パロアルトネットワークデバイス上で SSH 復号化を実装する方法
37586
Created On 09/25/18 17:51 PM - Last Modified 06/02/23 01:45 AM
Resolution
概要
PAN-OS は、ファイアウォールを通過するインバウンドおよびアウトバウンドの SSH 接続を復号化し、検査することができます。SSH 復号化には、証明書は必要ありません。復号化に使用されるキーは、ファイアウォールの起動時に自動的に生成されます。起動プロセス中に、ファイアウォールは既存のキーがあるかどうかを確認します。そうでない場合は、キーが生成されます。このキーは、デバイスで構成されているすべての VSYS の SSH セッションを復号化するためのものです。同じキーは、すべての SSH v2 セッションを復号化するために使用されます。
手順
- web UI の [ポリシー] > [復号化] に移動します。
- 復号化ルールを作成し、ssh 復号化を実行するゾーンを指定します。
- ルールに適用する復号化プロファイルを作成することもできます。
- 変更をコミットします。
復号化の対象となるファイアウォールセッションは、アスタリスクで識別されます。これらのセッションを表示するには、次のように "match *" というフィルタを使用します。
> すべてのセッションを表示 |一致
36496 ssh アクティブフロー * 10.16.0.34 [54618]/trust/6
(10.16.0.34 [54618])
注:アスタリスクは、SSL と SSH の復号化セッションの両方を識別するために使用されます。
また見なさい
ssh 内部のポートフォワーディングの詳細については、 ssh 内部のポートフォワーディングに関する詳細 を参照してください。
所有者: pvemuri