Cómo implementar y probar SSL el descifrado

806564

Created On 09/25/18 17:18 PM - Last Modified 01/18/23 21:02 PM

Symptom

Visión general

PAN-OS puede descifrar e inspeccionar las conexiones entrantes y salientes SSL que pasan a través de una red palo alto . firewall SSL descifrado puede ocurrir en las interfaces en el cable virtual, capa 2, o capa 3 modo mediante el uso de la SSL base de reglas para configurar qué tráfico descifrar. En particular, el descifrado se puede basar en URL categorías, usuarios de origen y direcciones de origen/destino. IP Una vez descifrado el tráfico, las aplicaciones tunelizadas se pueden detectar y controlar, y los datos descifrados se pueden inspeccionar en busca de amenazas, URL filtrado, bloqueo de archivos o filtrado de datos. El tráfico descifrado también se puede enviar fuera del dispositivo mediante un espejo de puerto de descifrado (consulte Configurar la duplicación del puerto de descifrado ).

Environment

Palo Alto Firewalls.
Cualquier PAN-OS archivo .
SSL Descifrado.

Cause

SSLDescifrado entrante

En el caso del tráfico entrante a un servidor web o dispositivo interno, el administrador importa una copia del certificado y la clave privada del servidor protegido. Cuando se carga el certificado de SSL servidor en el y se configura un firewall SSL policy descifrado para el tráfico entrante, el dispositivo luego descifra y lee el tráfico a medida que se reenvía. No se realizan cambios a los paquetes de datos, y el canal seguro es desde el sistema del cliente al servidor interno. A firewall continuación, puede detectar contenido malicioso y controlar las aplicaciones que se ejecutan en este canal seguro.

SSLDescifrado saliente SSL (proxy de reenvío)

En este caso, los firewall servidores proxy salen conexiones SSL interceptando las solicitudes salientes SSL y generando un certificado sobre la marcha para el sitio que el usuario desea visitar. La fecha de validez del certificado generado se toma de la fecha de validez del PA-certificado de servidor real.

La autoridad emisora del PA-certificado generado es el dispositivo de Palo Alto Networks. Si el firewall certificado 's no forma parte de una jerarquía existente o no se agrega a la caché del navegador de un cliente, el cliente recibe una advertencia al navegar a un sitio web seguro. Si el certificado de servidor real ha sido emitido por una autoridad en la que no confía Palo Alto Networks firewall, entonces el certificado de descifrado está utilizando una segunda clave de autoridad de certificación "no confiable" (CA) para garantizar que el usuario sea advertido de cualquier ataque posterior de intermediario.

Resolution

Para configurar SSL el descifrado:

Configure el firewall tráfico para manejarlo y colóquelo en la red
Asegúrese de que la entidad de certificación adecuada ( CA ) está en el firewall
Configurar SSL reglas de descifrado
Habilitar SSL página de notificación de descifrado (opcional)
Confirmar cambios y probar el descifrado

Pasos para configurar SSL el descifrado

1. Configure el para manejar el tráfico y Firewall colóquelo en la red

Asegúrese de que las redes de Palo Alto firewall ya están configuradas con interfaces de trabajo (es decir, alambre virtual, capa 2 o capa 3), zonas, seguridad Policy y tráfico que ya pasa.

2. Cargar o generar un CA certificado en las redes de Palo Alto Firewall

A La entidad de certificación ( CA ) es necesaria para descifrar el tráfico correctamente mediante la generación de certificados sobre la SSL marcha. Cree un autofirmado CA en el o importe un firewall subordinado CA (desde su propia PKI infraestructura). Seleccione uno CA para el certificado de confianza de reenvío y otro CA para el certificado de desconfianza de reenvío para permitir el descifrar el firewall tráfico.

NOTE: Debido a SSL que los proveedores de certificados como Entrust, Verisign, Digicert y GoDaddy no venden CA, no son compatibles con SSL el descifrado.

Desde la firewall interfaz web, vaya a Certificadosde > del dispositivo. Carga o generar un certificado para entrante inspección o inspección saliente (proxy hacia adelante).

Generar un certificado autofirmado

Se recomienda usar un certificado autofirmado. Para obtener información sobre cómo generar un certificado autofirmado, revise el siguiente artículo conocimientos: Cómo generar un nuevo certificado autofirmado SSL .

Generar e importar un certificado de Microsoft Certificate Server

En Microsoft Certificate Server para su organización, solicite un certificado avanzado mediante la plantilla de certificado CA "subordinada". Descargue el certificado.
Después de descargar, exportar el certificado desde el almacén de certificados local. En Exploración de Internet ( IE ), acceda al cuadro de diálogo Opciones de Internet, seleccione la pestaña Contenido y, a continuación, haga clic en el botón Certificados . El nuevo certificado se puede exportar desde el almacén de certificados personales. Seleccione Asistente para exportación decertificados, exporte la clave privada y, a continuación, seleccione el formato. Introduzca una contraseña y un nombre de archivo y ubicación para el archivo resultante. El certificado estará en un PFX formato (PKCS #12).
Para extraer el certificado, utilice este comando openSSL[4]:
openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys
Para extraer la clave, utilice este comando openSSL:
openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts
Importe el archivo cert.pem y el archivo keyfile.pem en palo alto networks firewall en la pestaña Dispositivo > pantalla Certificados.
En el caso de un par de alta disponibilidad ( HA ), también cargue estos archivos en la segunda red de Palo firewall Alto, o copie el certificado y la clave a través del widget alta disponibilidad en el panel.

