認証局に基づいて暗号化された web サイトへのアクセスを防止する方法
27184
Created On 09/25/18 17:52 PM - Last Modified 06/01/23 03:08 AM
Resolution 状況によっては、証明機関 (CA) に基づいて特定の暗号化された web サイトへのアクセスを制限または禁止する場合があります。ca 自体が侵害された可能性があるため、直ちに act を実行するか、特定の ca によって発行された証明書を信頼しなくなります。
ブラウザの信頼されたルート ca の一覧から問題の certs を削除することにより、個々のクライアント上で手動でアクセスを制御できますが、手動のプロセスは面倒なことがあり、これらのコントロールをバイパスするのは比較的簡単です。さらに、Firefox などのブラウザは、独自の証明書リポジトリを使用して、すべての種類のブラウザに対処することを確認するための全体的な複雑さに追加します。
PAN-OS v5.0 では、インストールされている証明書リポジトリの内容を表示し、信頼されなくなったルート ca を無効にすることができます。この機能には、パン OS v5.0 および SSL 復号化の有効化が最低限必要です。SSL フォワードプロキシ ( 中の男)を参照してください。
証明書の一覧を表示するには、[デバイス] > [証明書の管理] > [証明書] に移動します。
手順
特定の CA に よって署名されたすべてのサイトへのアクセスを制限するには:
フォワードプロキシを有効にします。 パロアルトネットワーク管理者ガイドリリース 5.0 (英語) の「復号化ポリシー」セクションを参照してください。 1つの証明書をフォワード・トラストとフォワード・ Untrust の両方に使用できますが、Untrust 専用の証明書 (CA として生成する必要があります) を個別に作成すると、パロアルトとして有効な証明書/信頼エラーを簡単に差別化できます。ネットワークデバイスは、セキュリティで保護されたセッションをプロキシ:
ca がブロックされることを確認し、 この ca が発行するすべてのサイトへのアクセスをブロックすることを念頭に置きます。
証明書の発行者を確認する簡単な方法は、ブラウザを使用してサイトに直接アクセスすることですが、復号化せずに cert プロパティを表示します。
注: この例は、通常は無効にならない正当で信頼 されたルート CA を示してい ます--例はデモンストレーションの目的でのみ使用します。
この例では、証明書は下位 ca である DigiCert 高保証 ca-3 によって発行されました。中間 ca は、完全/有効なチェーンを提示することは、通常、ホストサーバーの責任であるとして、パロアルトの証明書リポジトリにインストールされていません。証明書階層内の最上位の CA は、この例では、GTE CyberTrust グローバルルートを無効にする必要があります。この時点で、証明書の共通名 (CN) はわかっていますが、正しい CA が無効になっていることを確認するには、ルート証明を直接表示することをお勧めします。同様の名前を持つ複数の ca がインストールされているため、シリアル番号とパロアルトネットワークデバイスにインストールされている証明書との比較を行います。Firefox を使用して、ルート CA を直接強調表示し、証明書フィールドの一覧をスクロールしてシリアル番号を表示します。
Internet Explorer または Chrome (Windows 証明書リポジトリを共有している) を使用している場合は、発行された cert の証明書パスを表示し、ルート CA (証明書の表示) をハイライトしてから、シリアル番号の証明の詳細をスクロールします。
[デバイス] > [証明書の管理] > [証明書] に移動し、cert の CN を検索し、強調表示してからエクスポートして、web サイト/ブラウザ経由で直接エクスポートされた cert と比較します。
エクスポート時に、cert/view 証明書の詳細を開き、シリアル番号をサイト/ブラウザのエクスポート CA のものと比較します。
servial 番号の一致を確認した後、証明書を強調表示して無効にします。
次に、オブジェクト > セキュリティプロファイル > 解読プロファイルに移動し、復号化プロファイルを作成します。以下に、信頼できない発行者とのセッションをブロックする簡単な例を示します。[OK] をクリックします。
[ポリシー] > [セキュリティ] > [復号化] に移動し、復号化プロファイルを復号化ポリシーに関連付けます。
構成をコミットします。 無効になっている CA が発行したさまざまなサイトの証明書は以前にキャッシュされている可能性があり、ユーザーは新しい解読プロファイルを完全にバイパスします。コマンドを入力してください> システム ssl 暗号化解除証明書キャッシュの設定を表示
サイトがブロックポリシーをバイパスしている場合は、CLI を使用して cert キャッシュを削除します。
> デバッグ dataplane リセット ssl-復号化証明書-キャッシュ
このキャッシュをクリア すると、キャッシュされたすべての certs を削除し、再読み込みするサイトに再度アクセスする必要があります。
目的のサイトがブロックされていることを確認する。最初の証明書エラーが表示され、続いてブロックページが続きます。
手順2で説明したように、証明書のプロパティを表示すると、発行 cert が ' Untrust ' cert (作成されている場合) であることが示され、そのセッションがパロアルトネットワークデバイスによって傍受され、信頼できないことをさらに検証することができます。
変更をロールバックするには、[ デバイス] > [証明書の管理] > [証明書] に移動し、無効になっている cert の CN を検索し、再度有効にして、構成をコミットします。
所有者: ブライアン