Comment mettre en œuvre le décryptage SSH sur un appareil de Palo Alto Networks

Vue d’ensemble

Pan-OS peut décrypter et inspecter les connexions SSH entrantes et sortantes passant par le pare-feu. Pour le décryptage SSH, il n'y a pas de certificat nécessaire. La clé utilisée pour le décryptage est automatiquement générée lorsque le pare-feu démarre. Pendant le processus démarrage, le pare-feu vérifie pour voir S'il existe une clé existante. Si ce n'est pas le cas, une clé est générée. Cette clé est pour le décryptage des sessions SSH pour tous les VSYS configurés sur le périphérique. La même clé est utilisée pour décrypter toutes les sessions SSH v2.

Étapes

1. Accédez à stratégies > décryptage sur l'interface utilisateur Web.
2. Créez une règle de décryptage et spécifiez les zones où le décryptage SSH doit être effectué.
   
3. Vous pouvez également créer un profil de décryptage à appliquer à la règle:
   
4. Valider la modification.

Les sessions de pare-feu qui sont sujettes au décryptage sont identifiées par un astérisque. Pour afficher ces sessions, utilisez le filtre "match *" comme indiqué ci-dessous:

> Show session All | match

36496 SSH flux actif * 10.16.0.34 [54618]/Trust/6

(10.16.0.34 [54618])

Remarque: l'astérisque est utilisé pour identifier les sessions SSL et SSH décryptées.

Voir aussi

Pour plus d'informations sur le transfert de port à l'intérieur de SSH, voir: Détails sur le transfert de port à l'intérieur de SSH.

propriétaire : pvemuri