FehlerBehebung SSL-Entschlüsselung mit dynamischen AdressGruppen
Resolution
Einführung
Dieses Dokument wird durch ein Automatisierungs Beispiel mit der Palo Alto Networks Firewall und dynamischen AdressGruppen (DAGs) gehen. Die Verwendung von DAGs ist eine starke Möglichkeit, die Automatisierung in die Sicherheitspolitik zu bringen. Die Idee ist, vorgegebene Richtlinien auf der Firewall zu konfigurieren, die dynamische AdressGruppen nutzen. Da sich die Bedingungen für einen Wirt ändern, kann er dynamisch auf eine DAG verschoben werden und daher einer anderen Politik in der rulebase unterliegen. Wenn sich die Bedingungen für diesen Gastgeber noch einmal ändern, kann es zu einem weiteren DAG bewegt werden, der eine andere Politik insgesamt trifft. Alles ohne einen Administrator, der neue Regeln hinzufügt und einsetzt oder Änderungen begeht, die verdrängt werden.
Die Bedingungen, die überwacht werden können, sind riesig! In diesem Beispiel werden wir DAGs verwenden, um einen Host dynamisch in und aus einer SSL-Entschlüsselungs Gruppe zur Fehlerbehebung zu bewegen. AllerDings sind die Anwendungsfälle schier endlos.
Anforderungen
Benötigte Artikel | Hinweise |
Palo Alto Networks Firewall | Getestet mit einem VM50, PANOS 8.1.0 |
Host mit Browser | Getestet mit Windows 7 64-Bit VM |
Netzwerk-Diagramm
AnwendungsFall Diagramme
Konfiguration
Dynamische Adress Gruppe
Wir werden mit der Erstellung des Tags beginnen, der von der dynamischen Adress Gruppe verwendet wird. Erstellen Sie den Tag für die Deaktivierung von SSL-Entschlüsselung.
Objekte > Tags > Add
Erstellen Sie die DAG, die innerhalb der Entschlüsselungs Politik verwendet werden soll.
Objekte > AdressGruppen > HinzuFügen
- Nennen Sie die Adress Gruppe
- Änderung des Typs auf ' dynamisch '
- Klicken Sie auf die Kriterien HinzuFügen und wählen Sie das im vorherigen Schritt erstellte Tag, um keine SSL-Verschlüsselung zu bezeichnen
SSL-Entschlüsselungs Politik
Konfigurieren Sie die SSL-Entschlüsselungs Richtlinien, um Sie zu entschlüsseln (Hosts außerhalb von DAG) und schließen Sie die Entschlüsselung (Hosts innerhalb von DAG) aus.
Policen > Entschlüsselung > Add
- Zwei Richtlinien in dieser Reihenfolge HinzuFügen
- Nicht entschlüsseln
- Verwenden Sie die nicht entschlüsselt DAG als Quelladresse
- Die Aktion "No-entschlüsselt" machen
- Alle anderen entschlüsseln
- Verwenden Sie eine Quelle für Quell-/Zieladressen
- Machen Sie die Aktion "entschlüsseln"
- Stellen Sie sicher, dass der Typ "SSL-Forward-Proxy" ist
- Nicht entschlüsseln
Hinweis: Dieses Dokument geht davon aus, dass es ein Zertifikat über die Firewall und den Client gibt, um die Entschlüsselung durchzuführen. Bei Bedarf finden Sie hier Anweisungen : https://Live.paloaltonetworks.com/T5/Configuration-articles/how-to-Implement-and-Test-SSL-Decryption/Ta-p/59719
Die Entschlüsselungs Richtlinien sollten Folgendes widerspiegeln:
Verwundbarkeit-Signaturen
Bevor wir die Protokollierungs Bedingungen hinzufügen, brauchen wir einen Weg, um den Zustand auszulösen. In diesem Beispiel werden wir maßgeschneiderte Verwundbarkeits Unterschriften erstellen, die auf bestimmte URI-Pfade achten. Wir werden den URI-Pfad als Weg nutzen, um einen Host in oder aus unserer DAG zu bewegen.
Erstellen Sie eine Verwundbarkeits Unterschrift, die den URI-Pfad von '/kW-NODECRYPT/' sucht.
