Implementieren und Testen SSL der Entschlüsselung

Implementieren und Testen SSL der Entschlüsselung

806550
Created On 09/25/18 17:18 PM - Last Modified 01/18/23 21:00 PM


Symptom


Übersicht

PAN-OS können eingehende und ausgehende SSL Verbindungen, die über ein Palo Alto-Netzwerk gehen, entschlüsseln und firewall überprüfen. Die SSL Entschlüsselung kann auf Schnittstellen im virtuellen Draht-, Layer-2- oder Layer-3-Modus erfolgen, indem die Regelbasis verwendet wird, SSL um zu konfigurieren, welcher Datenverkehr entschlüsselt werden soll. Insbesondere kann die Entschlüsselung auf URL Kategorien, Quellbenutzern und Quell-/Zieladressen IP basieren. Sobald der Datenverkehr entschlüsselt ist, können getunnelte Anwendungen erkannt und gesteuert werden, und die entschlüsselten Daten können auf Bedrohungen, URL Filterung, Dateiblockierung oder Datenfilterung überprüft werden. Entschlüsselter Datenverkehr kann auch mithilfe eines Decryption Port-Spiegels vom Gerät gesendet werden (siehe Konfigurieren der Entschlüsselungsportspiegelung ).

 

Environment


  • Palo Alto Firewalls.
  • Beliebig PAN-OS .
  • SSL Entschlüsselung.

Cause


Eingehende SSL Entschlüsselung

Bei eingehendem Datenverkehr zu einem internen Webserver oder Gerät importiert der Administrator eine Kopie des Zertifikats und des privaten Schlüssels des geschützten Servers. Wenn das SSL Serverzertifikat auf dem geladen wird firewall und eine SSL Entschlüsselung policy für den eingehenden Datenverkehr konfiguriert ist, entschlüsselt das Gerät den Datenverkehr beim Weiterleiten und liest ihn. Um die Paketdaten werden keine Änderungen vorgenommen, und der sichere Kanal wird aus dem Client-System an den internen Server. Sie firewall können dann bösartige Inhalte erkennen und Anwendungen steuern, die über diesen sicheren Kanal ausgeführt werden.

 

Ausgehende SSL Entschlüsselung SSL (Forward Proxy)

In diesem Fall werden ausgehende Verbindungen von Proxys verarbeitet, firewall SSL indem sie ausgehende Anforderungen abfangen SSL und ein Zertifikat für die Site generieren, die der Benutzer besuchen möchte. Das Gültigkeitsdatum des generierten Zertifikats wird dem Gültigkeitsdatum des PA-realen Serverzertifikats entnommen.

Die ausstellende Stelle des PA-generierten Zertifikats ist das Palo Alto Networks-Gerät. Wenn das Zertifikat von firewall nicht Teil einer vorhandenen Hierarchie ist oder nicht zum Browsercache eines Clients hinzugefügt wird, erhält der Client beim Surfen zu einer sicheren Website eine Warnung. Wenn das echte Serverzertifikat von einer Behörde ausgestellt wurde, der die Palo Alto-Netzwerke firewallnicht vertrauen, verwendet das Entschlüsselungszertifikat einen zweiten "nicht vertrauenswürdigen" Zertifizierungsstellenschlüssel (CA), um sicherzustellen, dass der Benutzer vor nachfolgenden Man-in-the-Middle-Angriffen gewarnt wird.

Resolution


So konfigurieren Sie SSL die Entschlüsselung:

  1. Konfigurieren firewall sie, um Datenverkehr zu verarbeiten und im Netzwerk zu platzieren
  2. Stellen Sie sicher, dass sich die richtige Zertifizierungsstelle ( CA ) auf der firewall
  3. Konfigurieren von SSL Entschlüsselungsregeln
  4. Aktivieren der SSL Entschlüsselungsbenachrichtigungsseite (optional)
  5. Commit-Änderungen und Testentschlüsselung

 

Schritte zum Konfigurieren der SSL Entschlüsselung


1. Konfigurieren Sie die Firewall so, dass Datenverkehr verarbeitet und im Netzwerk platziert wird.

Stellen Sie sicher, dass die Palo Alto-Netzwerke firewall bereits mit funktionierenden Schnittstellen (d. h. Virtual Wire, Layer 2 oder Layer 3), Zonen, Sicherheit Policy und bereits vorbeifahrendem Datenverkehr konfiguriert sind.

