App-ID pour les Versions SSL sécurisée des Services notoires
87693
Created On 09/25/18 17:41 PM - Last Modified 06/08/23 07:02 AM
Resolution
Détails
Nombreux services bien connus tels que LDAP, IMAP, POP3, SMTP et FTP ont une sécurisé SSL version disponible qui s’exécute sur un autre port SSL-variante différente de leur port standard. Dans tous ces cas, le trafic est identifié comme étant l’application « ssl » par App-ID sur le pare-feu de Palo Alto Networks.
Il y a quelques approches de la création d’une stratégie de sécurité pour permettre à ces services. Certains d'entre eux sont mentionnés ci-dessous :
- Utiliser StartTLS qui est soutenu par tous ces protocoles. Voir http://en.wikipedia.org/wiki/STARTTLS. Dans ce cas, ils seront identifiés comme App-ID correspondant au protocole (ldap, imap, pop3, etc.) au lieu de comme « ssl » et ils utilisent le port standard pour le protocole plutôt que le port SSL-variante.
- Créer des objets de service pour les ports SSL-variante et permettre à « ssl » App-ID en sécurité politique sur les services : SMTPS:TCP / 465 ; IMAPS:TCP / 993 ; POP3S:995 ; FTPS : TCP/990.
- Créer des applications personnalisées basées sur votre certificat de serveur. Voir exemple pour ce sur devCenter: application personnalisée pour le trafic basé sur SSL
- Décryptage de l’activer et ceux-ci seront identifiés comme l’App-ID correspondant : smtp, imap, pop3, etc..
Voir aussi
Comment implémenter le décryptage SSL
propriétaire : savasarala