Tipps & Tricks: Chiffrier Suite-Durchsetzung in Entschlüsselungs Regeln

Tipps & Tricks: Chiffrier Suite-Durchsetzung in Entschlüsselungs Regeln

59890
Created On 09/25/18 18:59 PM - Last Modified 06/13/23 02:57 AM


Resolution


Möchten Sie mehr Kontrolle darüber haben, welche Protokolle oder Algorithmen Sie unterstützen und zulassen? EINE in PAN-OS 7,0 eingeführte Funktion bietet die Möglichkeit, Chiffrier Suiten und/oder Protokolle als Teil des Entschlüsselungs Profils durchzusetzen. Es fügt auch die Möglichkeit hinzu, abgelaufene Zertifikate oder Server-Zertifikate mit nicht vertrauenswürdigen Emittenten zu blockieren, ohne SSL-Entschlüsselung zu machen.

 

Entschlüsselungs Profile werden in den Objekten Tab > Entschlüsselungs Profil konfiguriert.

 

Wenn der Benutzer kein individuelles decrpytion-Profil erstellt, fallen wir auf das ' default '-Profil zurück.  Dieses Profil wird auf alle Entschlüsselungs Sitzungen angewendet, die kein individuelles Profil haben, das auf Sie angewendet wird. Im Screenshot sehen Sie die Werte, die auf dem Standardprofil konfiguriert sind. Die Werte dieses Standard Profils können nicht geändert werden:

 

Default.png

 

Sie können jedoch ein individuelles Profil als Anzeige im Beispiel unten erstellen

 

  1. Gehen Sie zum Reiter Objekte
  2. Zum Entschlüsselungs Profil
  3. Klicken Sie auf
  4. Gehen Sie zum SSL-Entschlüsselungs-Tab
  5. Gehen Sie zu den SSL-Protokoll Einstellungen

 

custom_profile. png

 

Im Profil sind die unterstützten VerschlüsselungsAlgorithmen und unterstützten Authentifizierungs Algorithmen zu sehen.  Beachten Sie, dass Sie auch die minimal-und Maximalversion der Protokoll Versionen auswählen können.

 

Einige Beispiele:

 

  • RC4-Stream-Chiffre DurchSetzen

RC4. png

 

Mit der obigen Konfiguration wird die Firewall den Client Hello ändern, um nur die RC4-Chiffre einzufügen:

 

client_hello. png

 

RC4-2. png

 

Wenn der Server dann RC4 unterstützt, können Sie in Ihrem Browser bestätigen, dass die Verbindung effektiv mit RC4 als Verschlüsselungsalgorithmus verwendet wird:

 

RC4-3. png

 

  • Sperren Sie alle Sessions mit einer Protokollversion weniger als TLS 1,2:

 

 

Wenn Sie die minimale Version von TLSv 1.2 auswählen, werden Sie sofort feststellen, dass bestimmte VerschlüsselungsAlgorithmen deaktiviert sind (3DES und RC4), ebenso wie der AuthentifizierungsAlgorithmus MD5.

 

In diesem Fall werden Sie auch sehen, dass die Firewall den Client Hello modifiziert, um nur TLSv 1.2 Version und Chiffren einzufügen:

 

tlsversions. png

 

tls12-2. png

 

Wieder einmal wird Ihr Browser bestätigen, dass Sie jetzt TLSv 1.2 verwenden:

 

browserTLS. png 

 

Was ist, wenn der Server TLSv 1.2 nicht unterstützt?

 

> > In diesem Fall wird der Server mit einer Handshake-Fehlermeldung Antworten, wie unten zu sehen:

 

handshake_failure. png

 

In unserem Beispiel haben wir nicht konfiguriert, um nicht unterstützte Protokoll Versionen zu blockieren. Daher wird die Firewall diese Sitzung in den Ausschluss-Cache einfügen:

 

> Systemeinstellung SSL-entschlüsselt ausschließen-Cache

VSYS Server App Timeout Reason DECRYPTED_APP profile
1 10.193.91.71:443 SSL 43183 SSL_UNSUPPORTED Unentschieden Custom profile

 

Der Client wird versuchen, sich wieder zu verbinden. Dieses zweite Mal wird die Verbindung mit dem Ausschluss-Cache übereinstimmen und die Session geht durch die Firewall ohne Entschlüsselung:

 

not_decrypted. png

 

Um die obige Verbindung zu blockieren, sollten Sie die Option "Block Sitzung mit nicht unterstützten Versionen" im Profil konfigurieren.

 

  • Sperren Sie alle SSL-Sessions, die ein nicht vertrauenswürdiges Server-Zertifikat enthalten, ohne die Entschlüsselung

Wählen Sie in diesem Beispiel "Block Sitzungen mit nicht vertrauenswürdigen Emittenten" unter dem Reiter "keine Entschlüsselung" aus, dann wenden Sie das Entschlüsselungs Profil auf eine Entschlüsselungs Regel mit der Aktion "No-entschlpt" an:

 

nicht vertrauenswürdig. png

 

Beachten Sie, dass diese blockierten Sitzungen nicht in den Verkehrs Protokollen angezeigt werden.  Sie werden dies in der Sitzungs-Info sehen:

 

> Session ID 25350
Session 25350
 C2S Flow:
 Quelle: 172.19.73.64 [Trust-L3]
 DST: 10.193.91.71
 Proto: 6
 Sport: 61457 dport: 443
                 Zustand: Abwurf-Typ: FLOW
 S2C Flow:
 Quelle: 10.193.91.71 [Untrust-L3]
 DST: 10.193.91.73
 Proto: 6
 Sport: 443 dport: 18929
                 Zustand: ABWURF-Typ: FLOW-
 Startzeit: di Mar 3 15:30:             48 2016
 .... ..
         Tracker Stage Firewall: Proxy entschlüsselt Fehler
 Ende-Grund: Politik-Deny

 

Bitte hinterlassen Sie einen Kommentar oder ähnliches, wenn Sie diese Informationen hilfreich gefunden haben.

 

Prost!

Kim
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSZCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language