So konfigurieren Sie SSL die Entschlüsselung:
- Konfigurieren firewall sie, um Datenverkehr zu verarbeiten und im Netzwerk zu platzieren
- Stellen Sie sicher, dass sich die richtige Zertifizierungsstelle ( CA ) auf der firewall
- Konfigurieren von SSL Entschlüsselungsregeln
- Aktivieren der SSL Entschlüsselungsbenachrichtigungsseite (optional)
- Commit-Änderungen und Testentschlüsselung
Schritte zum Konfigurieren der SSL Entschlüsselung
1. Konfigurieren Sie die Firewall so, dass Datenverkehr verarbeitet und im Netzwerk platziert wird.
Stellen Sie sicher, dass die Palo Alto-Netzwerke firewall bereits mit funktionierenden Schnittstellen (d. h. Virtual Wire, Layer 2 oder Layer 3), Zonen, Sicherheit Policy und bereits vorbeifahrendem Datenverkehr konfiguriert sind.
2. Laden oder Generieren eines CA Zertifikats in den Palo Alto-Netzwerken Firewall
A Die Zertifizierungsstelle ( CA ) ist erforderlich, um den Datenverkehr ordnungsgemäß zu entschlüsseln, indem SSL Zertifikate im Handumdrehen generiert werden. Erstellen Sie einen selbstsignierten CA auf dem oder importieren Sie einen firewall Untergeordneten CA (aus Ihrer eigenen PKI Infrastruktur). Wählen Sie eines für das Forward-Vertrauenszertifikat und ein CA anderes CA für das Forward-Untrust-Zertifikat aus, um das Entschlüsseln des Datenverkehrs zu ermöglichenfirewall.
NOTE: Da SSL Zertifikatanbieter wie Entrust, Verisign, Digicert und GoDaddy keine Zertifizierungsstellen verkaufen, werden sie in SSL der Entschlüsselung nicht unterstützt.
Wechseln Sie über die firewall Weboberfläche zu Device > Certificates. Laden Sie oder erstellen Sie ein Zertifikat für eingehende Inspektion oder ausgehende (Forwardproxy) Inspektion.
Generiert ein selbstsigniertes Zertifikat
Es empfiehlt sich ein selbstsigniertes Zertifikat zu verwenden. Weitere Informationen zum Generieren eines selbstsignierten Zertifikats finden Sie im folgenden Knowledge-Artikel: So generieren Sie ein neues selbstsigniertes SSL Zertifikat.
Erzeugen und importieren ein Zertifikat von Microsoft Certificate Server
- Fordern Sie auf dem Microsoft Certificate Server für Ihre Organisation ein erweitertes Zertifikat mit der Zertifikatvorlage "subordinate CA " an. Laden Sie das Zertifikat herunter.
- Nach dem Download, exportieren Sie das Zertifikat aus dem lokalen Zertifikatspeicher. Greifen Sie in Internet Explore ( IE ) auf das Dialogfeld Internetoptionen zu, wählen Sie die Registerkarte Inhalt aus , und klicken Sie dann auf die Schaltfläche Zertifikate . Das neue Zertifikat kann aus dem persönlichen Zertifikatspeicher exportiert werden. Wählen Sie den Zertifikatexport-Assistenten aus, exportieren Sie den privaten Schlüssel, und wählen Sie dann das Format aus. Geben Sie ein Passwort und einen Dateinamen und Speicherort für die Ausgabedatei. Das Zertifikat wird in einem PFX Format (PKCS #12) vorliegen.
- Um das Zertifikat zu extrahieren, verwenden Sie diesen befehl openSSL[4]:
openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys - Um den Schlüssel zu extrahieren, verwenden Sie diesen openSSL-Befehl:
openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts - Importieren Sie die Datei cert.pem und keyfile.pem in die Palo Alto-Netzwerke firewall auf der Registerkarte Gerät > Zertifikate.
- Im Falle eines Hochverfügbarkeits- ( HA ) Pairs laden Sie diese Dateien auch in das zweite Palo Alto Networks firewall , oder kopieren Sie das Zertifikat und den Schlüssel über das Hochverfügbarkeits-Widget auf dem Dashboard.
Die "Forward Trust" und "Vorwärts Vertraulichkeit" Zertifikate:
NOTE: Wenn Sie einen selbstsignierten CA verwenden, exportieren Sie das öffentliche CA Zertifikat aus firewall dem, und installieren Sie das Zertifikat als vertrauenswürdigen Stamm CA im Browser jedes Computers, um Fehlermeldungen über nicht vertrauenswürdiges Zertifikat in Ihrem Browser zu vermeiden. Netzwerkadministratoren verwenden dieses Zertifikat in der GPO Regel, um dieses Zertifikat auf jede Arbeitsstation zu übertragen.