 

2. Laden oder Generieren eines CA Zertifikats in den Palo Alto-Netzwerken Firewall

A Die Zertifizierungsstelle ( CA ) ist erforderlich, um den Datenverkehr ordnungsgemäß zu entschlüsseln, indem SSL Zertifikate im Handumdrehen generiert werden. Erstellen Sie einen selbstsignierten CA auf dem oder importieren Sie einen firewall Untergeordneten CA (aus Ihrer eigenen PKI Infrastruktur). Wählen Sie eines für das Forward-Vertrauenszertifikat und ein CA anderes CA für das Forward-Untrust-Zertifikat aus, um das Entschlüsseln des Datenverkehrs zu ermöglichenfirewall.

NOTE: Da SSL Zertifikatanbieter wie Entrust, Verisign, Digicert und GoDaddy keine Zertifizierungsstellen verkaufen, werden sie in SSL der Entschlüsselung nicht unterstützt.

 

Wechseln Sie über die firewall Weboberfläche zu Device > Certificates. Laden Sie oder erstellen Sie ein Zertifikat für eingehende Inspektion oder ausgehende (Forwardproxy) Inspektion.

 

Generiert ein selbstsigniertes Zertifikat

Es empfiehlt sich ein selbstsigniertes Zertifikat zu verwenden. Weitere Informationen zum Generieren eines selbstsignierten Zertifikats finden Sie im folgenden Knowledge-Artikel: So generieren Sie ein neues selbstsigniertes SSL Zertifikat.
 

Erzeugen und importieren ein Zertifikat von Microsoft Certificate Server

  1. Fordern Sie auf dem Microsoft Certificate Server für Ihre Organisation ein erweitertes Zertifikat mit der Zertifikatvorlage "subordinate CA " an. Laden Sie das Zertifikat herunter.
  2. Nach dem Download, exportieren Sie das Zertifikat aus dem lokalen Zertifikatspeicher. Greifen Sie in Internet Explore ( IE ) auf das Dialogfeld Internetoptionen zu, wählen Sie die Registerkarte Inhalt aus , und klicken Sie dann auf die Schaltfläche Zertifikate . Das neue Zertifikat kann aus dem persönlichen Zertifikatspeicher exportiert werden. Wählen Sie den Zertifikatexport-Assistenten aus, exportieren Sie den privaten Schlüssel, und wählen Sie dann das Format aus. Geben Sie ein Passwort und einen Dateinamen und Speicherort für die Ausgabedatei. Das Zertifikat wird in einem PFX Format (PKCS #12) vorliegen.
  3. Um das Zertifikat zu extrahieren, verwenden Sie diesen befehl openSSL[4]:
    openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys
  4. Um den Schlüssel zu extrahieren, verwenden Sie diesen openSSL-Befehl:
    openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts
  5. Importieren Sie die Datei cert.pem und keyfile.pem in die Palo Alto-Netzwerke firewall auf der Registerkarte Gerät > Zertifikate.
  6. Im Falle eines Hochverfügbarkeits- ( HA ) Pairs laden Sie diese Dateien auch in das zweite Palo Alto Networks firewall , oder kopieren Sie das Zertifikat und den Schlüssel über das Hochverfügbarkeits-Widget auf dem Dashboard.

 

Die "Forward Trust" und "Vorwärts Vertraulichkeit" Zertifikate:

Beispiel für ein Forward Trust-Zertifikat
 

Beispiel für ein Forward Untrust-Zertifikat
 

NOTE: Wenn Sie einen selbstsignierten CA verwenden, exportieren Sie das öffentliche CA Zertifikat aus firewall dem, und installieren Sie das Zertifikat als vertrauenswürdigen Stamm CA im Browser jedes Computers, um Fehlermeldungen über nicht vertrauenswürdiges Zertifikat in Ihrem Browser zu vermeiden. Netzwerkadministratoren verwenden dieses Zertifikat in der GPO Regel, um dieses Zertifikat auf jede Arbeitsstation zu übertragen.

