Pour configurer SSL le décryptage :
- Configurer firewall le trafic pour gérer et le placer dans le réseau
- Assurez-vous que l’autorité de certificat CA appropriée ( ) est sur le firewall
- Configurer SSL les règles de décryptage
- Activer la SSL page de notification de décryptage (facultatif)
- Valider les modifications et le décryptage des tests
Étapes pour configurer SSL le décryptage
1. Configurer le trafic pour gérer et le placer dans le Firewall réseau
Assurez-vous que les réseaux Palo Alto firewall sont déjà configurés avec des interfaces de travail (c.-à-d. virtual wire, layer 2 ou layer 3), zones, Policy sécurité et trafic déjà en cours.
2. Charger ou générer un CA certificat sur les réseaux de Palo Alto Firewall
A Certificate Authority CA () est tenu de décrypter correctement le trafic en générant SSL des certificats à la volée. Créez un autosigné CA sur le subordonné ou firewall importez-le CA (à partir de votre propre PKI infrastructure). Sélectionnez-en un pour le certificat d’approbation de transfert et un autre CA pour le certificat de non-approbation CA de transfert afin d’activer le déchiffrement du firewall trafic.
NOTE: Étant donné que SSL les fournisseurs de certificats tels qu’Entrust, Verisign, Digicert et GoDaddy ne vendent pas d’autorités de certification, ils ne sont pas pris en charge dans SSL Decryption.
Depuis firewall l’interface Web, rendez-vous sur Device > Certificates. Charger ou générer un certificat pour inspection entrante ou inspection sortants (en mode proxy direct).
Générer un certificat auto-signé
À l’aide d’un certificat auto-signé est recommandé. Pour plus d’informations sur la génération d’un certificat auto-signé, veuillez consulter l’article de connaissances suivant : Comment générer un nouveau certificat autosigné SSL .
Production et importation d’un certificat de serveur de certificats Microsoft
- Sur le serveur de certificat Microsoft pour votre organisation, demandez un certificat avancé en utilisant le modèle de certificat « subordonné CA ». Téléchargez le cert.
- Après le téléchargement, exportez le certificat du magasin de certificats local. Dans Internet Explore ( IE ), accédez au dialogue Options Internet, sélectionnez l’onglet Contenu,puis cliquez sur le bouton Certificats . Le nouveau certificat peut être exporté à partir du magasin de certificats personnels. Sélectionnez Certificate Export Wizard,exportez la clé privée, puis sélectionnez le format. Entrez un mot de passe et un nom de fichier et un emplacement pour le fichier rΘsultat. Le certificat sera dans un PFX format (PKCS #12).
- Pour extraire le certificat, utilisez cette commande openSSL[4] :
openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys - Pour extraire la clé, utilisez cette commande openSSL :
openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts - Importer le fichier cert.pem et le fichier keyfile.pem dans les réseaux Palo Alto sur firewall l’onglet Périphérique > certificats.
- Dans le cas d’une paire haute disponibilité ( HA ) chargez également ces fichiers dans le deuxième Palo Alto Networks firewall , ou copiez le certificat et la clé via le widget Haute Disponibilité sur le tableau de bord.
Les certificats « Forward Trust » et « Forward Untrust » :
NOTE: Si vous utilisez un auto-signé, exportez le certificat public à partir du certificat et installez le certificat comme racine CA de confiance sur le navigateur de chaque machine pour éviter les messages CA firewall CA d’erreur de certificat non fiables à l’intérieur de votre navigateur. Les administrateurs réseau utilisent habituellement GPO pour pousser ce certificat à chaque poste de travail.
IMPORTANT NOTE: Ne définissez jamais les deux cases à cocher « Certificat de fiducie à l’avance » et « Certificat de non-confiance à l’avance » dans le même certificat, et n’avez pas le « certificat de non-confiance à l’avance » déployé sous une chaîne de certificats de confiance. Si vous faites cela, il provoquera le de présenter aux firewall appareils clients avec un certificat en qui ils ont CA confiance, même quand ils se connectent à des sites Web ou des applications qui se présentent avec des certificats invalides à la firewall . |
Voici quelques exemples d’erreurs de navigateur si le certificat auto-signé CA n’est pas fiable.
