Filtrar mediante User Agent de navegador

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Hemin
Mensajes: 1
Registrado: 10 Dic 2013, 12:42

Filtrar mediante User Agent de navegador

Mensaje por Hemin »

Hola,

Os cuento el problema que tengo al hacer una migración de ISA a Forigate a ver si me podéis echar una mano.

Un cliente nuestro está migrando de ISA a Fortigate y yo estoy pasando las políticas que ellos tienen puestas en el ISA. En general no tengo ningún problema, salvo que ellos tienen un par de reglas que filtran según navegador dejando pasar a todos los navegadores salvo el IE. Me comentan que tienen puesto que el ISA mire en las cabeceras HTTP el User-Agent, y no encuentro manera de hacerlo con el Fortigate. Ellos miran esto:

Internet Explorer 8:
Search in: Request headers
HTTP header: User-agent
Pattern: MSIE 8.0

Internet Explorer 9:
Search in: Request headers
HTTP header: User-agent
Pattern: MSIE 9.0

Abrí un caso a soporte y me dijeron que no era posible, ya que fortigate solo filtra por ip/nombre, dispositivo, usuario, aplicación, etc. y que lo pusiera como sugerencia de nuevas funcionalidades...

El caso es que creo que se debe poder hacer mediante signaturas, pero es la primera vez que me meto en esta parte de personalización y voy un poco perdido. He intentado crear esta firma limitando-la a mi user-agent, ya que no se como hacer que solo filtre una parte (en concreto para IE11 seria "rv:11.0"):

F-SBID( --attack_id 6714; --name Block.iexplorer; --service HTTP; --context header; --pattern "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"; --flow from_client; --no_case; --app_cat 25; )

Aun así no me funciona, no logro que me bloquee el navegador IE.

Es posible hacer esto? en caso afirmativo, como podría hacer-lo?

Gracias

Un saludo
Responder