Comment implémenter et tester SSL le décryptage

806622

Created On 09/25/18 17:18 PM - Last Modified 01/18/23 20:52 PM

Symptom

Aperçu

PAN-OS peut décrypter et inspecter les connexions entrantes et SSL sortantes en passant par un réseau De Palo Alto firewall . SSL le décryptage peut se produire sur les interfaces en fil virtuel, couche 2, ou couche 3 mode en utilisant SSL la base de règles pour configurer quel trafic à décrypter. En particulier, le décryptage peut être basé sur des URL catégories, des utilisateurs sources et des adresses source/destination. IP Une fois le trafic décrypté, les applications tunnelées peuvent être détectées et contrôlées, et les données décryptées peuvent être inspectées à la recherche de menaces, de filtrage, de blocage de fichiers ou de URL filtrage de données. Le trafic déchiffré peut également être envoyé hors de l’appareil à l’aide d’un miroir de port de déchiffrement (voir Configurer la mise en miroir de ports de déchiffrement ).

Environment

Pare-feu de Palo Alto.
Tout PAN-OS fichier .
SSL Décryptage.

Cause

SSLDécryptage entrant

Dans le cas d’un trafic entrant vers un serveur ou un périphérique Web interne, l’administrateur importe une copie du certificat du serveur protégé et de la clé privée. Lorsque le SSL certificat de serveur est chargé sur le et firewall SSL qu’un décryptage policy est configuré pour le trafic entrant, l’appareil décrypte et lit le trafic au fur et à mesure qu’il est transmis. Aucune modifications ne sont apportées aux données de paquet, et le canal sécurisé est du système client vers le serveur interne. Le firewall peut alors détecter le contenu malveillant et contrôler les applications exécutées sur ce canal sécurisé.

SSLDécryptage sortant SSL (proxy avant)

Dans ce cas, les firewall procurations des connexions SSL sortantes en interceptant les demandes SSL sortantes et en générant un certificat à la volée pour le site que l’utilisateur veut visiter. La date de validité du certificat généré est déduite de la date de validité du PA-certificat de serveur réel.

L’autorité émettrice du PA-certificat généré est le périphérique Palo Alto Networks. Si le firewall certificat ne fait pas partie d’une hiérarchie existante ou n’est pas ajouté au cache de navigateur d’un client, alors le client reçoit un avertissement lors de la navigation sur un site Web sécurisé. Si le certificat de serveur réel a été émis par une autorité non approuvée par Palo Alto Networks firewall, le certificat de déchiffrement utilise une deuxième clé d’autorité de certification (CA) « non approuvée » pour s’assurer que l’utilisateur est averti de toute attaque ultérieure de l’intercepteur.

Resolution

Pour configurer SSL le décryptage :

Configurer firewall le trafic pour gérer et le placer dans le réseau
Assurez-vous que l’autorité de certificat CA appropriée ( ) est sur le firewall
Configurer SSL les règles de décryptage
Activer la SSL page de notification de décryptage (facultatif)
Valider les modifications et le décryptage des tests

Étapes pour configurer SSL le décryptage

1. Configurer le trafic pour gérer et le placer dans le Firewall réseau

Assurez-vous que les réseaux Palo Alto firewall sont déjà configurés avec des interfaces de travail (c.-à-d. virtual wire, layer 2 ou layer 3), zones, Policy sécurité et trafic déjà en cours.

2. Charger ou générer un CA certificat sur les réseaux de Palo Alto Firewall

A Certificate Authority CA () est tenu de décrypter correctement le trafic en générant SSL des certificats à la volée. Créez un autosigné CA sur le subordonné ou firewall importez-le CA (à partir de votre propre PKI infrastructure). Sélectionnez-en un pour le certificat d’approbation de transfert et un autre CA pour le certificat de non-approbation CA de transfert afin d’activer le déchiffrement du firewall trafic.