Objekte > BenutzerDefinierte Objekte > Verwundbarkeit > Add
Für die Registerkarte Konfiguration:
- Weisen Sie der Thread-ID eine eigene Signatur-Nummer zu
- Es wird empfohlen, die Schwere der Information zu setzen und die Aktion zu warnen
- Für Live-Umgebungen, arbeiten Sie mit dem Incident Response Team, so dass Sie wissen, diese spezielle Warnung zu ignorieren
- Richtung ist client2server
Für die Signatur-Registerkarte:
- Eine Standard-Signatur HinzuFügen (öffnet ein neues Fenster)
- Den Rahmen als Transaktion verlassen
- Verwenden Sie den grünen Plus-Knopf, um HinzuZufügen und zu konditionieren (öffnet ein neues Fenster)
- Kontext ändern auf: http-req-URI-Path
- Geben Sie für das Muster unseren eigenen Befehl ein, um die Entschlüsselung zu deaktivieren:/kW-NODECRYPT/
Wählen Sie OK, um das Ergebnis zu sehen.
Klicken Sie auf OK zweimal, um zu speichern.
Erstellen Sie eine Verwundbarkeits Unterschrift, die den URI-Pfad von '/kW-NODECRYPT-remove/' sucht. Dies wird der Firewall sagen, dass Sie den Host aus dem SSL-Bypass-DAG entfernen und wieder mit der Entschlüsselung beginnen soll. Dies wird im Log-Forwarding-Teil der Konfiguration weiter erläutert.
Objekte > BenutzerDefinierte Objekte > Verwundbarkeit > Add
Für die Registerkarte Konfiguration:
- Weisen Sie der Thread-ID eine eigene Signatur-Nummer zu
- Es wird empfohlen, die Schwere der Information zu setzen und die Aktion zu warnen
- Für Live-Umgebungen, arbeiten Sie mit dem Incident Response Team, so dass Sie wissen, diese spezielle Warnung zu ignorieren
- Richtung ist client2server
Für die Signatur-Registerkarte:
- Eine Standard-Signatur HinzuFügen (öffnet ein neues Fenster)
- Den Rahmen als Transaktion verlassen
- Verwenden Sie den grünen Plus-Knopf, um HinzuZufügen und zu konditionieren (öffnet ein neues Fenster)
- Kontext ändern, um http-req-URI-Path zu sein
- Geben Sie für das Muster unseren eigenen Befehl ein, um die Entschlüsselung zu deaktivieren:/kW-NODECRYPT-Remove/
Klicken Sie auf OK, um das Ergebnis zu sehen.
Klicken Sie auf OK zweimal, um zu speichern.
Die beiden benutzerdefinierten Verwundbarkeits Unterschriften ähnlich wie die folgenden:
Logweiterleitungs Profil
Mit der unterstützenden Konfiguration können wir nun die Firewall so konfigurieren, dass wir auf unsere benutzerdefinierten Signaturen achten und aktiv werden (Host in oder aus einem DAG bewegen).
Erstellen Sie ein individuelles Log-Weiterleitungs Profil.
Objekte > Logweiterleitung > Add
- Nennen Sie das logweiterleitungs Profil
- Wählen Sie Add, um eine neue matchlist zu erstellen (öffnet ein neues Fenster)
- Benennen Sie die matchlist
- Wählen Sie Bedrohung als Log-Typ
- Für die Filter Verwendung: (Name-of-threatid EQ 41000)
- Verwenden Sie die threatID, die Sie bei der Erstellung der ersten Verwundbarkeit Unterschrift eingegeben haben
- Hinweis: der Filter kann auch manuell gebaut werden, indem man den Pfeil unten in diesem Feld wählt und den Filter Bauer wählt
- Wählen Sie das eingebaute Aktions Fenster HinzuFügen (öffnet ein neues Fenster)
- Namen die Aktion
- Wählen Sie Tagging als Aktions Typ
- Ziel ist die QuellAdresse
- Aktion ist Add-Tag
- Registrierung ist lokale Benutzer-ID
- Wählen Sie in den Tags Dropdown den Tag aus, der im ersten Schritt erstellt wurde
Klicken Sie zweimal auf OK, um zum Log-Forwarding-Profil zurückgebracht zu werden. Wenn Sie zu weit aussteigen, klicken Sie auf das Protokoll-Weiterleitungs Profil, damit Sie eine weitere Matchliste hinzufügen können.
