パロアルトネットワークデバイス上で SSH 復号化を実装する方法

概要

PAN-OS は、ファイアウォールを通過するインバウンドおよびアウトバウンドの SSH 接続を復号化し、検査することができます。SSH 復号化には、証明書は必要ありません。復号化に使用されるキーは、ファイアウォールの起動時に自動的に生成されます。起動プロセス中に、ファイアウォールは既存のキーがあるかどうかを確認します。そうでない場合は、キーが生成されます。このキーは、デバイスで構成されているすべての VSYS の SSH セッションを復号化するためのものです。同じキーは、すべての SSH v2 セッションを復号化するために使用されます。

手順

1. web UI の [ポリシー] > [復号化] に移動します。
2. 復号化ルールを作成し、ssh 復号化を実行するゾーンを指定します。
   
3. ルールに適用する復号化プロファイルを作成することもできます。
   
4. 変更をコミットします。

復号化の対象となるファイアウォールセッションは、アスタリスクで識別されます。これらのセッションを表示するには、次のように "match *" というフィルタを使用します。

> すべてのセッションを表示 |一致

36496 ssh アクティブフロー * 10.16.0.34 [54618]/trust/6

(10.16.0.34 [54618])

注:アスタリスクは、SSL と SSH の復号化セッションの両方を識別するために使用されます。

また見なさい

ssh 内部のポートフォワーディングの詳細については、 ssh 内部のポートフォワーディングに関する詳細 を参照してください。

所有者: pvemuri