Wie man den Zugriff auf verschlüsselte Websites auf der Grundlage der ZertifikatsBehörde verhindert

In einigen Situationen können Sie den Zugriff auf bestimmte verschlüsselte Websites auf der Grundlage ihrer ZertifikatsBehörde (CA) einschränken oder verhindern. Die CA selbst kann kompromittiert worden sein, so dass Sie sofort handeln wollen, oder Sie Vertrauen nicht mehr auf Zertifikate, die von einer bestimmten CA ausgestellt werden.

Sie können den Zugriff manuell auf einen einzelnen Client steuern, indem Sie die betreffenden certs aus der Liste der VertrauensWürdigen root-CAs der Browser löschen, aber der manuelle Prozess kann mühsam sein und es ist relativ einfach, diese Steuerungen zu umgehen. Darüber hinaus verwenden Browser wie Firefox Ihr eigenes zertifikatsarchiv, was zu der Komplexität der gesamten Art und Weise, sicherzustellen, dass alle Arten von Browsern angesprochen werden.

Ab PAN-OS v 5.0. x können Sie sich den Inhalt des installierten CERT-Projektarchivs ansehen und root-CAs deaktivieren, denen nicht mehr vertraut wird. Diese Funktion benötigt mindestens Pan-OS v 5.0. x und ermöglicht die SSL-Entschlüsselung. Siehe SSL Forward Proxy (Mann in der Mitte).

Um die Liste der Zertifikate zu sehen, gehen Sie zum Device > Zertifikats Management > Zertifikate:

Schritte

Um den Zugang zu allen von einer bestimmten ca unterzeichneten Seiten zu beschränken:

1. Proxy nach vorne aktivieren.  Lesen Sie den Abschnitt Entschlüsselungs Richtlinien in der Anleitung von Palo Alto Networks Administrator 5,0 (Englisch).
2. Obwohl ein einzelnes Zertifikat sowohl für vorwärts Vertrauen als auch für Forward-Trust verwendet werden kann, ermöglicht die Erstellung eines separaten Zertifikats speziell für Untrust (das als CA generiert werden muss) eine einfache Differenzierung eines gültigen Zertifikats/Treuhand Fehlers wie der Palo Alto. Netzwerke Gerät Proxies die sichere Sitzung:

   

3. ÜberPrüfen Sie die zu blockierte CA, wobei Sie Bedenken, dass dies den Zugriff auf alle von dieser ca ausgestellten Websites blockiert.

    

   Eine einfache Möglichkeit, den Emittenten des CERT zu verifizieren, ist, einen Browser zu verwenden, um die Website direkt zu besuchen, ohne zu entschlüsseln und die CERT-Eigenschaften zu sehen:

   

   Hinweis: Dieses Beispiel zeigt eine legitime und vertrauenswürdige Root-CA, die in der Regel nie deaktiviert werden würde-das Beispiel ist nur für Demonstrationszwecke.

    

   In dem Beispiel wurde das Zertifikat von DigiCert High Assurance CA-3, einer untergeordneten CA, ausgestellt. Zwischen-CAs sind nicht in das Palo Alto-zertifikatsarchiv eingebaut, da die Darstellung einer vollständigen/gültigen Kette in der Regel in der Verantwortung des Hosting-Servers liegt. Die Top-Most-CA innerhalb der ZertifikatsHierarchie müsste deaktiviert werden, in diesem Beispiel GTE CyberTrust Global root. An dieser Stelle ist der GemeinSame Name (CN) des CERT bekannt, aber um sicherzustellen, dass die richtige CA deaktiviert ist, ist es am besten, das Root-Zertifikat direkt anzusehen. Vergleichen Sie die Seriennummer mit der des auf dem Palo Alto Networks-Gerät installierten Zertifikats, da mehrere CAs mit ähnlichen Namen installiert werden können. Mit Firefox markieren Sie die Root-CA direkt und Scrollen Sie durch die Liste der Zertifikats Felder, um die Seriennummer anzuzeigen.

    

   Wenn Sie den Internet Explorer oder Chrome verwenden (der das Windows-ZertifikatsArchiv teilt), sehen Sie sich den ZertifizierungsPfad des ausgestellten CERT an, markieren Sie die Root-CA (View-Zertifikat) und Scrollen Sie dann durch die Zertifikats Details für die Seriennummer:

   

    

   Gehen Sie zu Device > Zertifikats Management > Zertifikate, suchen Sie nach dem CN des cert, Highlight, dann exportieren Sie zum Vergleich mit dem CERT direkt über die Website/Browser exportiert:

   

   Öffnen Sie beim Export die Details des CERT/View-Zertifikats und vergleichen Sie die Seriennummer mit der der Website/des Browsers, die CA exportiert wird:

   

   Nachdem Sie eine Übereinstimmung mit den servial Nummern bestätigt haben, markieren Sie das Zertifikat und deaktivieren Sie:

   

4. Als nächstes gehen Sie zu Objekten > SicherheitsProfile > Entschlüsselungs Profil und erstellen ein Entschlüsselungs Profil. Im folgenden finden Sie ein einfaches Beispiel, um Sitzungen mit nicht vertrauenswürdigen Emittenten zu blockieren. Click OK.

   

5. Gehen Sie zu den RichtLinien > Sicherheit > Entschlüsselung und assoziieren Sie das Entschlüsselungs Profil mit der Entschlüsselungs Politik:

   

6. Begehen Sie die Konfiguration.
7. Zertifikate für verschiedene Websites, die von der Behinderten-CA ausgestellt wurden, können zuvor zwischengespeichert worden sein, was dazu führt, dass Nutzer das neue Entschlüsselungs Profil ganz umgehen Geben Sie den Befehl

   > zeigen Systemeinstellung entschlüsseln-SSL-Zertifikat-Cache

   

   Wenn Websites die Block-Richtlinien umgehen, löschen Sie den CERT-Cache über das CLI:

   > Debug dataplane Reset SSL-entschlüsselt Zertifikat-Cache

   Das Löschen dieses Cache löscht alle geklauten certs und erfordert den Zugriff auf Websites, um Sie wieder zu bevölkern.

8. ÜberPrüfen Sie die vorgesehenen Seiten sind blockiert. Ein erster Zertifikats Fehler wird angezeigt, gefolgt von (nach Fortführung) einer Block Seite:

   

   

   Wie in Schritt 2 erwähnt, zeigt die Betrachtung der Zertifikatseigenschaften, dass es sich bei dem ausstellenden CERT um das "Untrust"-CERT handelt (falls erstellt), was eine weitere Validierung vorsieht, dass die Session vom Gerät Palo Alto Networks abgefangen und nicht vertrauenswürdig ist:

   

   Um Änderungen zurückzurollen, gehen Sie zu Device > Zertifikats Management > Zertifikate, suchen Sie nach dem CN des Behinderten-CERT, aktivieren Sie die Konfiguration wieder und übertragen Sie Sie.

   

Besitzer: Bryan