Consejos y trucos: aplicación de Cipher Suite en reglas de descifrado

¿Le gustaría tener más control sobre qué protocolos o algoritmos apoyar y permitir? Una característica introducida en pan-os 7,0 agrega la capacidad de hacer cumplir las suites de cifrado y/o los protocolos como parte del perfil de desencriptación. También agrega la opción de bloquear certificados expirados o certificados de servidor con emisores no confiables sin realizar descifrado SSL.

Los perfiles de descifrado se configuran en la ficha objetos, perfil de descifrado.

Si el usuario no crea un perfil decrpytion personalizado, volvemos al perfil ' default '.  Este perfil se aplicará a todas las sesiones de descifrado que no tengan un perfil personalizado aplicado. En la captura de pantalla verá los valores que están configurados en el perfil predeterminado. Los valores de este perfil predeterminado no pueden cambiarse:

Sin embargo, puede crear un perfil personalizado como se muestra en el ejemplo siguiente

1. Ir a la ficha objetos
2. Ir al perfil de desencriptación
3. Haga clic en agregar
4. Ir a la ficha de descifrado SSL
5. Ir a la configuración del protocolo SSL

En el perfil, puede ver los algoritmos de encriptación soportados y los algoritmos de autenticación soportados.  Observe que también puede seleccionar la versión mínima y máxima de las versiones de protocolo.

Algunos ejemplos:

• Hacer valer RC4 Stream cipher

Usando la configuración anterior, el Firewall modificará el cliente Hello para incluir sólo el cifrado RC4:

Si el servidor soporta RC4, entonces puede confirmar en su navegador que la conexión está utilizando efectivamente RC4 como algoritmo de encriptación:

• Bloquee todas las sesiones con una versión de protocolo menos que TLS 1,2:

Al seleccionar la versión mínima de tlsv 1.2, se dará cuenta inmediatamente de que ciertos algoritmos de encriptación están deshabilitados (3DES y RC4) al igual que el algoritmo de autenticación MD5.

También, en este caso, verás que el Firewall modifica el cliente Hello para incluir sólo tlsv 1.2 versión y cifrados:

Una vez más, su navegador confirmará que ahora está usando tlsv 1.2:

¿Qué ocurre si el servidor no admite TLSv 1.2?

> > En ese caso, el servidor responderá con un mensaje de error de apretón de mano como se ve a continuación:

En nuestro ejemplo, no configuramos para bloquear versiones de Protocolo no compatibles. Por lo tanto, el cortafuegos insertará esta sesión en la caché de exclusión:

> Mostrar configuración del sistema SSL-descifrar excluir-cache

VSYS Server App timeout Reason DECRYPTED_APP Profile
1 10.193.91.71:443 SSL 43183 SSL_UNSUPPORTED perfil personalizado indeciso 

El cliente intentará conectarse de nuevo. Esta segunda vez, la conexión coincidirá con la caché de exclusión y la sesión pasará por el cortafuegos sin descifrar:

Para bloquear la conexión anterior, debe configurar la opción ' bloquear sesión con versiones no compatibles ' en el perfil.

• Bloquee todas las sesiones SSL que contengan el certificado de servidor no confiable sin habilitar el descifrado

En este ejemplo, seleccione ' bloquear sesiones con emisores no confiables ' en la ficha ' no descifrado ' y, a continuación, aplique el perfil de descifrado a una regla de descifrado con la acción ' sin descifrar ':

Tenga en cuenta que estas sesiones bloqueadas no se mostrarán en los registros de tráfico.  Esto lo verá en la sesión info:

> Mostrar sesión ID 25350
sesión 25350
 C2S flujo:
 Fuente: 172.19.73.64 [Trust-L3]
 DST: 10.193.91.71
 proto: 6
 deporte: 61457 dport: 443
                 Estado: tipo de descarte: flujo
 s2c flujo:
 Fuente: 10.193.91.71 [Untrust-L3]
 DST: 10.193.91.73
 proto: 6
 deporte: 443 dport: 18929
                 Estado: tipo de descarte: tiempo de inicio de flujo
 : Tue Mar 3 15:30:             48 2016
 . .....
         Tracker Stage Firewall: proxy Decrypt error
 End-Reason: política-deny

Por favor deje un comentario o un like si usted ha encontrado esta información útil.

¡Saludos!

Kim