IMPORTANT NOTE: Legen Sie niemals die beiden Kontrollkästchen "Forward Trust Certificate" und "Forward Untrust Certificate" in demselben Zertifikat fest, und sie dürfen das "Forward Untrust Certificate" nicht unter einer vertrauenswürdigen Zertifikatkette bereitgestellt haben. Wenn Sie dies tun, wird es dazu führen, dass die firewall Clientgeräte ein Zertifikat präsentieren, dem CA sie vertrauen, auch wenn sie eine Verbindung zu Websites oder Anwendungen herstellen, die mit ungültigen Zertifikaten für die vorhanden firewall sind.


Im Folgenden finden Sie einige Beispiele für Browserfehler, wenn das selbstsignierte CA Zertifikat nicht vertrauenswürdig ist.


Firefox nicht CA vertrauenswürdiger Fehler:

Firefox-Browser, der einen Fehler ausgibt, weil kein vertrauenswürdiges CA Zertifikat angezeigt wird

 

Nicht vertrauenswürdiger CA Chrome-Fehler:

Chrome-Browser, der einen Fehler ausgibt, weil kein vertrauenswürdiges CA Zertifikat angezeigt wird

 

Internet Explorer nicht CA vertrauenswürdiger Fehler:

Internet Explorer ( ) Browser, der IE einen Fehler verursacht, weil kein vertrauenswürdiges CA Zertifikat angezeigt wird

 

3. Konfigurieren von SSL Entschlüsselungsregeln

Der Netzwerk-Administrator legt fest, was entschlüsselt werden muss. A Wenige Vorschläge zum Konfigurieren von SSL Entschlüsselungsregeln:

  • Anbaugerät Regeln in einen stufenweisen Ansatz. Beginnen Sie mit bestimmten Regeln für die Entschlüsselung, und überwachen Sie die typische Anzahl von SSL Verbindungen, die vom Gerät entschlüsselt werden.
  • Vermeiden Sie die Entschlüsselung der folgenden URL Kategorien, da Benutzer dies als Eingriff in die Privatsphäre betrachten können:
    • Finanzdienstleistungen
    • Gesundheit und Medizin
  • Entschlüsseln Sie Anwendungen, wo die Server Client-seitige Zertifikate (zur Identifikation) erfordert, nicht.
    • Sie können Verbindungen blockieren oder zulassen, die eine Clientauthentifizierung erfordern, über die in 5.0 eingeführte Entschlüsselungsprofilfunktion. PAN-OS

 

Hier ist ein Beispiel für eine ausgehende Regelbasis nach Vorschlägen für die Entschlüsselung:

Beispiel für eine ausgehende Regelbasis nach Vorschlägen für die Entschlüsselung
 

4. Aktivieren der SSL Decryption Notification Webseite (optional)

  • Der Benutzer kann benachrichtigt werden, dass seine SSL Verbindung über die Antwortseite entschlüsselt wird, die auf der Registerkarte "Gerät" > Der Antwortseitenzu finden ist. Klicken Sie auf Deaktiviert, aktivieren Sie die Option SSL Abmelden aktivieren, und klicken Sie auf OK .
    Option zum Aktivieren SSL der Decryption Notification-Webseite auf der firewall GUI

 

Die SSL Standard-Opt-out-Seite kann exportiert, über einen Editor bearbeitet HTML und importiert werden, um unternehmensspezifische Informationen bereitzustellen:

SSL Opt-Out-Seite wird angezeigt

5. Testen Sie ausgehende Entschlüsselung

Testen Sie ausgehende Entschlüsselung:

  • Stellen Sie im Ausgehen policy sicher, dass die Aktion auf Warnung enden ist, um auf gefundene Viren zu warnen. Aktivieren Sie außerdem die Paketerfassung für dieses Antiviren-Sicherheitsprofil. Alle vorgenommenen Änderungen zu begehen.
  • Gehen Sie auf einem PC internen zu dem , gehen Sie zu firewall www.eicar.org. In der oberen rechten Ecke sollten Sie Folgendes sehen:
    Eicar-Banner
  • Klicken Sie auf "Download Anti-Malware Testfile."
  • In der daraufhin angezeigten Bildschirm nach unten scrollen.
  • Laden Sie den eicar-Testvirus mit HTTP herunter. Jede dieser vier Dateien erkannt werden.

