構成するにはSSL復号化:
- を構成しますfirewallトラフィックを処理してネットワークに配置する
- 適切な認証局 (CA ) 上にあります firewall
- 構成、設定SSL復号化ルール
- 有効SSL復号化通知ページ (オプション)
- 変更をコミットして復号化をテストする
設定手順SSL復号化
1.を構成しますFirewallトラフィックを処理するネットワークに配置する
Palo Alto Networks を確認してください。firewall動作するインターフェイス (つまり、仮想ワイヤ、レイヤー 2、またはレイヤー 3)、ゾーン、セキュリティで既に構成されているPolicy、およびすでにトラフィックを通過しています。
2.ロードまたは生成CAPalo Alto Networks の証明書 Firewall
A 証明する機関 (CA ) を生成してトラフィックを適切に復号化する必要があります。SSLその場で証明書。 自己署名を作成するCA上でfirewallまたは部下をインポートするCA(自分からPKIインフラストラクチャー)。 一つ選択してくださいCAのために転送信頼証明書そして別のCAのためにUntrust 証明書の転送を有効にするにはfirewallトラフィックを復号化します。
NOTE : なぜならSSLEntrust、Verisign、Digicert、GoDaddy などの証明書プロバイダーは CA を販売していません。SSL復号化。
からfirewallWeb インターフェイス、に移動端末>証明書. インバウンド インスペクションまたはアウトバウンド (フォワード プロキシ) インスペクション用の証明書をロードまたは生成します。
自己署名証明書の生成
自己署名証明書を使用することをお勧めします。 自己署名証明書の生成については、次のナレッジ記事を参照してください。新しい自己署名を生成する方法SSL証明書.
Microsoft Certificate Server からの証明書の生成とインポート
- 組織の Microsoft Certificate Server で、証明書テンプレート「下位」を使用して高度な証明書を要求します。CA 」証明書をダウンロードします。
- ダウンロード後、証明書をローカル証明書ストアからエクスポートします。 Internet Explorer で (IE )、にアクセスします。インターネット設定ダイアログで、コンテンツタブをクリックし、証明書ボタン. 新しい証明書は、個人証明書ストアからエクスポートできます。 選択する証明書のエクスポート ウィザードをクリックして秘密鍵をエクスポートし、形式を選択します。 パスフレーズ、ファイル名、および結果ファイルの場所を入力します。 証明書はPFXフォーマット (PKCS #12)。
- 証明書を抽出するには、次の openSSL[4] コマンドを使用します。
openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys - キーを抽出するには、次の openSSL コマンドを使用します。
openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts - cert.pem ファイルと keyfile.pem ファイルをパロアルト ネットワークにインポートします。firewall上でデバイスタブ>証明書画面.
- 高可用性の場合 (HA ) ペアリングし、これらのファイルを 2 番目の Palo Alto Networks にもロードしますfirewall、またはダッシュボードの高可用性ウィジェットを介して証明書とキーをコピーします。
「Forward Trust」および「Forward Untrust」証明書:
NOTE: 自己署名を使用している場合CA、パブリックをエクスポートしますCAからの証明書firewall信頼されたルートとして証明書をインストールしますCA各マシンのブラウザーで、ブラウザー内の信頼されていない証明書エラー メッセージを回避します。 ネットワーク管理者が通常使用するGPOこの証明書を各ワークステーションにプッシュします。
IMPORTANT NOTE注: 同じ証明書で [Forward Trust Certificate] と [Forward Untrust Certificate] の両方のチェックボックスを設定しないでください。また、[Forward Untrust Certificate] を信頼できる証明書チェーンに展開しないでください。 これを行うと、firewallクライアント デバイスにCA無効な証明書を提示している Web サイトやアプリケーションに接続する場合でも、信頼できる証明書firewall. |
以下は、自己署名の場合のブラウザ エラーの例です。CA証明書が信頼されていません。
信頼できない FirefoxCAエラー:
信頼できない ChromeCAエラー:
IInternet Explorer が信頼できないCAエラー:
3.設定SSL復号化ルール
何を復号化する必要があるかは、ネットワーク管理者が決定します。 A 構成に関するいくつかの提案SSL復号化ルール:
- 段階的なアプローチでルールを実装します。 復号化の特定のルールから始めて、典型的な復号化の数を監視します。SSLデバイスによって復号化されている接続。
- 以下の復号化を避けるURLユーザーはこれをプライバシーの侵害と見なす可能性があるため、
- サーバーが (識別のために) クライアント側の証明書を必要とするアプリケーションを復号化しないでください。
- で導入された復号化プロファイル機能を使用して、クライアント認証を必要とする接続をブロックまたは許可できます。PAN-OS 5.0。
復号化の提案に従ったアウトバウンド ルール ベースの例を次に示します。
4.有効にするSSL復号化通知 Web ページ (オプション)
- ユーザーは、SSL接続は、にある応答ページを使用して復号化されますデバイスタブ>応答ページ画面. クリック無効、チェック有効SSLオプトアウトページオプションをクリックし、OK .
