Cómo configurar un puerto de descifrar espejo

Cómo configurar un puerto de descifrar espejo

49533
Created On 09/25/18 17:30 PM - Last Modified 03/11/24 13:47 PM


Resolution


Resumen

PAN-os 6,0 introdujo una función para crear una copia del tráfico descifrado y enviarla a un puerto espejado, que permite capturar paquetes sin procesar del tráfico descifrado para archiving y análisis.

Nota: esta característica está disponible en los dispositivos de la serie PA-3000 y PA-5000 de Palo Alto Networks.

 

Pasos

  1. Active la licencia "Mirror de puerto de descifrado". Ir al dispositivo > licencias:
    Screen Shot 2013-11-14 en 16.53.20. png
  2. Reinicie el dispositivo.
  3. Una vez finalizado el reinicio, elija una interfaz libre. Ir a la red > interfaces para usar como interfaz de espejo de puerto:
    Screen Shot 2013-11-14 en 16.52.39. png
  4. Crear un perfil de descifrado. Ir a objetos > descifrar perfil. En este perfil, especifique qué interfaz debe enviar el tráfico descifrado:
    Screen Shot 2013-11-14 en 16.56.49. png
  5. Aplique el perfil de descifrado a la política o políticas de descifrado SSL:
    Screen Shot 2013-11-14 en 16.57.53. png
  6. Permitir el reenvío de contenido descifrado. Ir al dispositivo > Setup > Content-ID:
    Decrypt_forward. jpg
  7. Confirme la configuración.

Todo el tráfico que coincida con la política de descifrado de SSL será desencriptado y reenviado al puerto Mirror, que es Ethernet 1/8 en el ejemplo anterior.

 

Configuración multi-VSYS

Al crear un nuevo VSYS, seleccione la opción "permitir el reenvío del contenido descifrado", que se muestra a continuación. El resto de la configuración es la misma que para un único entorno VSYS.

Screen Shot 2014-09-14 en 6.51.05 PM. png

 

Verificación de

Una vez finalizada la instalación, las sesiones marcadas para descifrar se reenviarán al puerto designado.

Esto se puede comprobar en la tabla de sesiones filtrando todas las sesiones que se descifran-espejadas:

 

> Mostrar sesión todo filtro descifrar-espejo sí

 

--------------------------------------------------------------------------------

ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port])

Vsys Dst [Dport] zona (traducido de IP[Port])

--------------------------------------------------------------------------------

33557112 web-navegación de flujo activo * NS 10.193.91.111 [55193]/Untrust/6 (10.193.88.91 [28832])

vsys1 216.58.209.224 [443]/Untrust (216.58.209.224 [443])

33557161 web-navegación de flujo activo * NS 10.193.91.111 [55241]/Untrust/6 (10.193.88.91 [6770])

vsys1 216.58.209.238 [443]/Untrust (216.58.209.238 [443])

33557106 web-navegación de flujo activo * NS 10.193.91.111 [55190]/Untrust/6 (10.193.88.91 [1490])

vsys1 216.58.209.230 [443]/Untrust (216.58.209.230 [443])

33557131 web-navegación de flujo activo * NS 10.193.91.111 [55207]/Untrust/6 (10.193.88.91 [44665])

vsys1 74.125.71.94 [443]/Untrust (74.125.71.94 [443])

33557084 web-navegación de flujo activo * NS 10.193.91.111 [55170]/Untrust/6 (10.193.88.91 [34083])

vsys1 204.79.197.203 [443]/Untrust (204.79.197.203 [443])

33557166 web-navegación de flujo activo * NS 10.193.91.111 [55244]/Untrust/6 (10.193.88.91 [50576])

vsys1 216.58.209.226 [443]/Untrust (216.58.209.226 [443])

33557086 Facebook-social-plugin flujo activo * NS 10.193.91.111 [55172]/Untrust/6 (10.193.88.91 [55838])

vsys1 31.13.93.3 [443]/Untrust (31.13.93.3 [443])

33557135 YouTube-base flujo activo * NS 10.193.91.111 [55210]/Untrust/6 (10.193.88.91 [31302])

vsys1 216.58.209.224 [443]/Untrust (216.58.209.224 [443])

33557118 web-navegación de flujo activo * NS 10.193.91.111 [55195]/Untrust/6 (10.193.88.91 [33260])

vsys1 74.125.206.154 [443]/Untrust (74.125.206.154 [443])

33557141 web-navegación de flujo activo * NS 10.193.91.111 [55215]/Untrust/6 (10.193.88.91 [50351])

vsys1 216.58.209.224 [443]/Untrust (216.58.209.224 [443])

33557116 web-navegación de flujo activo * NS 10.193.91.111 [55194]/Untrust/6 (10.193.88.91 [15099])

vsys1 216.58.209.238 [443]/Untrust (216.58.209.238 [443])

FLUJO activo de destello de 33557127 * NS 10.193.91.111 [55202]/Untrust/6 (10.193.88.91 [9829])

vsys1 216.58.209.230 [443]/Untrust (216.58.209.230 [443])

33557091 Twitter-flujo activo base * NS 10.193.91.111 [55179]/Untrust/6 (10.193.88.91 [28557])

vsys1 199.16.157.105 [443]/Untrust (199.16.157.105 [443])

33557143 web-navegación de flujo activo * NS 10.193.91.111 [55216]/Untrust/6 (10.193.88.91 [54633])

7316 http-flujo de vídeo activo * NS 10.193.91.111 [55238]/Untrust/6 (10.193.88.91 [26068])

vsys1 173.194.129.178 [443]/Untrust (173.194.129.178 [443])

7238 web-navegación de flujo activo * NS 10.193.91.111 [55184]/Untrust/6 (10.193.88.91 [28250])

vsys1 74.125.195.113 [443]/Untrust (74.125.195.113 [443])

7307 web-navegación de flujo activo * NS 10.193.91.111 [55233]/Untrust/6 (10.193.88.91 [44945])

vsys1 74.125.206.154 [443]/Untrust (74.125.206.154 [443])

 

Propietario: rvanderveken
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGDCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language