Comment empêcher l'accès aux sites cryptés en fonction de l'Autorité de certification

Dans certaines situations, vous voudrez peut-être restreindre ou empêcher l'accès à certains sites Web cryptés en fonction de leur autorité de certification (ca). L'Autorité de certification elle-même peut avoir été compromise si vous voulez agir immédiatement, ou si vous ne faites plus confiance aux certificats émis par une autorité de certification particulière.

Vous pouvez contrôler l'accès manuellement sur un client individuel en supprimant le certs en question de la liste des autorités de certification racine de confiance des navigateurs, mais le processus manuel peut être fastidieux et il est relativement facile de contourner ces contrôles. De plus, les navigateurs tels que Firefox utilisent leur propre référentiel de certificats, ajoutant à la complexité globale de s'assurer que tous les types de navigateurs sont adressés.

Depuis Pan-OS v 5.0. x, vous pouvez afficher le contenu du référentiel CERT installé et désactiver les autorités de certification racine qui ne sont plus approuvées. Cette fonctionnalité requiert un minimum de Pan-OS v 5.0. x et d'activation du décryptage SSL. Référez-vous à SSL Forward proxy (homme au milieu).

Pour afficher la liste des certificats, accédez à Device > Certificate Management > certificats:

Étapes

Pour restreindre l'accès à tous les sites signés par une autorité de certification particulière:

1. Activer le proxy avant.  Reportez-vous à la section politiques de décryptage du Guide de l'administrateur de Palo Alto Networks Release 5,0 (anglais).
2. Bien qu'un seul certificat puisse être utilisé pour la confiance en avant et la non-confiance en avant, la création d'un certificat distinct spécifiquement pour la non-confiance (qui doit être généré en tant que ca) permet de différencier facilement une erreur de certificat/approbation valide comme le Palo Alto Réseaux proxys de périphérique la session sécurisée:

   

3. Vérifiez que l'Autorité de certification doit être bloquée, en gardant à l'esprit que cela bloque l'accès à tous les sites émis par cette autorité de certification.

    

   Un moyen facile de vérifier l'émetteur du CERT est d'utiliser un navigateur pour visiter directement le site, sans déchiffrer et afficher les propriétés du CERT:

   

   Remarque: cet exemple montre une autorité de certification racine légitime et approuvée qui ne serait généralement jamais désactivée --L'exemple à des fins de démonstration uniquement.

    

   Dans L'exemple, le certificat a été délivré par DigiCert High assurance ca-3, une autorité de certification subordonnée. Les autorités de certification intermédiaires ne sont pas installées dans le référentiel de certificats de Palo Alto, car la présentation d'une chaîne complète/valide est généralement la responsabilité du serveur d'hébergement. L'Autorité de certification la plus haute au sein de la hiérarchie des certificats doit être désactivée, dans cet exemple, GTE Cybertrust global root. À ce stade, le nom commun (CN) du CERT est connu, mais pour s'assurer que l'Autorité de certification correcte est désactivée, il est préférable d'afficher directement le certificat racine. Comparez le numéro de série avec celui du certificat installé sur l'appareil de Palo Alto Networks, car plusieurs cas avec des noms similaires peuvent être installés. À l'Aide de Firefox, mettez en surbrillance l'Autorité de certification racine directement et faites défiler la liste des champs de certificat pour afficher le numéro de série.

    

   Si vous utilisez Internet Explorer ou chrome (qui partage le référentiel de certificats Windows), affichez le chemin d'accès de certification du CERT émis, mettez en surbrillance l'ac racine (afficher le certificat), puis faites défiler les détails du certificat pour le numéro de série:

   

    

   Allez dans Device > Certificate Management > certificats, recherchez le CN du CERT, mettez en surbrillance, puis exportez pour comparer le CERT exporté directement via le site/navigateur:

   

   Lors de l'exportation, ouvrez les détails du certificat CERT/View et comparez le numéro de série avec celui du site/navigateur exporté ca:

   

   Après avoir confirmé une correspondance de numéros de serval, mettez en surbrillance le certificat et désactivez:

   

4. Ensuite, allez dans objets > sécurité profils > décryptage profil et créer un profil de décryptage. Ci-dessous est un exemple simple pour bloquer les sessions avec des émetteurs non fiables. Cliquez sur OK.

   

5. Allez dans stratégies > Security > decryption et associez le profil de décryptage à la stratégie de décryptage:

   

6. Validez la configuration.
7. Les certificats pour divers sites émis par l'Autorité de certification désactivée ont peut-être déjà été mis en cache, ce qui a pour conséquence que les utilisateurs contournent complètement le nouveau profil de décryptage. Entrez la commande

   > Afficher le système de mise en cache de certificat ssl-décrypter

   

   Si les sites contournent la stratégie de bloc, supprimez le cache CERT via l'interface CLI:

   > Debug dataplane Reset SSL-décrypter le certificat-cache

   La suppression de ce cache supprime tous les certs mis en cache et nécessite l'accès à nouveau aux sites pour les repeupler.

8. Vérifiez que les sites prévus sont bloqués. Une erreur de certificat initiale s'affiche, suivie de (en continuant) une page de blocage:

   

   

   Comme mentionné à l'étape 2, l'affichage des propriétés du certificat indique que le CERT émetteur est le CERT de «méfiance» (S'il est créé), ce qui permet de valider davantage que la session a été interceptée et non confiée par l'appareil de Palo Alto Networks:

   

   Pour faire reculerles modifications, accédez à Device > Certificate Management > certificats, recherchez le CN du CERT désactivé, réactivez et validez la configuration.

   

propriétaire: Bryan