デフォルトSSLオプトアウト ページは、HTMLエディタにインポートされ、会社固有の情報を提供するためにインポートされます。
5. 送信復号化をテストする
送信復号化をテストするには:
- アウトバウンドでpolicyで、検出されたウイルスを警告するようにアクションが設定されていることを確認します。 また、そのウイルス対策セキュリティ プロファイルでパケット キャプチャを有効にします。 行った変更をコミットします。
- 上にPC内部のfirewall、に行くwww.eicar.org . 右上隅に、次のように表示されます。
- 「マルウェア対策テストファイルをダウンロード」をクリックします。
- 表示される画面で、一番下までスクロールします。
- を使用して eicar テスト ウイルスをダウンロードします。HTTP . これら 4 つのファイルのいずれかが検出されます。
- に行く監視タブ>脅威ログ次に、eicar ファイルを検出するログ メッセージを探します。
- 左側の列にある緑色の矢印をクリックして、キャプチャされたパケットを表示します。
- 左端の列にある虫めがねをクリックして、ログの詳細を表示します。
- 一番下までスクロールして、「復号化済み」フィールドを探します。セッションは復号化されませんでした:
- に戻るwww.eicar.orgダウンロードページ。 今回の使用SSL有効なプロトコルHTTPSテストウイルスをダウンロードします。
- 脅威ログを調べます。 ウイルスはその後検出されたはずです。SSL接続が復号化されました。 A ポート 443 での Web ブラウジングで eicar が検出されたことを示すログ メッセージが表示されます。
- 緑の矢印をクリックして、パケット キャプチャを表示します。(オプション)
- そのログ エントリの左側にある虫眼鏡をクリックします。 一番下までスクロールします。 [フラグ] の下で、[復号化済み] ボックスがオンになっているかどうかを確認します。
ウイルスは正常に検出されましたSSL-暗号化されたセッション。
「復号化なし」ルールをテストするには:
- まず、どの URL が金融サービス、健康と医療のカテゴリ、および復号化が有効になっていないカテゴリに分類されるかを判断します。使用するパロアルトネットワークスURLフィルタリング - テストAサイトを入力しますURLカテゴリを識別します。
- Web サイトがカテゴリに分類されると、いいえ復号化されていることが見つかったら、ブラウザを使用してそれらの Web サイトに移動します。HTTPS . これらのサイトにアクセスしても、証明書エラーは発生しません。 Web ページは正しく表示されます。 トラフィック ログには、アプリケーションが接続されているセッションが表示されます。SSL予想どおり、ポート 443 をトラバースします。
インバウンド復号化をテストするには:
- 日付が付けられたトラフィック ログを調べる前有効にするSSLでのインバウンド復号化用firewall. 内部サーバーを対象としたトラフィックを調べます。 これらのログで、検出されたアプリケーションは、ポート 443 を経由する「ssl」である必要があります。
- ネットワーク外のマシンから、経由で接続SSLのサーバーにDMZ. 接続はプロキシされておらず、単に検査されているだけなので、証明書エラーは発生しません。
- この受信接続のログを調べます。 アプリケーションは「ssl」ではありませんが、実際のアプリケーションはSSLトンネル。 これらのログ エントリの虫眼鏡アイコンをクリックして、復号化された接続を確認します。
役に立ったCLIコマンド
現存数を見るにはSSL復号化セッションはデバイスを通過します。これを使用してくださいCLI指図:
> データプレーン プールの統計情報をデバッグする |マッチプロキシ
からの出力PA-2050、ここで、最初のコマンドは 1024 の使用可能なセッションを示し、2 番目のコマンドの出力は 5 を示しますSSL復号化されているセッション (1024–1019=5):
admin@test> dataplane プール統計のデバッグ |マッチプロキシ
[18] プロキシ セッション: 1019/1024 0x7f00723f1ee0
復号化されたアクティブなセッションを表示するには、これを使用しますCLI指図:
