Solución de problemas de descifrado SSL mediante grupos de direcciones dinámicos

Solución de problemas de descifrado SSL mediante grupos de direcciones dinámicos

37914
Created On 09/25/18 19:10 PM - Last Modified 06/12/23 08:18 AM


Resolution


Introducción

Este documento recorrerá un ejemplo de automatización mediante el cortafuegos de Palo Alto Networks y los grupos de direcciones dinámicas (DAGs). El uso de DAGs es una forma poderosa de llevar la automatización a las políticas de seguridad. La idea es tener directivas predefinidas configuradas en el firewall que utilizan grupos de direcciones dinámicas. Como las condiciones cambian para un anfitrión, puede ser movida dinámicamente a un Dag, y por lo tanto, esté conforme a una política diferente en el reglas. Si las condiciones cambian una vez más para ese anfitrión, puede ser movido a otro Dag, golpeando una política diferente totalmente. Todo sin un administrador que agregue e implemente nuevas reglas o que cometa cambios para ser expulsado.

 

¡ Las condiciones que pueden ser monitoreadas son vastas! En este ejemplo, usaremos DAGs para mover dinámicamente un host dentro y fuera de un grupo de desencriptación SSL para solucionar problemas. Sin embargo, los casos de uso son prácticamente infinitos.

 

Requisitos

 

Elemento requerido

Notas

Palo Alto Networks Firewall

Probado con un VM50, Panos 8.1.0

Host con navegador

Testeado con Windows 7 64-bit VM

 

 

 

Diagrama de red

 

Picture1.png

Usar diagramas de casos

 

Picture28. pngPicture29. pngPicture30. png

 

 

Configuración de

Grupo de direcciones dinámicos

 

Comenzaremos creando la etiqueta que será utilizada por el grupo de direcciones dinámicos. Cree la etiqueta para deshabilitar SSL descifrar.

 

Objetos > etiquetas > Add

 

Picture2.png

 

Cree el Dag que se usará dentro de la política de desencriptación.

 

Objetos > grupos de direcciones > Add

  • Nombre del grupo de direcciones
  • Cambiar tipo a ' dinámico '
  • Haga clic en agregar criterios de coincidencia y seleccione la etiqueta creada en el paso anterior para denotar que no hay cifrado SSL

 

Picture3.png

 

Política de desencriptación SSL

 

Configure las políticas de descifrado SSL para descifrar (hosts fuera de Dag) y excluya el descifrado (hosts dentro de Dag).

 

Políticas > desencriptación > Add

 

  • Agregar dos directivas en este orden
    • No descifre
      • Usar el no descifrar Dag como la dirección de origen
      • Hacer la acción ' no-descifrar '
    • Descifrar todos los demás
      • Utilizar cualquiera para direcciones de origen/destino
      • Hacer la acción ' descifrar '
      • Asegúrese de que el tipo es ' SSL-Forward-proxy '

 

Nota: este documento asume que hay un certificado en el firewall y el cliente para realizar el descifrado. Vea las instrucciones aquí si es necesario: https://Live.paloaltonetworks.com/T5/Configuration-articles/How-to-implement-and-Test-SSL-decryption/TA-p/59719

 

Las políticas de descifrado deben reflejar lo siguiente:

 

Picture4.png

 

Firmas de vulnerabilidad

 

Antes de añadir las condiciones de registro, necesitamos una forma de desencadenar la condición. En este ejemplo, crearemos firmas de vulnerabilidad personalizadas que observen una ruta URI específica. Vamos a utilizar la ruta URI como manera de mover un host dentro o fuera de nuestro DAG.

 

Cree una firma de vulnerabilidad que busque la ruta de acceso URI de '/kW-nodecrypt/'.

 

Objetos > objetos personalizados > vulnerabilidad > Add

 

Para la ficha Configuración:

  • Asignar el identificador de subProceso a un número de firma personalizado
  • Se recomienda establecer la severidad en la información y la acción para alertar
    • Para entornos en vivo, trabaje con el equipo de respuesta de incidentes para que sepan ignorar esta alerta específica
  • La dirección es client2server

 

Picture5.png

 

Para la ficha firmas:

  • Agregar una firma estándar (abre una nueva ventana)
  • Dejar el ámbito como transacción
  • Utilice el botón verde Plus para agregar y acondicionar (abre una nueva ventana)
  • Cambiar el contexto a: http-req-URI-path
  • Para el patrón, ingrese nuestro comando personalizado para deshabilitar desencriptación:/kW-nodecrypt/

 

Picture6.png

 

Seleccione Aceptar para ver el resultado.

 

Picture7.png

 

Haga clic en aceptar dos veces para guardar.

 

Cree una firma de vulnerabilidad que busque la ruta de acceso URI de '/kW-nodecrypt-Remove/'. Esto le dirá al firewall que elimine el host del SSL bypass Dag y comience a descifrar una vez más. Esto se explicará en la parte de reenvío de registro de la configuración.

 

Objetos > objetos personalizados > vulnerabilidad > Add

 

Para la ficha Configuración:

  • Asignar el identificador de subProceso a un número de firma personalizado
  • Se recomienda establecer la severidad en la información y la acción para alertar
    • Para entornos en vivo, trabaje con el equipo de respuesta de incidentes para que sepan ignorar esta alerta específica
  • La dirección es client2server

 

Picture8.png

 

Para la ficha firmas:

  • Agregar una firma estándar (abre una nueva ventana)
  • Dejar el ámbito como transacción
  • Utilice el botón verde Plus para agregar y acondicionar (abre una nueva ventana)
  • Cambiar el contexto a http-req-URI-path
  • Para el patrón, ingrese nuestro comando personalizado para deshabilitar desencriptación:/kW-nodecrypt-Remove/

 

Picture9.png

 

Haga clic en Aceptar para ver el resultado.

 

Picture10.png

 

Haga clic en aceptar dos veces para guardar.

 

Las dos firmas de vulnerabilidades personalizadas similares a las siguientes:

 

Picture11. png

 

Perfil de reenvío de registro

 

Con la configuración de soporte en su lugar, ahora podemos configurar el cortafuegos para ver nuestras firmas personalizadas y tomar acción (mover host dentro o fuera de un Dag).

 

Cree un perfil de reenvío de registro personalizado.

 

Objetos > reenvío de registro > Add

 

  • Nombrar el perfil de reenvío de registro
  • Seleccione Agregar para crear una nueva lista de coincidencia (abre una nueva ventana)
  • Nombre de la lista de coincidencia
  • Seleccionar amenaza como tipo de registro
  • Para el uso del filtro: (Name-of-threatid EQ 41000)
    • Utilice el threatID que introdujo al crear la primera firma de vulnerabilidad
    • Nota: el filtro también se puede construir manualmente seleccionando la flecha hacia abajo en este campo y eligiendo el generador de filtros
  • Seleccione Agregar en la ventana acciones integradas (abre una nueva ventana)
  • Nombre de la acción
  • Seleccionar etiquetado como tipo de acción
  • El destino es la dirección de origen
  • Acción es agregar etiqueta
  • El registro es usuario local-ID
  • En el menú desplegable etiquetas, seleccione la etiqueta creada en el primer paso

 

Picture12. png

 

Haga clic en aceptar dos veces para volver al perfil de reenvío de registro. Si sale demasiado lejos, haga clic en el perfil de reenvío de registro para que pueda agregar otra lista de coincidencia.

 

  • Seleccione Agregar para crear una segunda lista de partidos (abre una nueva ventana)
  • Nombre de la lista de coincidencia
  • Seleccionar amenaza como tipo de registro
  • Para el uso del filtro: (Name-of-threatid EQ 41001)
    • Utilice el threatID que introdujo al crear la segunda firma de vulnerabilidad
    • Nota: el filtro también se puede construir manualmente seleccionando la flecha hacia abajo en este campo y eligiendo el generador de filtros
  • Seleccione Agregar en la ventana acciones integradas (abre una nueva ventana)
  • Nombre de la acción
  • Seleccionar etiquetado como tipo de acción
  • El destino es la dirección de origen
  • Acción es quitar etiqueta
  • El registro es usuario local-ID
  • En el menú desplegable etiquetas, seleccione la etiqueta creada en el primer paso

 

Picture13. png

 

Haga clic en aceptar tres veces para guardar el perfil de reenvío de registro. Los resultados deben ser similares a los siguientes:

 

Picture14. png

 

Perfil de vulnerabilidad

 

Para que los objetos de vulnerabilidad personalizados aparezcan en los registros de amenazas, será necesario modificar un perfil de vulnerabilidad existente, crear uno nuevo o clonar uno. Tome estos pasos para clonar el valor predeterminado.

 

Objetos > perfiles de seguridad > protección de vulnerabilidades

 

  • Clonar el valor predeterminado seleccionando la casilla de verificación a la izquierda de ' default ' y haciendo clic en clonar en la parte inferior de la ventana
  • Abrir el perfil clonado
  • (opcional) cambiar el nombre del perfil
  • Seleccione la regla ' simple-cliente-medio ' y clonarla
  • Abrir la regla clonada (abre una nueva ventana)
  • Cambiar el nombre de la regla para leer: simple-Client-informativo
  • Cambiar la acción a Alert (Esto proporcionará una entrada de registro de amenazas)
  • Marque ' información ' en la severidad (desmarque todos los demás)

 

Picture15. png

 

Haga clic en aceptar dos veces para guardar el perfil.

 

El nuevo perfil de vulnerabilidad debe ser algo como esto:

 

Picture16. png

 

Política de cortafuegos

 

Configure una directiva de cortafuegos para utilizar el perfil de reenvío de registros y el perfil de vulnerabilidad personalizado.

 

Políticas > seguridad

 

Seleccione una regla que permita la navegación web y edite la regla.

 

En la ficha acciones, seleccione el perfil de reenvío de registro recién creado en el menú desplegable reenvío de registros.

 

Cambie el tipo de perfil a ' perfiles ' y asegúrese de que se ha seleccionado el perfil de vulnerabilidad recién creado.

 

Picture17. png

 

Haga clic en Aceptar para guardar la Directiva.

 

Confirme la configuración.

 

Configuración de prueba

Asegúrese de que la acción predeterminada para descifrar SSL está funcionando. Desplácese hasta un sitio encriptado como https://paloaltonetworks.com y mire la información del certificado en el explorador.

 

Picture18. png

 

Busque la columna de descifrado SSL ' Yes ' en los registros de tráfico. Si la columna no es visible, se puede Agregar (https://Live.paloaltonetworks.com/T5/management-articles/Adding-Columns-to-the-Traffic-logs-to-View-Additional-Session/TA-p/54193)

 

Picture19. png

 

Compruebe el grupo de direcciones dinámicas para ver que el grupo está vacío (es decir, que ningún host está evitando el descifrado de SSL).

 

Objetos > grupos de direcciones

 

En la columna direcciones, seleccione ' More ' del grupo de direcciones dinámicas creado en los primeros pasos. Asegúrese de que el grupo esté vacío.

 

 

Picture20. png

 

Utilice la ruta de acceso URI creada para quitar un host de descifrado SSL. El comando debe desencadenar una de las firmas de vulnerabilidad personalizadas, que desencadenará el perfil de reenvío de registros para agregar una etiqueta que eximirá al host de la descodificación SSL.

 

En el host, desplácese a cualquier sitio y anexe la cadena URI que ha creado, lo que indica que no hay descifrado:

/kW-nodecrypt/

 

Por ejemplo, https://paloaltonetworks.com/kW-nodecrypt/

 

El navegador no retirará la página (error 404) ya que no existe, pero lo que es más importante, el host ahora debe estar exento de desencriptación SSL. Asegúrese de cerrar el explorador para desencadenar el evento de registro si la Directiva está configurada para iniciar sesión en el extremo de sesiones.

 

Compruebe que la firma correcta de vulnerabilidad se registra en los registros de amenazas.

 

Monitor > logs > amenaza

 

Picture21. png

 

Compruebe el grupo de direcciones dinámicas para ver que contiene el host.

 

Objetos > grupos de direcciones

 

En la columna direcciones, seleccione ' More ' del grupo de direcciones dinámicas creado en los primeros pasos.

 

Picture22. png

 

Navegue a otro sitio HTTPS y compruebe el certificado. No debe mostrar su certificado.

 

Picture23. png

 

Compruebe los registros de tráfico para asegurarse de que los sitios SSL no se desencriptan.

 

Monitor > logs > tráfico

 

Picture24. png

 

Utilice la ruta de acceso URI creada para quitar un host de la exención de descifrado. El comando debe desencadenar una de las firmas de vulnerabilidad personalizadas, que desencadenará el perfil de reenvío de registro para eliminar una etiqueta que hará que el host sufra descifrado SSL.

 

En el host, desplácese a cualquier sitio no HTTPS y anexe la cadena URI que ha creado, que indica que desea descifrar:

/kW-nodecrypt-Remove/

 

Por ejemplo: http://www.Calculator.net/kW-nodecrypt-Remove/

 

El navegador no retirará la página (error 404) ya que no existe, pero lo que es más importante, el host ahora debe estar sujeto a desencriptación SSL. Asegúrese de cerrar el explorador para desencadenar el evento de registro si la Directiva está configurada para iniciar sesión en el extremo de sesiones.

 

Compruebe que la firma correcta de vulnerabilidad se registra en los registros de amenazas.

 

Monitor > logs > amenaza

 

Picture25. png

 

Navegue a otro sitio HTTPS y compruebe el certificado. Debería mostrar su certificado.

 

Picture26. png

 

Compruebe los registros de tráfico para asegurarse de que los sitios SSL están siendo desencriptados.

 

Monitor > logs > tráfico

 

Picture27. png

 

Resumen

Hay muchos casos de uso para grupos de direcciones dinámicos y reenvío de logs. A partir de este ejemplo sirvió de utilidad en la solución de problemas de desencriptación SSL mediante la dirección dinámica de un host entre las reglas de descifrado. Al crear condiciones en los objetos de reenvío de registro, prácticamente cualquier cosa que se registre está disponible.

  • Tráfico
  • Amenazas
  • Incendios forestales
  • Autenticación
  • Túnel
  • Datos
  • DIRECCIÓN URL

 

Para otro ejemplo, vea este artículo en vivo:

https://live.paloaltonetworks.com/t5/Learning-Articles/Protecting-ICS-and-SCADA-Networks-with-PAN-OS-8-0/ta-p/180651

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVJCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language