NOTE: Étant donné que SSL les fournisseurs de certificats tels qu’Entrust, Verisign, Digicert et GoDaddy ne vendent pas d’autorités de certification, ils ne sont pas pris en charge dans SSL Decryption.

Depuis firewall l’interface Web, rendez-vous sur Device > Certificates. Charger ou générer un certificat pour inspection entrante ou inspection sortants (en mode proxy direct).

Générer un certificat auto-signé

À l’aide d’un certificat auto-signé est recommandé. Pour plus d’informations sur la génération d’un certificat auto-signé, veuillez consulter l’article de connaissances suivant : Comment générer un nouveau certificat autosigné SSL .

Production et importation d’un certificat de serveur de certificats Microsoft

Sur le serveur de certificat Microsoft pour votre organisation, demandez un certificat avancé en utilisant le modèle de certificat « subordonné CA ». Téléchargez le cert.
Après le téléchargement, exportez le certificat du magasin de certificats local. Dans Internet Explore ( IE ), accédez au dialogue Options Internet, sélectionnez l’onglet Contenu,puis cliquez sur le bouton Certificats . Le nouveau certificat peut être exporté à partir du magasin de certificats personnels. Sélectionnez Certificate Export Wizard,exportez la clé privée, puis sélectionnez le format. Entrez un mot de passe et un nom de fichier et un emplacement pour le fichier rΘsultat. Le certificat sera dans un PFX format (PKCS #12).
Pour extraire le certificat, utilisez cette commande openSSL[4] :
openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys
Pour extraire la clé, utilisez cette commande openSSL :
openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts
Importer le fichier cert.pem et le fichier keyfile.pem dans les réseaux Palo Alto sur firewall l’onglet Périphérique > certificats.
Dans le cas d’une paire haute disponibilité ( HA ) chargez également ces fichiers dans le deuxième Palo Alto Networks firewall , ou copiez le certificat et la clé via le widget Haute Disponibilité sur le tableau de bord.

Les certificats « Forward Trust » et « Forward Untrust » :

Exemple de certificat Forward Trust

Exemple d’un certificat Forward Untrust

NOTE: Si vous utilisez un auto-signé, exportez le certificat public à partir du certificat et installez le certificat comme racine CA de confiance sur le navigateur de chaque machine pour éviter les messages CA firewall CA d’erreur de certificat non fiables à l’intérieur de votre navigateur. Les administrateurs réseau utilisent habituellement GPO pour pousser ce certificat à chaque poste de travail.

IMPORTANT NOTE: Ne définissez jamais les deux cases à cocher « Certificat de fiducie à l’avance » et « Certificat de non-confiance à l’avance » dans le même certificat, et n’avez pas le « certificat de non-confiance à l’avance » déployé sous une chaîne de certificats de confiance. Si vous faites cela, il provoquera le de présenter aux firewall appareils clients avec un certificat en qui ils ont CA confiance, même quand ils se connectent à des sites Web ou des applications qui se présentent avec des certificats invalides à la firewall .

Voici quelques exemples d’erreurs de navigateur si le certificat auto-signé CA n’est pas fiable.

Erreur non commise de CA Firefox :

Navigateur Firefox donnant une erreur due à un certificat CA non sécurisé présenté

Erreur non commise de CA Chrome :

Navigateur Chrome donnant une erreur due à la présentation d’un CA certificat non sécurisé

Internet Explorer erreur CA nontrusted:

Internet Explorer ( IE ) navigateur donnant une erreur due à un certificat non sécurisé CA présenté

3. Configurer les SSL règles de décryptage

L’administrateur réseau détermine ce qui doit être déchiffré. A quelques suggestions pour configurer les SSL règles de décryptage :

Règles de mise en oeuvre dans une approche par étapes. Commencez par des règles spécifiques de décryptage et surveillez le nombre typique SSL de connexions décryptées par l’appareil.
Évitez de décrypter les catégories URL suivantes, car les utilisateurs peuvent considérer qu’il s’agit d’une atteinte à la vie privée :
- services
- Santé et médecine
Pas déchiffrer les applications où le serveur nécessite des certificats côté client (pour identification).
- Vous pouvez bloquer ou autoriser les connexions nécessitant une authentification client via la fonction de profil de décryptage introduite PAN-OS dans 5.0.