Eicar Download-Bereich

  • Wechseln Sie zur Registerkarte Monitor > Bedrohungsprotokoll, und suchen Sie dann nach der Protokollnachricht, die die eicar-Datei erkennt.
    Bedrohungsprotokoll, das zeigt, dass die eicar-Datei erkannt wird 
 
  • Klicken Sie auf den grünen Pfeil in der Spalte auf der linken Seite, um die erfassten Pakete anzuzeigen.
    Klicken Sie auf den grünen Pfeil, um die Paketerfassungen anzuzeigen

    Ausgabe der Paketerfassung mit SSL aktivierter Entschlüsselung
 
  • Klicken Sie auf die Lupe in der linken Spalte, um das Protokolldetail anzuzeigen.
    Das Lupensymbol befindet sich in der linken Spalte, die das Protokolldetail anzeigt.
 
  • Scrolle nach unten, und suchen Sie das Feld "Entschlüsselt." Die Sitzung wurde nicht entschlüsselt:
    Ausgabe des Datenverkehrsprotokolls, das bestimmt, ob die Sitzung entschlüsselt wurde oder nicht. In diesem Fall wird das Kontrollkästchen nicht aktiviert, was bedeutet, dass diese Sitzung nicht entschlüsselt wird.
 
  • Kehren Sie zur www.eicar.org-Downloads-Seite zurück. Verwenden Sie dieses Mal SSL das aktivierte HTTPS Protokoll, um den Testvirus herunterzuladen.
    Liste der dateienkannig dateien
 
  • Überprüfen Sie die Bedrohungsprotokolle. Das Virus sollte erkannt worden sein, da die SSL Verbindung entschlüsselt wurde. A Protokollmeldung, die zeigt, dass eicar beim Surfen im Internet an Port 443 erkannt wurde, wird angezeigt.
    Ausgabe der Bedrohungsprotokolle
 
  • Zeigen Sie die Paketerfassung an, indem Sie auf den grünen Pfeil klicken.(optional)
    Ausgabe der Paketerfassung mit SSL aktivierter Entschlüsselung
 
  • Klicken Sie links neben diesem Protokolleintrag auf die Lupe. Scrollen Sie nach unten. Überprüfen Sie unter Flags, ob das Kontrollkästchen "Entschlüsselt" aktiviert ist:
    Ausgabe des Datenverkehrsprotokolls, das bestimmt, ob die Sitzung entschlüsselt wurde oder nicht. In diesem Fall wird es entschlüsselt, weil das grüne Kontrollkästchen angekreuzt wurde.

 

Der Virus wurde in einer verschlüsselten Sitzung erfolgreich SSL- erkannt.

 

So testen Sie die "No-decrypt"-Regel:

  • Bestimmen Sie zunächst, welche URLs in Finanzdienstleistungs-, Gesundheits- und Arzneimittelkategorien fallen, und alle Kategorien, die entschlüsselt werden, sind nicht aktiviert.Verwenden Sie Palo Alto Networks URL Filtering - Test A Site und geben Sie eine URL ein, um die Kategorie zu identifizieren.
  • Sobald Websites in Kategorien eingeteilt werden und nicht entschlüsselt werden gefunden werden, verwenden Sie einen Browser, um diese Websites mit zu HTTPS gehen. Es sollte kein Zertifikatfehler, wenn man auf den verlinkten Seiten. Die Web-Seiten werden korrekt angezeigt. In Datenverkehrsprotokollen werden die Sitzungen angezeigt, in denen die Anwendung SSL wie erwartet Port 443 durchläuft.

 

Testen Sie eingehende Entschlüsselung:

  • Überprüfen Sie die Datenverkehrsprotokolle, die vor der Aktivierung für die eingehende SSL Entschlüsselung auf der datumsind. firewall Schauen Sie sich gezielt für den internen Servern Verkehr. In diesen Protokollen erkannt die Anwendung "Ssl" über Port 443 gehen sollte.
  • Von einem Computer außerhalb des Netzwerks eine Verbindung SSL zu einem Server im DMZ herstellen. Es werden keine Zertifikatsfehler angezeigt, da die Verbindung nicht proxied wird – nur überprüft.
  • Überprüfen Sie die Protokolle für diese eingehende Verbindung. Die Anwendungen werden nicht "ssl" sein, sondern die tatsächlichen Anwendungen, die sich im SSL Tunnel befinden. Klicken Sie auf das Lupensymbol in die Log-Einträge, entschlüsselte Verbindungen zu bestätigen.
    Eingehende Verbindung, die gemäß dem Kontrollkästchensymbol entschlüsselt wird


