Dépannage du décryptage SSL à l'Aide de groupes d'adresses dynamiques
Resolution
Introduction
Ce document va parcourir un exemple d'automatisation à l'Aide du pare-feu et des groupes d'adresses dynamiques (DAG) de Palo Alto Networks. L'Utilisation de DAG est une manière puissante d'apporter L'automatisation aux stratégies de sécurité. L'idée est d'avoir des stratégies pré-définies configurées sur le pare-feu qui utilisent des groupes d'adresses dynamiques. Comme les conditions changent pour un hôte, il peut être déplacé dynamiquement vers un DAG, et par conséquent, être soumis à une stratégie différente dans le rulebase. Si les conditions changent une fois de plus pour cet hôte, il peut être déplacé vers un autre DAG, en frappant une politique différente tout à fait. Tous sans un administrateur d'ajouter et de déployer de nouvelles règles ou de commettre des modifications à être expulsés.
Les conditions qui peuvent être surveillées sont vastes! Dans cet exemple, nous allons utiliser Dag pour déplacer dynamiquement un hôte dans et hors d'un groupe de décryptage SSL pour le dépannage. Cependant, les cas d'utilisation sont pratiquement infinis.
Exigences en matière
Élément requis | Notes |
Pare-feu Palo Alto Networks | Testé avec un VM50, PANOS 8.1.0 |
Hôte avec navigateur | Testé avec Windows 7 64-bit VM |
Diagramme de réseau
Utiliser des diagrammes de cas
Configuration
Groupe d'Adresses dynamiques
Nous allons commencer par créer la balise qui sera utilisée par le groupe d'adresses dynamiques. Créez la balise pour désactiver SSL Decrypt.
Objets > Tags > ajouter
Créez le DAG à utiliser dans la stratégie de décryptage.
Objets > groupes d'Adresses > ajouter
- Nom du groupe d'adresses
- Changez le type en'Dynamic'
- Cliquez sur le critère ajouter une correspondance et sélectionnez la balise créée à l'étape précédente pour désigner un cryptage SSL
Politique de décryptage SSL
Configurez les stratégies de décryptage SSL pour les décrypter (hôtes à l'extérieur de DAG) et exclure le décryptage (hôtes à l'intérieur de DAG).
Politiques > décryptage > ajouter
- Ajouter deux stratégies dans cet ordre
- Ne décryptez pas
- Utilisez le DAG ne pas décrypter comme adresse source
- Faites l'Action'no-decrypt'
- Décrypter tous les autres
- Utiliser N'Importe quel pour les adresses source/destination
- Rendre l'Action'décrypter'
- Assurez-vous que le type est'ssl-Forward-proxy'
- Ne décryptez pas
Remarque: ce document suppose qu'il existe un certificat sur le pare-feu et le client pour effectuer le décryptage. Voir les instructions ici si nécessaire : https://Live.paloaltonetworks.com/T5/configuration-Articles/How-to-Implement-and-Test-SSL-decryption/ta-p/59719
Les politiques de décryptage doivent refléter les éléments suivants:
Signatures de vulnérabilité
Avant d'ajouter les conditions de journalisation, nous avons besoin d'un moyen de déclencher la condition. Dans cet exemple, nous allons créer des signatures de vulnérabilité personnalisées qui veillent sur un chemin d'accès URI spécifique. Nous allons utiliser le chemin URI comme moyen de déplacer un hôte dans ou hors de notre DAG.
Créez une signature de vulnérabilité qui recherche le chemin d'accès URI de'/kW-nodecrypt/'.
Objets > objets personnalisés > vulnérabilité > ajouter
Pour l'onglet configuration:
- Attribuer à l'ID de thread un numéro de signature personnalisé
- Il est recommandé de définir la gravité à l'information et l'Action pour alerter
- Pour les environnements en direct, travaillez avec l'équipe de réponse aux incidents afin qu'ils sachent ignorer cette alerte spécifique
- La direction est client2server
Pour l'onglet signatures:
- Ajouter une signature standard (ouvre une nouvelle fenêtre)
- Laisser la portée en tant que transaction
- Utilisez le bouton vert plus pour ajouter et conditionner (ouvre une nouvelle fenêtre)
- Changer le contexte en: http-req-URI-Path
- Pour le motif, entrez notre commande personnalisée pour désactiver le décryptage:/kW-nodecrypt/
Sélectionnez OK pour voir le résultat.
Cliquez deux fois sur OK pour enregistrer.
Créez une signature de vulnérabilité qui recherche le chemin d'accès URI de'/kW-nodecrypt-Remove/'. Cela indiquera au pare-feu de supprimer l'hôte du DAG Bypass SSL et commencer à décrypter une fois de plus. Ceci sera expliqué plus en partie dans la section de transfert de journal de la configuration.