> show session all filter ssl-decrypt yes state active
最大同時接続数SSLで復号化されたセッションPAN-OS4.1、5.0、6.0、および 6.1 (両方向の組み合わせ):
Hardware | SSL 復号化されたセッションの制限 |
---|
VM-100 | 1,024 セッション |
VM-200
| 1,024 セッション |
VM-300 | 1,024 セッション |
PA-200 | 1,024 セッション |
PA-500 | 1,024 セッション |
PA-2020 | 1,024 セッション |
PA-2050 | 1,024 セッション |
PA-3020 | 7,936 セッション |
PA-3050
| 15,360 セッション |
PA-3060 | 15,360 セッション |
PA-4020 | 7,936 セッション |
PA-4050 | 23,808 セッション |
PA-4060 | 23,808 セッション |
PA-5020 | 15,872 セッション |
PA-5050 | 47,616 セッション |
PA-5060 | 90,112 セッション |
PA-7000-20G-NPC | 131,072 セッション |
PA-7050 | 786,432 セッション |
上限に達した場合はすべて新規SSLセッションは復号化されていない状態で通過しますSSL. 新しいものをドロップするにはSSLデバイスのセッション制限を超えるセッション、これを使用CLI指図:
> set deviceconfig setting ssl-decrypt deny-setup-failure yes
デバイスの制限に達しているセッションがあるかどうかを確認するには、これを使用しますCLI指図:
> show counter global name proxy_flow_alloc_failure
を表示するにはSSL復号化証明書、これを使用CLI指図:
> show system setting ssl-decrypt certificate
Certificates for Global
SSL Decryption CERT
global trusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8 f7 ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1
global untrusted
ssl-decryption x509 certificate
version 2
cert algorithm 4
valid 150310210236Z -- 210522210236Z
cert pki 1
subject: 172.16.77.1
issuer: 172.16.77.1
serial number(9)
00 b6 96 7e c9 99 1f a8 f7 ...~.... .
rsa key size 2048 siglen 2048
basic constraints extension CA 1
見るにはSSL復号化設定、これを使用CLI指図:
> show system setting ssl-decrypt setting
vsys : vsys1
Forward Proxy Ready : yes
Inbound Proxy Ready : no
Disable ssl : no
Disable ssl-decrypt : no
Notify user : no
Proxy for URL : no
Wait for URL : no
Block revoked Cert : yes
Block timeout Cert : no
Block unknown Cert : no
Cert Status Query Timeout : 5
URL Category Query Timeout : 5
Fwd proxy server cert's key size: 0
Use Cert Cache : yes
Verify CRL : no
Verify OCSP : no
CRL Status receive Timeout : 5
OCSP Status receive Timeout : 5
Block unknown Cert : no