法顯示網頁時可以在FortiGate Log中查到Application都是 Http or Https 並且被Deny (Implicit Deny),
這很奇怪, 因為有開放內對外80與443Port, 目前Reset IE設定後, 大部份Log已出現HTTP.BROWSER or HTTPS.BROWSER,也正常顯示預設首頁(MSN), 只是仍偶爾會出現無顯示網頁(Log出現Http or Https), 但只要按一下重新整理, 就可以顯示正常網頁(變成
HTTPS.BROWSER),
這是我覺得奇怪的地方, HTTPS.BROWSER 與 HTTPS 的LOG差異在哪裡?
可能是哪裡有問題??

PS.User IP設定DNS為內部DNS Server, DNS 無法解析也預設會轉給Root DNS,

mytiny iT邦大師 1 級 ‧ 2019-03-25 15:17:53 檢舉
  1. 既然用的是5.6,請昇到5.6.8
  2. 檢查首頁使用模式,flow改為proxy
  3. Log不能只看列表,請看點開log後看完整紀錄(右側)
  4. 自行比較log紀錄有browser與沒有的差異
  5. 如果只是80,443但並非是網頁瀏覽,請注意是否被嵌入侵
  6. 在下猜測是封包能否被分類application造成的差異
  7. 應該與DNS無關,但建議開DNS Filter(封閉有風險項目)
  8. 請SI幫忙做LOG及資安分析,該付費部分請付費
ks1217 iT邦研究生 4 級 ‧ 2019-03-26 14:20:02 檢舉

Hi Sir,

經查發現, 我司有三個WAN端, User IP 沒有列在WAN1(for servers or VIP) , 當User想透過 WAN1出去時, 就會變成 HTTPS, 如果透過WAN3 (for all users) 時, 就可以正常出去變成 HTTPS.Browser,
是否能指定User Lan 只能跑WAN3, 但VIP (user lan)只能跑 WAN1 呢? 應該設在政策路由?

協助安裝的SI公司工程師說, 這些LOG就不要管它, 等它(User)找到路(WAN)就會出去....

我要發表回答

立即登入回答