IMPORTANT NOTE: Legen Sie niemals die beiden Kontrollkästchen "Forward Trust Certificate" und "Forward Untrust Certificate" in demselben Zertifikat fest, und sie dürfen das "Forward Untrust Certificate" nicht unter einer vertrauenswürdigen Zertifikatkette bereitgestellt haben. Wenn Sie dies tun, wird es dazu führen, dass die firewall Clientgeräte ein Zertifikat präsentieren, dem CA sie vertrauen, auch wenn sie eine Verbindung zu Websites oder Anwendungen herstellen, die mit ungültigen Zertifikaten für die vorhanden firewall sind. |
Im Folgenden finden Sie einige Beispiele für Browserfehler, wenn das selbstsignierte CA Zertifikat nicht vertrauenswürdig ist.
Firefox nicht CA vertrauenswürdiger Fehler:
Nicht vertrauenswürdiger CA Chrome-Fehler:
Internet Explorer nicht CA vertrauenswürdiger Fehler:
3. Konfigurieren von SSL Entschlüsselungsregeln
Der Netzwerk-Administrator legt fest, was entschlüsselt werden muss. A Wenige Vorschläge zum Konfigurieren von SSL Entschlüsselungsregeln:
- Anbaugerät Regeln in einen stufenweisen Ansatz. Beginnen Sie mit bestimmten Regeln für die Entschlüsselung, und überwachen Sie die typische Anzahl von SSL Verbindungen, die vom Gerät entschlüsselt werden.
- Vermeiden Sie die Entschlüsselung der folgenden URL Kategorien, da Benutzer dies als Eingriff in die Privatsphäre betrachten können:
- Finanzdienstleistungen
- Gesundheit und Medizin
- Entschlüsseln Sie Anwendungen, wo die Server Client-seitige Zertifikate (zur Identifikation) erfordert, nicht.
- Sie können Verbindungen blockieren oder zulassen, die eine Clientauthentifizierung erfordern, über die in 5.0 eingeführte Entschlüsselungsprofilfunktion. PAN-OS
Hier ist ein Beispiel für eine ausgehende Regelbasis nach Vorschlägen für die Entschlüsselung:
4. Aktivieren der SSL Decryption Notification Webseite (optional)
- Der Benutzer kann benachrichtigt werden, dass seine SSL Verbindung über die Antwortseite entschlüsselt wird, die auf der Registerkarte "Gerät" > Der Antwortseitenzu finden ist. Klicken Sie auf Deaktiviert, aktivieren Sie die Option SSL Abmelden aktivieren, und klicken Sie auf OK .
Die SSL Standard-Opt-out-Seite kann exportiert, über einen Editor bearbeitet HTML und importiert werden, um unternehmensspezifische Informationen bereitzustellen:
5. Testen Sie ausgehende Entschlüsselung
Testen Sie ausgehende Entschlüsselung:
- Stellen Sie im Ausgehen policy sicher, dass die Aktion auf Warnung enden ist, um auf gefundene Viren zu warnen. Aktivieren Sie außerdem die Paketerfassung für dieses Antiviren-Sicherheitsprofil. Alle vorgenommenen Änderungen zu begehen.
- Gehen Sie auf einem PC internen zu dem , gehen Sie zu firewall www.eicar.org. In der oberen rechten Ecke sollten Sie Folgendes sehen:
- Klicken Sie auf "Download Anti-Malware Testfile."
- In der daraufhin angezeigten Bildschirm nach unten scrollen.
- Laden Sie den eicar-Testvirus mit HTTP herunter. Jede dieser vier Dateien erkannt werden.
- Wechseln Sie zur Registerkarte Monitor > Bedrohungsprotokoll, und suchen Sie dann nach der Protokollnachricht, die die eicar-Datei erkennt.
- Klicken Sie auf den grünen Pfeil in der Spalte auf der linken Seite, um die erfassten Pakete anzuzeigen.
- Klicken Sie auf die Lupe in der linken Spalte, um das Protokolldetail anzuzeigen.
- Scrolle nach unten, und suchen Sie das Feld "Entschlüsselt." Die Sitzung wurde nicht entschlüsselt:
- Kehren Sie zur www.eicar.org-Downloads-Seite zurück. Verwenden Sie dieses Mal SSL das aktivierte HTTPS Protokoll, um den Testvirus herunterzuladen.
- Überprüfen Sie die Bedrohungsprotokolle. Das Virus sollte erkannt worden sein, da die SSL Verbindung entschlüsselt wurde. A Protokollmeldung, die zeigt, dass eicar beim Surfen im Internet an Port 443 erkannt wurde, wird angezeigt.
- Zeigen Sie die Paketerfassung an, indem Sie auf den grünen Pfeil klicken.(optional)
- Klicken Sie links neben diesem Protokolleintrag auf die Lupe. Scrollen Sie nach unten. Überprüfen Sie unter Flags, ob das Kontrollkästchen "Entschlüsselt" aktiviert ist:
Der Virus wurde in einer verschlüsselten Sitzung erfolgreich SSL- erkannt.
So testen Sie die "No-decrypt"-Regel:
- Bestimmen Sie zunächst, welche URLs in Finanzdienstleistungs-, Gesundheits- und Arzneimittelkategorien fallen, und alle Kategorien, die entschlüsselt werden, sind nicht aktiviert.Verwenden Sie Palo Alto Networks URL Filtering - Test A Site und geben Sie eine URL ein, um die Kategorie zu identifizieren.