- Wählen Sie Add, um eine zweite matchlist zu erstellen (öffnet ein neues Fenster)
- Benennen Sie die matchlist
- Wählen Sie Bedrohung als Log-Typ
- Für die Filter Verwendung: (Name-of-threatid EQ 41001)
- Verwenden Sie die threatID, die Sie bei der Erstellung der zweiten Verwundbarkeit-Signatur eingegeben haben
- Hinweis: der Filter kann auch manuell gebaut werden, indem man den Pfeil unten in diesem Feld wählt und den Filter Bauer wählt
- Wählen Sie das eingebaute Aktions Fenster HinzuFügen (öffnet ein neues Fenster)
- Namen die Aktion
- Wählen Sie Tagging als Aktions Typ
- Ziel ist die QuellAdresse
- Aktion ist entfernen Tag
- Registrierung ist lokale Benutzer-ID
- Wählen Sie in den Tags Dropdown den Tag aus, der im ersten Schritt erstellt wurde
Klicken Sie dreimal auf OK, um das Log-Weiterleitungs Profil zu speichern. Die Ergebnisse sollten ähnlich wie die folgenden sein:
Schwachstellen Profil
Um die benutzerdefinierten Verwundbarkeits Objekte in den Bedrohungs Protokollen erscheinen zu lassen, müssen wir ein bestehendes Verwundbarkeits Profil ändern, ein neues oder ein Klon erstellen. Diese Schritte unterNehmen, um die Voreinstellung zu klonen.
Objekte > SicherheitsProfile > Schwachstellen Schutz
- Klonen Sie die Voreinstellung, indem Sie das Kontrollkästchen links von ' default ' auswählen und auf Klon am unteren Rand des Fensters klicken
- Das geklonte Profil öffnen
- (optional) den Namen des Profils ändern
- Wählen Sie die "Simple-Client-Medium"-Regel und Klonen Sie Sie
- Öffnen Sie die geklonte Regel (öffnet ein neues Fenster)
- Ändern Sie den Regel Namen zum Lesen: einfach-Client-informativ
- Ändern Sie die Aktion in AlarmBereitschaft (Dies wird einen Bedrohungs Log-Eintrag bieten)
- ÜberPrüfen Sie ' informativ ' in der schwere (deaktivieren Sie alle anderen)
Klicken Sie zweimal auf OK, um das Profil zu speichern.
Das neue Verwundbarkeits Profil sollte so aussehen:
Firewall Policy
Konfigurieren Sie eine Firewall-Richtlinie, um das Log-Forwarding-Profil zu verwenden
Politik > Sicherheit
Wählen Sie eine Regel, die das Surfen im Internet erlaubt und die Regel bearbeitet.
Wählen Sie unter der Registerkarte Aktionen das neu erstellte Log-Weiterleitungs Profil im Log-Forwarding-Dropdown.
Ändern Sie den Profiltyp in "Profile" und stellen Sie sicher, dass das neu erstellte Verwundbarkeits Profil ausgewählt ist.
Klicken Sie auf OK, um die Richtlinien zu speichern.
Begehen Sie die Konfiguration.
Test Konfiguration
Stellen Sie sicher, dass die Standard-Aktion zur Entschlüsselung von SSL funktioniert. Stöbern Sie auf einer verschlüsselten Website wie https://paloaltonetworks.com und schauen Sie sich die Zertifikatsinformationen im Browser an.
Suchen Sie nach SSL-Entschlüsselungs Spalte "Ja" in Traffic Logs. Wenn die Spalte nicht sichtbar ist, kann Sie hinzugefügt werden (https://Live.paloaltonetworks.com/T5/Management-articles/Adding-columns-to-the-Traffic-Logs-to-View-additional-Session/Ta-p/54193)
ÜberPrüfen Sie die dynamische Adress Gruppe, um zu sehen, dass die Gruppe leer ist (d.h. kein Host umgeht die SSL-Entschlüsselung).
Objekte > AdressGruppen
Wählen Sie unter der Rubrik Adressen "mehr" aus der dynamischen Adress Gruppe, die in den ersten Schritten erstellt wurde. Stellen Sie sicher, dass die Gruppe leer ist.