Erreur non commise de CA Firefox :
Erreur non commise de CA Chrome :
Internet Explorer erreur CA nontrusted:
3. Configurer les SSL règles de décryptage
L’administrateur réseau détermine ce qui doit être déchiffré. A quelques suggestions pour configurer les SSL règles de décryptage :
- Règles de mise en oeuvre dans une approche par étapes. Commencez par des règles spécifiques de décryptage et surveillez le nombre typique SSL de connexions décryptées par l’appareil.
- Évitez de décrypter les catégories URL suivantes, car les utilisateurs peuvent considérer qu’il s’agit d’une atteinte à la vie privée :
- services
- Santé et médecine
- Pas déchiffrer les applications où le serveur nécessite des certificats côté client (pour identification).
- Vous pouvez bloquer ou autoriser les connexions nécessitant une authentification client via la fonction de profil de décryptage introduite PAN-OS dans 5.0.
Voici un exemple d’une base de règles sortante suite à des suggestions de décryptage :
4. Activer la SSL page Web de notification de décryptage (facultatif)
- L’utilisateur peut être informé que sa connexion SSL sera décryptée à l’aide de la page de réponse trouvée sur l’onglet Périphérique > de pages de réponse. Cliquez sur Désactivé,consultez l’option SSL Activer la page d’opt-out et cliquez OK sur .
La SSL page d’opt-out par défaut peut être exportée, éditée via un HTML éditeur et importée pour fournir des informations spécifiques à l’entreprise :
5. Testez le décryptage sortant
Pour tester le déchiffrement sortant :
- À l’aller, policy assurez-vous que l’action est réglée pour alerter tous les virus trouvés. En outre, activer la capture de paquets sur ce profil de sécurité anti-virus. Valider toutes les modifications apportées.
- Sur un PC interne à la , aller à firewall www.eicar.org. Dans le coin supérieur droit, vous devriez voir ceci :
- Cliquez sur « Télécharger antivirus testfile. »
- Dans l’écran qui apparaît, faites défiler vers le bas.
- Téléchargez le virus de test eicar à l’aide HTTP . Aucun de ces quatre fichiers seront détectés.
- Allez à l’onglet Monitor > journal menace, puis recherchez le message journal qui détecte le fichier eicar.
- Cliquez sur la flèche verte dans la colonne de gauche pour afficher les paquets capturés.
- Cliquez sur la loupe dans la colonne d’extrême gauche pour voir le détail du journal.
- Faites défiler vers le bas et recherchez le champ « Decrypted. » La session n’a pas déchiffrée :
- Revenez à la page www.eicar.org téléchargements. Cette utilisation de temps SSL a permis le protocole pour télécharger le virus de HTTPS test.
- Examinez les journaux de menaces. Le virus aurait dû être détecté depuis que la SSL connexion a été décryptée. A le message journal qui montre eicar a été détecté dans la navigation web sur le port 443 sera visible.
- Voir la capture du paquet en cliquant sur la flèche verte.(facultatif)
- À gauche de cette entrée de journal, cliquez sur la loupe. Faites défiler vers le bas. Sous Drapeaux, vérifiez si la case « Décryptée » est cochée :
Le virus a été détecté avec succès lors SSL- d’une session cryptée.
Pour tester la règle du « non-décryptage » :
- Tout d’abord, déterminez quelles URL entrent dans les catégories des services financiers, de la santé et de la médecine, et toutes les catégories que le décryptage n’est pas activée.Utilisez Palo Alto Networks URL Filtering - Test A Site et entrez un URL pour identifier la catégorie.
- Une fois que les sites Web sont classés en catégories et ne seront pas décryptés sont trouvés, utilisez un navigateur pour aller à ces sites Web en utilisant HTTPS . Il ne devrait y avoir aucune erreur de certificat lorsque vous allez à ces sites. Les pages web s’afficheront correctement. Les journaux de trafic afficheront les sessions où SSL l’application traverse le port 443, comme prévu.
