Para configurar SSL el descifrado:
- Configure el firewall tráfico para manejarlo y colóquelo en la red
- Asegúrese de que la entidad de certificación adecuada ( CA ) está en el firewall
- Configurar SSL reglas de descifrado
- Habilitar SSL página de notificación de descifrado (opcional)
- Confirmar cambios y probar el descifrado
Pasos para configurar SSL el descifrado
1. Configure el para manejar el tráfico y Firewall colóquelo en la red
Asegúrese de que las redes de Palo Alto firewall ya están configuradas con interfaces de trabajo (es decir, alambre virtual, capa 2 o capa 3), zonas, seguridad Policy y tráfico que ya pasa.
2. Cargar o generar un CA certificado en las redes de Palo Alto Firewall
A La entidad de certificación ( CA ) es necesaria para descifrar el tráfico correctamente mediante la generación de certificados sobre la SSL marcha. Cree un autofirmado CA en el o importe un firewall subordinado CA (desde su propia PKI infraestructura). Seleccione uno CA para el certificado de confianza de reenvío y otro CA para el certificado de desconfianza de reenvío para permitir el descifrar el firewall tráfico.
NOTE: Debido a SSL que los proveedores de certificados como Entrust, Verisign, Digicert y GoDaddy no venden CA, no son compatibles con SSL el descifrado.
Desde la firewall interfaz web, vaya a Certificadosde > del dispositivo. Carga o generar un certificado para entrante inspección o inspección saliente (proxy hacia adelante).
Generar un certificado autofirmado
Se recomienda usar un certificado autofirmado. Para obtener información sobre cómo generar un certificado autofirmado, revise el siguiente artículo conocimientos: Cómo generar un nuevo certificado autofirmado SSL .
Generar e importar un certificado de Microsoft Certificate Server
- En Microsoft Certificate Server para su organización, solicite un certificado avanzado mediante la plantilla de certificado CA "subordinada". Descargue el certificado.
- Después de descargar, exportar el certificado desde el almacén de certificados local. En Exploración de Internet ( IE ), acceda al cuadro de diálogo Opciones de Internet, seleccione la pestaña Contenido y, a continuación, haga clic en el botón Certificados . El nuevo certificado se puede exportar desde el almacén de certificados personales. Seleccione Asistente para exportación decertificados, exporte la clave privada y, a continuación, seleccione el formato. Introduzca una contraseña y un nombre de archivo y ubicación para el archivo resultante. El certificado estará en un PFX formato (PKCS #12).
- Para extraer el certificado, utilice este comando openSSL[4]:
openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys - Para extraer la clave, utilice este comando openSSL:
openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts - Importe el archivo cert.pem y el archivo keyfile.pem en palo alto networks firewall en la pestaña Dispositivo > pantalla Certificados.
- En el caso de un par de alta disponibilidad ( HA ), también cargue estos archivos en la segunda red de Palo firewall Alto, o copie el certificado y la clave a través del widget alta disponibilidad en el panel.
Los certificados de "Confiar en adelante" y "Adelante Untrust":
NOTE: Si usa un CA autofirmado, exporte el certificado público CA desde el certificado e instale el certificado como raíz de confianza en el explorador de cada equipo para evitar mensajes de error de certificado que no sean de confianza dentro de firewall su CA navegador. Los administradores de red suelen usar GPO para enviar este certificado a cada estación de trabajo.
IMPORTANT NOTE: nunca establezca ambas casillas de verificación "Certificado de confianza directa" y "Reenviar certificado de no confianza" en el mismo certificado y no tenga el "Certificado de no confianza de reenvío" implementado en una cadena de certificados de confianza. Si lo hace, hará que los dispositivos cliente presenten un certificado en el firewall CA que confíen, incluso cuando se conecten a sitios web o aplicaciones que presenten certificados no válidos al firewall archivo . |
A continuación se muestran algunos ejemplos de errores del navegador si no se confía en el CA certificado autofirmado.
Error de no confianza de CA Firefox:
Error de chrome que no es de CA confianza:
Internet Explorer error que no es de CA confianza:
3. Configurar SSL reglas de descifrado
El administrador de red determina lo que debe descifrarse. A pocas sugerencias para configurar SSL reglas de descifrado:
- Implementar las reglas en un enfoque por fases. Comience con reglas específicas para el descifrado y supervise el número típico de SSL conexiones que el dispositivo está descifrando.
- Evite descifrar las siguientes URL categorías, ya que los usuarios pueden considerar esto una invasión de la privacidad:
- Servicios financieros
- Salud y medicina
- Descifrar aplicaciones donde el servidor requiere certificados de cliente (para identificación).
- Puede bloquear o permitir conexiones que requieren autenticación de cliente a través de la característica de perfil de descifrado introducida en PAN-OS 5.0.
A continuación se muestra un ejemplo de una base de reglas de salida que sigue las sugerencias para el descifrado:
4. Habilitar SSL página web de notificación de descifrado (opcional)
- Se puede notificar al usuario que su SSL conexión se descifrará mediante la página de respuesta que se encuentra en la pestaña Dispositivo > pantalla Páginas de respuesta. Haga clic en Deshabilitado, active la opción Habilitar página de SSL exclusión y haga clic en OK .
La página de exclusión predeterminada SSL se puede exportar, editar a través de un HTML editor e importarse para proporcionar información específica de la empresa:
5. Probar descifrado saliente
Para probar el descifrado saliente:
- En la salida policy , asegúrese de que la acción está establecida para alertar de los virus encontrados. También, habilite la captura de paquetes en ese perfil de seguridad antivirus. Cometer los cambios realizados.
- En un PC interno al , vaya a firewall www.eicar.org. En la esquina superior derecha, debería ver esto:
- Haga clic en "Descargar anti-malware testfile."
