Cómo impedir el acceso a sitios web encriptados basados en la autoridad de certificación

En algunas situaciones, es posible que desee restringir o impedir el acceso a ciertos sitios web encriptados basados en su autoridad de certificación (CA). La CA en sí puede haber sido comprometida por lo que desea actuar de inmediato, o ya no confía en los certificados emitidos por una CA en particular.

Puede controlar el acceso manualmente en un cliente individual eliminando los CERT en cuestión de la lista de las CAS raíz de confianza de los navegadores, pero el proceso manual puede ser tedioso y es relativamente fácil omitir estos controles. Además, los navegadores como Firefox utilizan su propio repositorio de certificados, añadiendo a la complejidad general de asegurarse de que todos los tipos de navegadores se tratan.

A partir de PAN-OS v 5.0. x, puede ver el contenido del repositorio de CERT instalado y deshabilitar las CAs raíz que ya no son de confianza. Esta función mínimamente requiere pan-os v 5.0. x y permite el descifrado SSL. Refierase a SSL Forward proxy (hombre en el medio).

Para ver la lista de certificados, vaya al dispositivo > gestión de certificado > certificados:

Pasos

Para restringir el acceso a todos los sitios firmados por una determinada entidad emisora de certificados:

1. Activar proxy forward.  Consulte la sección de políticas de descifrado en la versión 5,0 (Inglés) de la guía del administrador de Palo Alto Networks.
2. Aunque un único certificado se puede utilizar tanto para la confianza de reenvío como para la desconfianza, la creación de un certificado independiente específicamente para Untrust (que debe generarse como CA) permite una fácil diferenciación de un error válido de certificado/confianza como el palo alto Proxies de dispositivos de redes la sesión segura:

   

3. Verifique que la CA se bloquee, teniendo en cuenta que al hacerlo bloquea el acceso a todos los sitios emitidos por esta CA.

    

   Una forma fácil de verificar el emisor del CERT es mediante el uso de un navegador para visitar el sitio directamente, sin descifrar y ver las propiedades de CERT:

   

   Nota: este ejemplo muestra una CA de raíz legítima y de confianza que normalmente nunca se deshabilitaría--el ejemplo es sólo para demostraciones.

    

   En el ejemplo, el certificado fue emitido por DigiCert High Assurance CA-3, una CA subordinada. Las CAS intermedias no se instalan en el repositorio de certificados de palo alto, ya que la presentación de una cadena completa/válida suele ser responsabilidad del servidor de alojamiento. La CA más alta dentro de la jerarquía de certificados necesitaría ser deshabilitada, en este ejemplo, GTE Cybertrust global root. En este punto, se conoce el nombre común (CN) del CERT, aunque para asegurar que la CA correcta está deshabilitada, es mejor ver el certificado raíz directamente. Compare el número de serie con el del certificado instalado en el dispositivo Palo Alto Networks, ya que pueden instalarse varias CAS con nombres similares. Usando Firefox, resalte la CA raíz directamente y desplácese por la lista de campos de certificado para ver el número de serie.

    

   Si utiliza Internet Explorer o Chrome (que comparte el repositorio de certificados de Windows), vea la ruta de certificación del CERT emitido, resalte la CA raíz (certificado de vista) y desplácese por los detalles del certificado para el número de serie:

   

    

   Ir a dispositivo > administración de certificados > certificados, buscar el CN del CERT, resaltar, exportar para comparar con el CERT exportado directamente a través del sitio web/navegador:

   

   Al exportar, abra los detalles del certificado CERT/View y compare el número de serie con el de la CA exportada por el sitio/explorador:

   

   Después de confirmar un partido de los números Servial, resalte el certificado y deshabilite:

   

4. A continuación, ir a objetos > perfiles de seguridad > descifrar perfil y crear un perfil de descifrado. A continuación se muestra un ejemplo sencillo para bloquear sesiones con emisores que no son de confianza. Haga clic en Aceptar.

   

5. Ir a políticas > seguridad > desencriptación y asociar el perfil de descifrado con la política de descifrado:

   

6. Confirme la configuración.
7. Los certificados para varios sitios emitidos por la CA con discapacidad pueden haberse almacenado previamente en caché, lo que ha dado como resultado que los usuarios pasen por alto el nuevo perfil de descifrado. Introduzca el comando

   > Mostrar configuración de certificado ssl-descifrar-cache

   

   Si los sitios omiten la Directiva de bloque, elimine la caché de CERT mediante la CLI:

   > depuración del plan de restablecimiento de SSL-Decrypt Certificate-cache

   Al borrar esta memoria caché se eliminan todos los certificados almacenados en caché y se requiere volver a los sitios para repoblarlos.

8. Verifique que los sitios previstos estén bloqueados. Se muestra un error de certificado inicial, seguido de (al continuar) una página de bloque:

   

   

   Como se mencionó en el paso 2, al ver las propiedades del certificado se muestra que el CERT emisor es el CERT ' Untrust ' (si se ha creado), proporcionando una validación adicional de que la sesión fue interceptada y no confiada por el dispositivo Palo Alto Networks:

   

   Para hacer retroceder los cambios, vaya al dispositivo > administración de certificados > certificados, busque el CN del CERT deshabilitado, vuelva a activar y confirmará la configuración.

   

Propietario: Bryan