- Sobald Websites in Kategorien eingeteilt werden und nicht entschlüsselt werden gefunden werden, verwenden Sie einen Browser, um diese Websites mit zu HTTPS gehen. Es sollte kein Zertifikatfehler, wenn man auf den verlinkten Seiten. Die Web-Seiten werden korrekt angezeigt. In Datenverkehrsprotokollen werden die Sitzungen angezeigt, in denen die Anwendung SSL wie erwartet Port 443 durchläuft.
Testen Sie eingehende Entschlüsselung:
- Überprüfen Sie die Datenverkehrsprotokolle, die vor der Aktivierung für die eingehende SSL Entschlüsselung auf der datumsind. firewall Schauen Sie sich gezielt für den internen Servern Verkehr. In diesen Protokollen erkannt die Anwendung "Ssl" über Port 443 gehen sollte.
- Von einem Computer außerhalb des Netzwerks eine Verbindung SSL zu einem Server im DMZ herstellen. Es werden keine Zertifikatsfehler angezeigt, da die Verbindung nicht proxied wird – nur überprüft.
- Überprüfen Sie die Protokolle für diese eingehende Verbindung. Die Anwendungen werden nicht "ssl" sein, sondern die tatsächlichen Anwendungen, die sich im SSL Tunnel befinden. Klicken Sie auf das Lupensymbol in die Log-Einträge, entschlüsselte Verbindungen zu bestätigen.
Hilfreiche CLI Befehle
Verwenden Sie diesen Befehl, um zu sehen, wie viele vorhandene SSL Entschlüsselungssitzungen durch das Gerät CLI gehen:
> Debug dataplane Pool Statistik | Match Proxy
Ausgabe von einem PA-2050 , bei dem der erste Befehl 1024 verfügbare Sitzungen anzeigt und die Ausgabe des zweiten Befehls zeigt, dass fünf Sitzungen SSL entschlüsselt werden (1024–1019=5):
admin @ Test > Debug dataplane Pool Statistik | Match Proxy
[18] Proxy Session: 1019/1024 0x7f00723f1ee0
Verwenden Sie diesen Befehl, um die aktiven Sitzungen anzuzeigen, die entschlüsselt CLI wurden:
> show session all filter ssl-decrypt yes state active
Maximale Anzahl gleichzeitig SSL entschlüsselter Sitzungen in PAN-OS 4.1, 5.0, 6.0 und 6.1 (beide Richtungen kombiniert):
Hardware | SSL Entschlüsselte Sitzungsbeschränkung |
---|
VM-100 | 1.024 Sitzungen |
VM-200
| 1.024 Sitzungen |
VM-300 | 1.024 Sitzungen |
PA-200 | 1.024 Sitzungen |
PA-500 | 1.024 Sitzungen |
PA-2020 | 1.024 Sitzungen |
PA-2050 | 1.024 Sitzungen |
PA-3020 | 7.936 Sitzungen |
PA-3050
| 15.360 Sitzungen |
PA-3060 | 15.360 Sitzungen |
PA-4020 | 7.936 Sitzungen |
PA-4050 | 23.808 Sitzungen |
PA-4060 | 23.808 Sitzungen |
PA-5020 | 15.872 Sitzungen |
PA-5050 | 47.616 Sitzungen |
PA-5060 | 90.112 Sitzungen |
PA-7000-20G-NPC | 131.072 Sitzungen |
PA-7050 | 786.432 Sitzungen |
Wenn das Limit erreicht ist, werden alle neuen SSL Sitzungen als unentschlüsselt SSL durchlaufen. Verwenden Sie SSL diesen Befehl, um neue Sitzungen über das Sitzungslimit des Geräts hinaus zu CLI löschen:
> set deviceconfig setting ssl-decrypt deny-setup-failure yes
Um zu überprüfen, ob Sitzungen das Limit des Geräts erreichen, verwenden Sie diesen CLI Befehl:
> show counter global name proxy_flow_alloc_failure
Verwenden Sie diesen Befehl, um das SSL Entschlüsselungszertifikat CLI anzuzeigen:
> show system setting ssl-decrypt certificate
Certificates for Global
SSL Decryption CERT
global trusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8 f7 ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1
global untrusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8 f7 ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1
Verwenden SSL Sie diesen Befehl, um Entschlüsselungseinstellungen CLI anzuzeigen:
> show system setting ssl-decrypt setting
vsys : vsys1
Forward Proxy Ready : yes
Inbound Proxy Ready : no
Disable ssl : no
Disable ssl-decrypt : no
Notify user : no
Proxy for URL : no
Wait for URL : no
Block revoked Cert : yes
Block timeout Cert : no
Block unknown Cert : no
Cert Status Query Timeout : 5
URL Category Query Timeout : 5
Fwd proxy server cert's key size: 0
Use Cert Cache : yes
Verify CRL : no
Verify OCSP : no
CRL Status receive Timeout : 5
OCSP Status receive Timeout : 5
Block unknown Cert : no