- En la pantalla que aparece, desplázate hasta el final.
- Descargue el virus de prueba eicar utilizando HTTP . Cualquiera de estos cuatro archivos serán detectados.
- Vaya a la pestaña Monitor > registro de amenazas y, a continuación, busque el mensaje de registro que detecta el archivo eicar.
- Haga clic en la flecha verde en la columna de la izquierda para ver los paquetes capturados.
- Haga clic en la lupa de la columna del extremo izquierdo para ver los detalles del registro.
- Desplácese hasta la parte inferior y busca el campo "Decrypted." La sesión no fue descifrada:
- Vuelva a la página de descargas de www.eicar.org. Esta vez utilice SSL el protocolo habilitado para descargar el virus de HTTPS prueba.
- Examine los registros de amenazas. El virus debe haber sido detectado desde que la SSL conexión fue descifrada. A mensaje de registro que muestra eicar se detectó en la navegación web en el puerto 443 será visible.
- Vea la captura de paquetes haciendo clic la flecha verde.(opcional)
- A la izquierda de esa entrada de registro, haga clic en la lupa. Desplácese hasta la parte inferior. En Banderas, compruebe si la casilla "Descifrado" está marcada:
El virus se detectó correctamente en una SSL- sesión cifrada.
Para probar la regla "no descifrar":
- En primer lugar, determine qué direcciones URL pertenecen a los servicios financieros, las categorías de salud y medicina, y las categorías que el descifrado no está habilitado.Use Palo Alto Networks URL Filtering - Test A Site e ingrese a URL para identificar la categoría.
- Una vez que los sitios web se clasifican en categorías y no se descifrarán se encuentran, utilice un navegador para ir a esos sitios web utilizando HTTPS . No debe haber ningún error de certificado cuando va a esos sitios. Las páginas web se visualizará correctamente. Los registros de tráfico mostrarán las sesiones donde la aplicación SSL atraviesa el puerto 443, como se esperaba.
Para probar el descifrado entrante:
- Examine los registros de tráfico fechados antes de habilitar SSL el descifrado entrante en el firewall archivo . Mire el tráfico destinado a los servidores internos. En los registros de la aplicación detectada debe ser "ssl" va sobre el puerto 443.
- Desde una máquina fuera de la red, conéctese a través de SSL un servidor en el archivo DMZ . No habrá errores de certificado, ya que la conexión no se está proxied, simplemente inspeccionado.
- Examine los registros para esta conexión entrante. Las aplicaciones no serán "ssl", sino las aplicaciones reales que se encuentran dentro del SSL túnel. Haga clic en el icono de la lupa en esas entradas de registro para confirmar conexiones descifradas.
CLIComandos útiles
Para ver cuántas SSL sesiones de descifrado existentes están pasando por el dispositivo, utilice este CLI comando:
> estadísticas de la agrupación de datos de Debug | proxy de coincidencia
Salida de un PA-2050 , donde el primer comando muestra 1024 sesiones disponibles, y la salida del segundo comando muestra cinco sesiones que se SSL descifran (1024–1019=5):
admin @ test > estadísticas de la agrupación de datos de Debug | proxy de coincidencia
[18] sesión de proxy: 1019/1024 0x7f00723f1ee0
Para ver las sesiones activas que se han descifrado, utilice este CLI comando:
> show session all filter ssl-decrypt yes state active
Número máximo de SSL sesiones descifradas simultáneas en PAN-OS 4.1, 5.0, 6.0 y 6.1 (ambas direcciones combinadas):
Hardware | SSL Límite de sesión descifrado |
---|
VM-100 | 1.024 sesiones |
VM-200
| 1.024 sesiones |
VM-300 | 1.024 sesiones |
PA-200 | 1.024 sesiones |
PA-500 | 1.024 sesiones |
PA-2020 | 1.024 sesiones |
PA-2050 | 1.024 sesiones |
PA-3020 | sesiones de 7.936 |
PA-3050
| sesiones de 15.360 |
PA-3060 | sesiones de 15.360 |
PA-4020 | sesiones de 7.936 |
PA-4050 | sesiones de 23.808 |
PA-4060 | sesiones de 23.808 |
PA-5020 | 15.872 sesiones |
PA-5050 | 47.616 sesiones |
PA-5060 | 90.112 sesiones |
PA-7000-20G-NPC | sesiones de 131.072 |
PA-7050 | sesiones de 786.432 |
Si se alcanza el límite, todas las sesiones nuevas SSL pasan como sin SSL cifrar. Para caer cualquier nueva SSL sesión más allá del límite de sesión del dispositivo, utilice este CLI comando:
> set deviceconfig setting ssl-decrypt deny-setup-failure yes
Para comprobar si hay alguna sesión que alcance el límite del dispositivo, utilice este CLI comando:
> show counter global name proxy_flow_alloc_failure
Para ver el SSL certificado de descifrado, utilice este CLI comando:
> show system setting ssl-decrypt certificate
Certificates for Global
SSL Decryption CERT
global trusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8 f7 ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1
global untrusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8 f7 ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1
Para ver SSL la configuración de descifrado, utilice este CLI comando:
> show system setting ssl-decrypt setting
vsys : vsys1
Forward Proxy Ready : yes
Inbound Proxy Ready : no
Disable ssl : no
Disable ssl-decrypt : no
Notify user : no
Proxy for URL : no
Wait for URL : no
Block revoked Cert : yes
Block timeout Cert : no
Block unknown Cert : no
Cert Status Query Timeout : 5
URL Category Query Timeout : 5
Fwd proxy server cert's key size: 0
Use Cert Cache : yes
Verify CRL : no
Verify OCSP : no
CRL Status receive Timeout : 5
OCSP Status receive Timeout : 5
Block unknown Cert : no