Verwenden Sie den URI-Pfad, um einen Host aus der SSL-Entschlüsselung zu entfernen. Der Befehl sollte eine der benutzerdefinierten Verwundbarkeits Unterschriften auslösen, die das Log-Forwarding-Profil auslösen wird, um ein Tag hinzuzufügen, der den Host von der SSL-Entschlüsselung befreit.
Auf dem Rechner, stöbern Sie auf jeder Seite und fügen Sie die URI-Zeichenkette, die Sie erstellt haben, die keine Entschlüsselung anzeigt:
/kW-NODECRYPT/
Zum Beispiel https://paloaltonetworks.com/kW-NODECRYPT/
Der Browser wird die Seite nicht hochziehen (404-Fehler), da es Sie nicht gibt, aber noch wichtiger ist, dass der Host nun von der SSL-Entschlüsselung ausgenommen wird. Achten Sie darauf, den Browser zu schließen, um das Log-Ereignis auszulösen, wenn die Richtlinie so konfiguriert ist, dass Sie sich am Sitzungs Ende
ÜberPrüfen Sie, ob die korrekte Signatur der Verwundbarkeit in den Bedrohungs Protokollen aufgezeichnet ist.
Monitor > Logs > Bedrohung
ÜberPrüfen Sie die dynamische Adress Gruppe, um zu sehen, dass Sie Ihren Host enthält.
Objekte > AdressGruppen
Wählen Sie unter der Rubrik Adressen "mehr" aus der dynamischen Adress Gruppe, die in den ersten Schritten erstellt wurde.
Stöbern Sie auf einer anderen HTTPS-Seite und überprüfen Sie das Zertifikat. Sie sollte Ihr Zertifikat nicht vorweisen.
ÜberPrüfen Sie die Verkehrsprotokolle, um sicherzustellen, dass SSL-Seiten nicht entschlüsselt werden.
Monitor > Logs > Traffic
Verwenden Sie den URI-Pfad, um einen Host von der Entschlüsselungs Freiheit zu entfernen. Der Befehl sollte eine der benutzerdefinierten Verwundbarkeits Unterschriften auslösen, die das Log-Forwarding-Profil auslösen wird, um einen Tag zu entfernen, der dazu führt, dass der Host SSL-Entschlüsselung erfährt.
Auf dem Rechner, stöbern Sie auf jeder nicht HTTPS-Seite und fügen Sie den URI-String, den Sie erstellt haben, an, der anzeigt, dass Sie entschlüsseln wollen:
/kW-NODECRYPT-Remove/
Zum Beispiel: http://www.Calculator.net/kW-NODECRYPT-Remove/
Der Browser wird die Seite nicht hochziehen (404-Fehler), da es Sie nicht gibt, aber noch wichtiger ist, dass der Host nun der SSL-Entschlüsselung unterliegt. Achten Sie darauf, den Browser zu schließen, um das Log-Ereignis auszulösen, wenn die Richtlinie so konfiguriert ist, dass Sie sich am Sitzungs Ende
ÜberPrüfen Sie, ob die korrekte Signatur der Verwundbarkeit in den Bedrohungs Protokollen aufgezeichnet ist.
Monitor > Logs > Bedrohung
Stöbern Sie auf einer anderen HTTPS-Seite und überprüfen Sie das Zertifikat. Es sollte Ihr Zertifikat zeigen.
ÜberPrüfen Sie die Verkehrsprotokolle, um sicherzustellen, dass SSL-Seiten entschlüsselt werden.
Monitor > Logs > Traffic
Zusammenfassung
Es gibt viele Anwendungsfälle für dynamische AdressGruppen und Logweiterleitung. Aus diesem Beispiel diente es nützlich bei der Fehlerbehebung der SSL-Entschlüsselung, indem ein Host dynamisch zwischen Entschlüsselungs Regeln geleitet wurde. Bei der Erstellung von Bedingungen in Logweiterleitungs Objekten ist praktisch alles, was protokolliert wird, verfügbar.
- Datenverkehr
- Bedrohungen
- Ein Lauffeuer
- Authentifizierung
- Tunnel
- Daten
- URL
Ein weiteres Beispiel finden Sie in diesem Artikel über Live: