ヒントとコツ: 復号化ルールにおける暗号スイートの適用
Resolution
どのプロトコルまたはアルゴリズムをサポートし、許可するかをより詳細に制御しますか?PAN-OS 7.0 で導入された機能は、復号化プロファイルの一部として暗号スイートおよび/またはプロトコルを適用する機能を追加します。また、SSL 復号化を行わずに、信頼できない発行元で期限切れの証明書やサーバー証明書をブロックするオプションも追加されます。
復号化プロファイルは、[オブジェクト] タブ > [復号化プロファイル] で構成されます。
ユーザーがカスタム decrpytion プロファイルを作成しない場合は、「デフォルト」プロファイルにフォールバックします。 このプロファイルは、カスタムプロファイルを適用していないすべての復号化セッションに適用されます。スクリーンショットには、既定のプロファイルで構成されている値が表示されます。この既定のプロファイルの値は変更できません。
ただし、次の例に示すようにカスタムプロファイルを作成することはできます。
- [オブジェクト] タブに移動します。
- 復号化プロファイルへ移動
- [追加 ]
- [SSL 復号] タブに移動します。
- SSL プロトコルの設定に移動します。
プロファイルでは、サポートされている暗号化アルゴリズムとサポートされている認証アルゴリズムを確認できます。 プロトコルバージョンの最小および最大バージョンも選択できることに注意してください。
いくつかの例:
- RC4 ストリーム暗号を適用する
上記の構成を使用して、ファイアウォールは、RC4 暗号のみを含むようにクライアント Hello を変更します。
サーバーが rc4 をサポートしている場合は、接続が暗号化アルゴリズムとして rc4 を使用していることをブラウザで確認できます。
- プロトコルバージョンが以下のすべてのセッションをブロックする TLS 1.2:
tlsv 1.2 の最小バージョンを選択することで、認証アルゴリズム MD5 と同様に、特定の暗号化アルゴリズムが無効 (3des および RC4) になることがすぐにわかります。
また、この場合、ファイアウォールによってクライアント Hello が変更され、tlsv 1.2 バージョンと暗号のみが含まれていることがわかります。
もう一度お使いのブラウザでは、現在 tlsv 1.2 を使用していることを確認します:
サーバーが tlsv 1.2 をサポートしていない場合はどうすればよいですか。
> > その場合、サーバーは次のようにハンドシェイクエラーメッセージを返信します。
この例では、サポートされていないプロトコルバージョンをブロックするように構成しませんでした。したがって、ファイアウォールはこのセッションを除外キャッシュに挿入します。
> システム設定を表示する ssl 復号化除外-キャッシュ
VSYS サーバーアプリタイムアウト理由 DECRYPTED_APP プロファイル
1 10.193.91.71: 443 ssl 43183 SSL_UNSUPPORTED 未定カスタムプロファイル
クライアントは再び接続を試みます。この2回目は、接続が除外キャッシュと一致し、セッションは復号化せずにファイアウォールを通過します。
上記の接続をブロックするには、プロファイルで [サポートされていないバージョンのセッションをブロックする] オプションを構成する必要があります。
- 復号化を有効にせずに信頼されていないサーバー証明書を含むすべての SSL セッションをブロック
この例では、[復号化なし] タブの下にある [信頼されていない発行者とのセッションをブロックする] を選択し、解読のプロファイルを解読ルールに適用します。
これらのブロックされたセッションは、トラフィックログには現れないことに注意してください。 あなたは、セッション情報でこれを見るでしょう:
> セッション id 25350 セッションを表示する
25350
c2s フロー:
ソース: 172.19.73.64 [トラスト-l3]
dst: 10.193.91.71
プロト: 6
スポーツ: 61457 dport: 443
状態: 廃棄タイプ: フロー
s2c フロー:
ソース: 10.193.91.71 [untrust]
dst: 10.193.91.73
プロト: 6
スポーツ: 443 dport: 18929
状態: タイプを捨てなさい: 流れの
開始時間: 火3月 3 15:30: 48 2016
...
トラッカーステージファイアウォール: プロキシの復号化の失敗
の終了理由: ポリシー-拒否
この情報が役に立つことがわかった場合は、コメントなどを残してください。
乾杯 !
キム