Wie man SSH-Entschlüsselung auf einem Palo Alto Networks-Gerät implementiert

Übersicht

PAN-OS kann ein-und ausgehende SSH-Verbindungen, die durch die Firewall gehen, entschlüsseln und inspizieren. Für die SSH-Entschlüsselung ist kein Zertifikat erforderlich. Der Schlüssel, der für die Entschlüsselung verwendet wird, wird automatisch generiert, wenn die Firewall startet. Während des bootup-Prozesses prüft die Firewall, ob ein vorhandener Schlüssel vorhanden ist. Wenn nicht, wird ein Schlüssel generiert. Dieser Schlüssel ist für die Entschlüsselung von SSH-Sessions für alle auf dem Gerät konfigurierten VSYS. Der gleiche Schlüssel wird für die Entschlüsselung aller SSH v2-Sitzungen verwendet.

Schritte

1. Gehen Sie zu Policies > Entschlüsselung auf dem Web-UI.
2. Erstellen Sie eine Entschlüsselungs Regel und geben Sie die Zonen an, in denen die SSH-Entschlüsselung durchgeführt werden soll.
   
3. Sie können auch ein Entschlüsselungs Profil erstellen, das auf die Regel angewendet werden soll:
   
4. Die Änderung begehen.

Die zu Entschlüsselungs pflichtigen Firewall-Sessions werden durch ein Sternchen identifiziert. Um diese Sessions zu sehen, verwenden Sie den Filter "Match *", wie unten gezeigt:

> Show Session all | Partie

36496 SSH ACTIVE FLOW * 10.16.0.34 [54618]/Trust/6

(10.16.0.34 [54618])

Hinweis: das Sternchen wird verwendet, um sowohl SSL als auch ssh entschlüsselte Sessions zu identifizieren.

Siehe auch

Weitere Informationen über die Port-Weiterleitung im SSH finden Sie unter: Details zur Port-WeiterLEITUNG im SSH.

Besitzer: Pvemuri