Los certificados de "Confiar en adelante" y "Adelante Untrust":

Ejemplo de un certificado de Forward Trust

Ejemplo de un certificado Forward Untrust

NOTE: Si usa un CA autofirmado, exporte el certificado público CA desde el certificado e instale el certificado como raíz de confianza en el explorador de cada equipo para evitar mensajes de error de certificado que no sean de confianza dentro de firewall su CA navegador. Los administradores de red suelen usar GPO para enviar este certificado a cada estación de trabajo.

IMPORTANT NOTE: nunca establezca ambas casillas de verificación "Certificado de confianza directa" y "Reenviar certificado de no confianza" en el mismo certificado y no tenga el "Certificado de no confianza de reenvío" implementado en una cadena de certificados de confianza. Si lo hace, hará que los dispositivos cliente presenten un certificado en el firewall CA que confíen, incluso cuando se conecten a sitios web o aplicaciones que presenten certificados no válidos al firewall archivo .

A continuación se muestran algunos ejemplos de errores del navegador si no se confía en el CA certificado autofirmado.

Error de no confianza de CA Firefox:

El navegador Firefox da un error debido a que se presenta un certificado que no es de confianza CA

Error de chrome que no es de CA confianza:

El navegador Chrome da un error debido a que se presenta un certificado que no es de confianza CA

Internet Explorer error que no es de CA confianza:

Navegador Internet Explorer ( IE ) que da un error debido a que se presenta un certificado que no es de confianza CA

3. Configurar SSL reglas de descifrado

El administrador de red determina lo que debe descifrarse. A pocas sugerencias para configurar SSL reglas de descifrado:

Implementar las reglas en un enfoque por fases. Comience con reglas específicas para el descifrado y supervise el número típico de SSL conexiones que el dispositivo está descifrando.
Evite descifrar las siguientes URL categorías, ya que los usuarios pueden considerar esto una invasión de la privacidad:
- Servicios financieros
- Salud y medicina
Descifrar aplicaciones donde el servidor requiere certificados de cliente (para identificación).
- Puede bloquear o permitir conexiones que requieren autenticación de cliente a través de la característica de perfil de descifrado introducida en PAN-OS 5.0.

A continuación se muestra un ejemplo de una base de reglas de salida que sigue las sugerencias para el descifrado:

Ejemplo de una base de reglas de salida siguiendo sugerencias para el descifrado

4. Habilitar SSL página web de notificación de descifrado (opcional)

Se puede notificar al usuario que su SSL conexión se descifrará mediante la página de respuesta que se encuentra en la pestaña Dispositivo > pantalla Páginas de respuesta. Haga clic en Deshabilitado, active la opción Habilitar página de SSL exclusión y haga clic en OK .

La página de exclusión predeterminada SSL se puede exportar, editar a través de un HTML editor e importarse para proporcionar información específica de la empresa:

SSL página de exclusión que se muestra

5. Probar descifrado saliente

Para probar el descifrado saliente:

En la salida policy , asegúrese de que la acción está establecida para alertar de los virus encontrados. También, habilite la captura de paquetes en ese perfil de seguridad antivirus. Cometer los cambios realizados.
En un PC interno al , vaya a firewall www.eicar.org. En la esquina superior derecha, debería ver esto:
Haga clic en "Descargar anti-malware testfile."
En la pantalla que aparece, desplázate hasta el final.
Descargue el virus de prueba eicar utilizando HTTP . Cualquiera de estos cuatro archivos serán detectados.

Zona de descarga de Eicar

Vaya a la pestaña Monitor > registro de amenazas y, a continuación, busque el mensaje de registro que detecta el archivo eicar.

Haga clic en la flecha verde en la columna de la izquierda para ver los paquetes capturados.

Haga clic en la lupa de la columna del extremo izquierdo para ver los detalles del registro.

Desplácese hasta la parte inferior y busca el campo "Decrypted." La sesión no fue descifrada:

Vuelva a la página de descargas de www.eicar.org. Esta vez utilice SSL el protocolo habilitado para descargar el virus de HTTPS prueba.

Examine los registros de amenazas. El virus debe haber sido detectado desde que la SSL conexión fue descifrada. A mensaje de registro que muestra eicar se detectó en la navegación web en el puerto 443 será visible.

Vea la captura de paquetes haciendo clic la flecha verde.(opcional)

A la izquierda de esa entrada de registro, haga clic en la lupa. Desplácese hasta la parte inferior. En Banderas, compruebe si la casilla "Descifrado" está marcada:

El virus se detectó correctamente en una SSL- sesión cifrada.