Pour tester le déchiffrement entrant :
- Examinez les journaux de trafic datés avant SSL d’activer le décryptage entrant sur le firewall . Regarder le trafic ciblé pour les serveurs internes. Dans les journaux, l’application a détecté doit « ssl » aller sur le port 443.
- À partir d’une machine en dehors du réseau, SSL connectez-vous via un serveur dans le DMZ . Il n’y aura pas d’erreurs de certificat, car la connexion n’est pas proxied- vient d’être inspecté.
- Examinez les journaux pour cette connexion entrante. Les applications ne seront pas « ssl », mais les applications réelles trouvées à l’intérieur du SSL tunnel. Cliquez sur l’icône de loupe dans ces entrées de journal pour confirmer les connexions décryptées.
Commandes CLI utiles
Pour voir combien de sessions SSL de décryptage existantes passent par l’appareil, utilisez cette CLI commande :
> Debug dataplane pool statistiques | proxy de correspondance
Sortie d’un PA-2050 , où la première commande affiche 1024 sessions disponibles, et la sortie de la deuxième SSL commande montre cinq sessions en cours de décryptage (1024-1019=5):
admin @ test > Debug dataplane pool statistiques | proxy de correspondance
[18] session proxy: 1019/1024 0x7f00723f1ee0
Pour voir les sessions actives qui ont été décryptées, utilisez cette CLI commande :
> show session all filter ssl-decrypt yes state active
Nombre maximum SSL de séances décryptées simultanées PAN-OS en 4,1, 5,0, 6,0 et 6,1 (les deux directions combinées) :
Hardware | SSL Limite de session décryptée |
---|
VM-100 | sessions de 1 024 |
VM-200
| sessions de 1 024 |
VM-300 | sessions de 1 024 |
PA-200 | sessions de 1 024 |
PA-500 | sessions de 1 024 |
PA-2020 | sessions de 1 024 |
PA-2050 | sessions de 1 024 |
PA-3020 | séances 7 936 |
PA-3050
| séances 15 360 |
PA-3060 | séances 15 360 |
PA-4020 | séances 7 936 |
PA-4050 | 23 808 séances |
PA-4060 | 23 808 séances |
PA-5020 | 15 872 sessions |
PA-5050 | sessions 47 616 |
PA-5060 | 90 112 séances |
PA-7000-20G-NPC | séances de 131 072 |
PA-7050 | 786 432 séances |
Si la limite est atteinte, toutes les SSL nouvelles sessions passent sous forme de non décryptées. SSL Pour laisser tomber toute nouvelle SSL session au-delà de la limite de session de l’appareil, utilisez CLI cette commande :
> set deviceconfig setting ssl-decrypt deny-setup-failure yes
Pour vérifier s’il y a des sessions atteignant la limite de l’appareil, utilisez cette CLI commande :
> show counter global name proxy_flow_alloc_failure
Pour afficher le SSL certificat de décryptage, utilisez cette CLI commande :
> show system setting ssl-decrypt certificate
Certificates for Global
SSL Decryption CERT
global trusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8 f7 ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1
global untrusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8 f7 ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1
Pour afficher les SSL paramètres de décryptage, utilisez cette CLI commande :
> show system setting ssl-decrypt setting
vsys : vsys1
Forward Proxy Ready : yes
Inbound Proxy Ready : no
Disable ssl : no
Disable ssl-decrypt : no
Notify user : no
Proxy for URL : no
Wait for URL : no
Block revoked Cert : yes
Block timeout Cert : no
Block unknown Cert : no
Cert Status Query Timeout : 5
URL Category Query Timeout : 5
Fwd proxy server cert's key size: 0
Use Cert Cache : yes
Verify CRL : no
Verify OCSP : no
CRL Status receive Timeout : 5
OCSP Status receive Timeout : 5
Block unknown Cert : no