Trucs et astuces: application de Cipher Suite aux règles de décryptage
Resolution
Souhaitez-vous avoir plus de contrôle sur quels protocoles ou algorithmes à soutenir et à autoriser? Une fonctionnalité introduite dans Pan-OS 7,0 ajoute la possibilité d'appliquer des suites de chiffrement et/ou des protocoles dans le cadre du profil de décryptage. Il ajoute également l'option pour bloquer des certificats expirés ou des certificats de serveur avec des émetteurs non fiables sans faire le décryptage SSL.
Les profils de décryptage sont configurés dans l'onglet objets > profil de décryptage.
Si l'utilisateur ne crée pas de profil decrpytion personnalisé, nous revenons au profil'default'. Ce profil sera appliqué à toutes les sessions de décryptage qui ne sont pas appliquées à un profil personnalisé. Dans la capture d'écran, vous verrez les valeurs qui sont configurées sur le profil par défaut. Les valeurs de ce profil par défaut ne peuvent pas être modifiées:
Vous pouvez, cependant, créer un profil personnalisé comme afficher dans L'exemple ci-dessous
- Accédez à l'onglet objets
- Aller au profil de décryptage
- Cliquez sur ajouter
- Accédez à l'onglet décryptage SSL
- Accédez aux paramètres du protocole SSL
Dans le profil, vous pouvez voir les algorithmes de cryptage pris en charge et les algorithmes d'Authentification pris en charge. Notez que vous pouvez également sélectionner la version minimale et maximale des versions de protocole.
Quelques exemples:
- Appliquer le chiffrement de flux RC4
En utilisant la configuration ci-dessus, le pare-feu va modifier le client Hello pour inclure uniquement le chiffrement RC4:
Si le serveur prend alors en charge RC4, vous pouvez alors confirmer dans votre navigateur que la connexion est effectivement en utilisant RC4 comme algorithme de cryptage:
- Bloquer toutes les sessions avec une version de protocole moins que TLS 1,2:
En sélectionnant la version minimale de tlsv 1.2, vous remarquerez immédiatement que certains algorithmes de cryptage sont désactivés (3DES et RC4) comme l'algorithme d'Authentification MD5.
En outre, dans ce cas, vous verrez que le pare-feu modifie le client Bonjour pour inclure seulement tlsv 1.2 version et chiffrements:
Une fois de plus votre navigateur vous confirmera que vous utilisez maintenant tlsv 1.2:
Que faire si le serveur ne prend pas en charge TLSv 1.2?
> > Dans ce cas, le serveur va répondre avec un message de rupture de poignée de main comme vu ci-dessous:
Dans notre exemple, nous n'avons pas configuré pour bloquer les versions de protocole non supportées. Par conséquent, le pare-feu va insérer cette session dans le cache exclure:
> Show System Setting SSL-Decrypt Exclude-cache
VSYS Server App Timeout Reason DECRYPTED_APP Profile
1 10.193.91.71:443 SSL 43183 SSL_UNSUPPORTED indécis Custom Profile
Le client essaiera de se connecter à nouveau. Cette deuxième fois, la connexion correspond au cache d'exclusion et la session passe par le pare-feu sans décryptage:
Afin de bloquer la connexion ci-dessus, vous devez configurer l'option'bloquer la session avec des versions non supportées'dans le profil.
- Bloquer toutes les sessions SSL qui contiennent un certificat de serveur non fiable sans activer le décryptage
Dans cet exemple, sélectionnez'bloquer les sessions avec des émetteurs non fiables'sous l'onglet'pas de décryptage', puis appliquez le profil de décryptage à une règle de décryptage avec l'action'no-decrypt':
Notez que ces sessions bloquées ne s'afficheront pas dans les journaux de trafic. Vous le verrez dans la session info:
> Show session ID 25350
session 25350
C2S flux:
source: 172.19.73.64 [Trust-L3]
DST: 10.193.91.71
proto: 6
sport: 61457 dport: 443
État: type de rejet: débit
S2C flux:
source: 10.193.91.71 [Untrust-L3]
DST: 10.193.91.73
proto: 6
sport: 443 dport: 18929
État: type de rejet:
heure de début du flux: Mar Mar 3 15:30: 48 2016....
..
Firewall étape Tracker: proxy Decrypt échec
fin-raison: stratégie-Deny
S'Il vous plaît laissez un commentaire ou un comme si vous avez trouvé cette information utile.
A bientôt !
Kim