Voici un exemple d’une base de règles sortante suite à des suggestions de décryptage :

Exemple d’une base de règles sortante suite à des suggestions de décryptage

4. Activer la SSL page Web de notification de décryptage (facultatif)

L’utilisateur peut être informé que sa connexion SSL sera décryptée à l’aide de la page de réponse trouvée sur l’onglet Périphérique > de pages de réponse. Cliquez sur Désactivé,consultez l’option SSL Activer la page d’opt-out et cliquez OK sur .

La SSL page d’opt-out par défaut peut être exportée, éditée via un HTML éditeur et importée pour fournir des informations spécifiques à l’entreprise :

SSL page d’opt-out affichée

5. Testez le décryptage sortant

Pour tester le déchiffrement sortant :

À l’aller, policy assurez-vous que l’action est réglée pour alerter tous les virus trouvés. En outre, activer la capture de paquets sur ce profil de sécurité anti-virus. Valider toutes les modifications apportées.
Sur un PC interne à la , aller à firewall www.eicar.org. Dans le coin supérieur droit, vous devriez voir ceci :
Cliquez sur « Télécharger antivirus testfile. »
Dans l’écran qui apparaît, faites défiler vers le bas.
Téléchargez le virus de test eicar à l’aide HTTP . Aucun de ces quatre fichiers seront détectés.

Zone de téléchargement Eicar

Allez à l’onglet Monitor > journal menace, puis recherchez le message journal qui détecte le fichier eicar.

Cliquez sur la flèche verte dans la colonne de gauche pour afficher les paquets capturés.

Cliquez sur la loupe dans la colonne d’extrême gauche pour voir le détail du journal.

Faites défiler vers le bas et recherchez le champ « Decrypted. » La session n’a pas déchiffrée :

Revenez à la page www.eicar.org téléchargements. Cette utilisation de temps SSL a permis le protocole pour télécharger le virus de HTTPS test.

Examinez les journaux de menaces. Le virus aurait dû être détecté depuis que la SSL connexion a été décryptée. A le message journal qui montre eicar a été détecté dans la navigation web sur le port 443 sera visible.

Voir la capture du paquet en cliquant sur la flèche verte.(facultatif)

À gauche de cette entrée de journal, cliquez sur la loupe. Faites défiler vers le bas. Sous Drapeaux, vérifiez si la case « Décryptée » est cochée :

Le virus a été détecté avec succès lors SSL- d’une session cryptée.

Pour tester la règle du « non-décryptage » :

Tout d’abord, déterminez quelles URL entrent dans les catégories des services financiers, de la santé et de la médecine, et toutes les catégories que le décryptage n’est pas activée.Utilisez Palo Alto Networks URL Filtering - Test A Site et entrez un URL pour identifier la catégorie.
Une fois que les sites Web sont classés en catégories et ne seront pas décryptés sont trouvés, utilisez un navigateur pour aller à ces sites Web en utilisant HTTPS . Il ne devrait y avoir aucune erreur de certificat lorsque vous allez à ces sites. Les pages web s’afficheront correctement. Les journaux de trafic afficheront les sessions où SSL l’application traverse le port 443, comme prévu.

Pour tester le déchiffrement entrant :

Examinez les journaux de trafic datés avant SSL d’activer le décryptage entrant sur le firewall . Regarder le trafic ciblé pour les serveurs internes. Dans les journaux, l’application a détecté doit « ssl » aller sur le port 443.
À partir d’une machine en dehors du réseau, SSL connectez-vous via un serveur dans le DMZ . Il n’y aura pas d’erreurs de certificat, car la connexion n’est pas proxied- vient d’être inspecté.
Examinez les journaux pour cette connexion entrante. Les applications ne seront pas « ssl », mais les applications réelles trouvées à l’intérieur du SSL tunnel. Cliquez sur l’icône de loupe dans ces entrées de journal pour confirmer les connexions décryptées.

Commandes CLI utiles

Pour voir combien de sessions SSL de décryptage existantes passent par l’appareil, utilisez cette CLI commande :

> Debug dataplane pool statistiques | proxy de correspondance

Sortie d’un PA-2050 , où la première commande affiche 1024 sessions disponibles, et la sortie de la deuxième SSL commande montre cinq sessions en cours de décryptage (1024-1019=5):

admin @ test > Debug dataplane pool statistiques | proxy de correspondance

[18] session proxy: 1019/1024 0x7f00723f1ee0

Pour voir les sessions actives qui ont été décryptées, utilisez cette CLI commande :

> show session all filter ssl-decrypt yes state active

Nombre maximum SSL de séances décryptées simultanées PAN-OS en 4,1, 5,0, 6,0 et 6,1 (les deux directions combinées) :

Hardware	SSL Limite de session décryptée
VM-100	sessions de 1 024
VM-200	sessions de 1 024
VM-300	sessions de 1 024
PA-200	sessions de 1 024
PA-500	sessions de 1 024
PA-2020	sessions de 1 024
PA-2050	sessions de 1 024
PA-3020	séances 7 936
PA-3050	séances 15 360
PA-3060	séances 15 360
PA-4020	séances 7 936
PA-4050	23 808 séances
PA-4060	23 808 séances
PA-5020	15 872 sessions
PA-5050	sessions 47 616
PA-5060	90 112 séances
PA-7000-20G-NPC	séances de 131 072
PA-7050	786 432 séances

Si la limite est atteinte, toutes les SSL nouvelles sessions passent sous forme de non décryptées. SSL Pour laisser tomber toute nouvelle SSL session au-delà de la limite de session de l’appareil, utilisez CLI cette commande :

> set deviceconfig setting ssl-decrypt deny-setup-failure yes

Pour vérifier s’il y a des sessions atteignant la limite de l’appareil, utilisez cette CLI commande :

> show counter global name proxy_flow_alloc_failure

Pour afficher le SSL certificat de décryptage, utilisez cette CLI commande :

> show system setting ssl-decrypt certificate

Certificates for Global

SSL Decryption CERT
global trusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8  f7                      ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1

global untrusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8  f7                      ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1

Pour afficher les SSL paramètres de décryptage, utilisez cette CLI commande :

> show system setting ssl-decrypt setting

vsys                          : vsys1
Forward Proxy Ready          : yes
Inbound Proxy Ready          : no
Disable ssl                  : no
Disable ssl-decrypt          : no
Notify user                  : no
Proxy for URL                : no
Wait for URL                  : no
Block revoked Cert            : yes
Block timeout Cert            : no
Block unknown Cert            : no
Cert Status Query Timeout    : 5
URL Category Query Timeout    : 5
Fwd proxy server cert's key size: 0
Use Cert Cache                : yes
Verify CRL                    : no
Verify OCSP                  : no
CRL Status receive Timeout    : 5
OCSP Status receive Timeout  : 5
Block unknown Cert            : no

Additional Information

Pour une liste de ressources sur le SSL décryptage, veuillez consulter l’article suivant :
SSL Décryptage quick reference - Ressources

Pour plus d’informations sur cipher suites prises en charge SSL pour le décryptage, veuillez vous référer à ce qui suit:

SSL Décryptage ne fonctionne pas en raison de suites cipher non pris en charge

Limitations et recommandations lors de la mise en œuvre du SSL déchiffrement

Comment identifier la cause première des SSL problèmes d’échec de déchiffrement