Hilfreiche CLI Befehle

Verwenden Sie diesen Befehl, um zu sehen, wie viele vorhandene SSL Entschlüsselungssitzungen durch das Gerät CLI gehen:

> Debug dataplane Pool Statistik | Match Proxy

 

Ausgabe von einem PA-2050 , bei dem der erste Befehl 1024 verfügbare Sitzungen anzeigt und die Ausgabe des zweiten Befehls zeigt, dass fünf Sitzungen SSL entschlüsselt werden (1024–1019=5):

admin @ Test > Debug dataplane Pool Statistik | Match Proxy

[18] Proxy Session: 1019/1024 0x7f00723f1ee0

 

Verwenden Sie diesen Befehl, um die aktiven Sitzungen anzuzeigen, die entschlüsselt CLI wurden:

> show session all filter ssl-decrypt yes state active


Maximale Anzahl gleichzeitig SSL entschlüsselter Sitzungen in PAN-OS 4.1, 5.0, 6.0 und 6.1 (beide Richtungen kombiniert):

HardwareSSL Entschlüsselte Sitzungsbeschränkung
VM-1001.024 Sitzungen

VM-200

1.024 Sitzungen
VM-3001.024 Sitzungen
PA-2001.024 Sitzungen
PA-5001.024 Sitzungen
PA-20201.024 Sitzungen
PA-20501.024 Sitzungen
PA-30207.936 Sitzungen

PA-3050

15.360 Sitzungen
PA-306015.360 Sitzungen
PA-40207.936 Sitzungen
PA-405023.808 Sitzungen
PA-406023.808 Sitzungen
PA-502015.872 Sitzungen
PA-505047.616 Sitzungen
PA-506090.112 Sitzungen
PA-7000-20G-NPC131.072 Sitzungen
PA-7050786.432 Sitzungen

 

Wenn das Limit erreicht ist, werden alle neuen SSL Sitzungen als unentschlüsselt SSL durchlaufen. Verwenden Sie SSL diesen Befehl, um neue Sitzungen über das Sitzungslimit des Geräts hinaus zu CLI löschen:

> set deviceconfig setting ssl-decrypt deny-setup-failure yes


Um zu überprüfen, ob Sitzungen das Limit des Geräts erreichen, verwenden Sie diesen CLI Befehl:

> show counter global name proxy_flow_alloc_failure


Verwenden Sie diesen Befehl, um das SSL Entschlüsselungszertifikat CLI anzuzeigen:

> show system setting ssl-decrypt certificate
Certificates for Global

SSL Decryption CERT
global trusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8  f7                      ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1

global untrusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8  f7                      ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1

 

Verwenden SSL Sie diesen Befehl, um Entschlüsselungseinstellungen CLI anzuzeigen:

> show system setting ssl-decrypt setting

vsys                          : vsys1
Forward Proxy Ready          : yes
Inbound Proxy Ready          : no
Disable ssl                  : no
Disable ssl-decrypt          : no
Notify user                  : no
Proxy for URL                : no
Wait for URL                  : no
Block revoked Cert            : yes
Block timeout Cert            : no
Block unknown Cert            : no
Cert Status Query Timeout    : 5
URL Category Query Timeout    : 5
Fwd proxy server cert's key size: 0
Use Cert Cache                : yes
Verify CRL                    : no
Verify OCSP                  : no
CRL Status receive Timeout    : 5
OCSP Status receive Timeout  : 5
Block unknown Cert            : no

 

Additional Information


Eine Liste der Ressourcen zur SSL Entschlüsselung finden Sie im folgenden Knowledge-Artikel:
SSL Decryption Quick Reference - Resources

 

Weitere Informationen zu unterstützten Cipher Suites for SSL Decryption finden Sie unter:

SSL Entschlüsselung funktioniert nicht aufgrund nicht unterstützter Verschlüsselungssammlungen

Einschränkungen und Empfehlungen beim Implementieren der SSL Entschlüsselung

So identifizieren Sie die Ursache für SSL Entschlüsselungsfehler

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEZCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language