Para probar la regla "no descifrar":

En primer lugar, determine qué direcciones URL pertenecen a los servicios financieros, las categorías de salud y medicina, y las categorías que el descifrado no está habilitado.Use Palo Alto Networks URL Filtering - Test A Site e ingrese a URL para identificar la categoría.
Una vez que los sitios web se clasifican en categorías y no se descifrarán se encuentran, utilice un navegador para ir a esos sitios web utilizando HTTPS . No debe haber ningún error de certificado cuando va a esos sitios. Las páginas web se visualizará correctamente. Los registros de tráfico mostrarán las sesiones donde la aplicación SSL atraviesa el puerto 443, como se esperaba.

Para probar el descifrado entrante:

Examine los registros de tráfico fechados antes de habilitar SSL el descifrado entrante en el firewall archivo . Mire el tráfico destinado a los servidores internos. En los registros de la aplicación detectada debe ser "ssl" va sobre el puerto 443.
Desde una máquina fuera de la red, conéctese a través de SSL un servidor en el archivo DMZ . No habrá errores de certificado, ya que la conexión no se está proxied, simplemente inspeccionado.
Examine los registros para esta conexión entrante. Las aplicaciones no serán "ssl", sino las aplicaciones reales que se encuentran dentro del SSL túnel. Haga clic en el icono de la lupa en esas entradas de registro para confirmar conexiones descifradas.

CLIComandos útiles

Para ver cuántas SSL sesiones de descifrado existentes están pasando por el dispositivo, utilice este CLI comando:

> estadísticas de la agrupación de datos de Debug | proxy de coincidencia

Salida de un PA-2050 , donde el primer comando muestra 1024 sesiones disponibles, y la salida del segundo comando muestra cinco sesiones que se SSL descifran (1024–1019=5):

admin @ test > estadísticas de la agrupación de datos de Debug | proxy de coincidencia

[18] sesión de proxy: 1019/1024 0x7f00723f1ee0

Para ver las sesiones activas que se han descifrado, utilice este CLI comando:

> show session all filter ssl-decrypt yes state active

Número máximo de SSL sesiones descifradas simultáneas en PAN-OS 4.1, 5.0, 6.0 y 6.1 (ambas direcciones combinadas):

Hardware	SSL Límite de sesión descifrado
VM-100	1.024 sesiones
VM-200	1.024 sesiones
VM-300	1.024 sesiones
PA-200	1.024 sesiones
PA-500	1.024 sesiones
PA-2020	1.024 sesiones
PA-2050	1.024 sesiones
PA-3020	sesiones de 7.936
PA-3050	sesiones de 15.360
PA-3060	sesiones de 15.360
PA-4020	sesiones de 7.936
PA-4050	sesiones de 23.808
PA-4060	sesiones de 23.808
PA-5020	15.872 sesiones
PA-5050	47.616 sesiones
PA-5060	90.112 sesiones
PA-7000-20G-NPC	sesiones de 131.072
PA-7050	sesiones de 786.432

Si se alcanza el límite, todas las sesiones nuevas SSL pasan como sin SSL cifrar. Para caer cualquier nueva SSL sesión más allá del límite de sesión del dispositivo, utilice este CLI comando:

> set deviceconfig setting ssl-decrypt deny-setup-failure yes

Para comprobar si hay alguna sesión que alcance el límite del dispositivo, utilice este CLI comando:

> show counter global name proxy_flow_alloc_failure

Para ver el SSL certificado de descifrado, utilice este CLI comando:

> show system setting ssl-decrypt certificate

Certificates for Global

SSL Decryption CERT
global trusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8  f7                      ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1

global untrusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8  f7                      ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1

Para ver SSL la configuración de descifrado, utilice este CLI comando:

> show system setting ssl-decrypt setting

vsys                          : vsys1
Forward Proxy Ready          : yes
Inbound Proxy Ready          : no
Disable ssl                  : no
Disable ssl-decrypt          : no
Notify user                  : no
Proxy for URL                : no
Wait for URL                  : no
Block revoked Cert            : yes
Block timeout Cert            : no
Block unknown Cert            : no
Cert Status Query Timeout    : 5
URL Category Query Timeout    : 5
Fwd proxy server cert's key size: 0
Use Cert Cache                : yes
Verify CRL                    : no
Verify OCSP                  : no
CRL Status receive Timeout    : 5
OCSP Status receive Timeout  : 5
Block unknown Cert            : no

Additional Information

Para obtener una lista de los recursos sobre SSL descifrado, consulte el siguiente artículo de conocimiento:
SSL Descifrado referencia rápida - Recursos

Para obtener más información sobre las suites de cifrado compatibles para SSL el descifrado, consulte lo siguiente:

SSL Descifrado no funciona debido a suites de cifrado no compatibles

Limitaciones y recomendaciones al implementar SSL el descifrado

Cómo identificar la causa raíz de los problemas de error de SSL descifrado