Objets > objets personnalisés > vulnérabilité > ajouter
Pour l'onglet configuration:
- Attribuer à l'ID de thread un numéro de signature personnalisé
- Il est recommandé de définir la gravité à l'information et l'Action pour alerter
- Pour les environnements en direct, travaillez avec l'équipe de réponse aux incidents afin qu'ils sachent ignorer cette alerte spécifique
- La direction est client2server
Pour l'onglet signatures:
- Ajouter une signature standard (ouvre une nouvelle fenêtre)
- Laisser la portée en tant que transaction
- Utilisez le bouton vert plus pour ajouter et conditionner (ouvre une nouvelle fenêtre)
- Changer le contexte pour être http-req-URI-Path
- Pour le motif, entrez notre commande personnalisée pour désactiver le décryptage:/kW-nodecrypt-Remove/
Cliquez sur OK pour voir le résultat.
Cliquez deux fois sur OK pour enregistrer.
Les deux signatures de vulnérabilité personnalisées similaires aux suivantes:
Profil de transfert de journal
Avec la configuration de support en place, nous pouvons maintenant configurer le pare-feu pour surveiller nos signatures personnalisées et prendre des mesures (déplacer l'hôte dans ou hors d'un DAG).
Créez un profil de transfert de journal personnalisé.
Objets > transfert de journal > ajouter
- Nom du profil de transfert de journal
- Sélectionnez Ajouter pour créer une nouvelle liste de correspondance (ouvre une nouvelle fenêtre)
- Nommez la liste des matchs
- Sélectionnez la menace comme type de journal
- Pour l'utilisation du filtre: (nom-de-threatid EQ 41000)
- Utilisez le threatID que vous avez entré lors de la création de la première signature de vulnérabilité
- Remarque: le filtre peut également être construit manuellement en sélectionnant la flèche vers le bas dans ce champ et en choisissant filtre Builder
- Sélectionnez Ajouter dans la fenêtre actions intégrées (ouvre une nouvelle fenêtre)
- Nommez l'Action
- Sélectionner le marquage comme type d'action
- Target est l'Adresse source
- Action est ajouter une balise
- L'Enregistrement est ID utilisateur local
- Dans la liste déroulante Tags, sélectionnez la balise créée dans la première étape
Cliquez deux fois sur OK pour revenir au profil d'expédition du journal. Si vous quittez trop loin, cliquez sur le profil de transfert de journal afin que vous puissiez ajouter une autre liste de correspondance.
- Sélectionnez Ajouter pour créer une deuxième liste de correspondance (ouvre une nouvelle fenêtre)
- Nommez la liste des matchs
- Sélectionnez la menace comme type de journal
- Pour l'utilisation du filtre: (nom-de-threatid EQ 41001)
- Utilisez le threatID que vous avez entré lors de la création de la deuxième signature de vulnérabilité
- Remarque: le filtre peut également être construit manuellement en sélectionnant la flèche vers le bas dans ce champ et en choisissant filtre Builder
- Sélectionnez Ajouter dans la fenêtre actions intégrées (ouvre une nouvelle fenêtre)
- Nommez l'Action
- Sélectionner le marquage comme type d'action
- Target est l'Adresse source
- Action est supprimer la balise
- L'Enregistrement est ID utilisateur local
- Dans la liste déroulante Tags, sélectionnez la balise créée dans la première étape
Cliquez sur OK trois fois pour enregistrer le profil de transfert de journal. Les résultats devraient être semblables aux suivants:
Profil de vulnérabilité
Pour que les objets de vulnérabilité personnalisés apparaissent dans les journaux des menaces, nous devrons modifier un profil de vulnérabilité existant, en créer un nouveau ou en dupliquer un. Prenez ces mesures pour cloner la valeur par défaut.
Objets > profils de sécurité > protection des vulnérabilités
- Clonez la valeur par défaut en sélectionnant la case à gauche de'default'et en cliquant sur clone en bas de la fenêtre
- Ouvrir le profil cloné
- (facultatif) changer le nom du profil
- Sélectionnez la règle «simple-client-medium» et clonez-la
- Ouvrez la règle clonée (ouvre une nouvelle fenêtre)
- Changer le nom de la règle pour lire: simple-client-Informational
- Modifiez l'Action en Alert (ce qui fournira une entrée de journal des menaces)
- Cochez'information'dans la gravité (décochez toutes les autres)
Cliquez deux fois sur OK pour enregistrer le profil.
Le nouveau profil de vulnérabilité devrait ressembler à quelque chose comme ceci:
Stratégie de pare-feu
Configurez une stratégie de pare-feu pour utiliser le profil de transfert de journal et le profil de vulnérabilité personnalisé.
Politiques > sécurité
Sélectionnez une règle qui permet la navigation sur le Web et modifier la règle.
Sous l'onglet actions, sélectionnez le profil de transfert de journal nouvellement créé dans la liste déroulante transfert de journal.
Remplacez le type de profil par «profils» et assurez-vous que le profil de vulnérabilité nouvellement créé est sélectionné.
Cliquez sur OK pour enregistrer la stratégie.
Validez la configuration.
Configuration de test
Assurez-vous que l'action par défaut pour décrypter SSL fonctionne. Accédez à un site crypté tel que https://paloaltonetworks.com et examinez les informations de certificat dans le navigateur.
Recherchez la colonne de décryptage SSL'yes'dans les journaux de trafic. Si la colonne n'est pas visible, elle peut être ajoutée (https://Live.paloaltonetworks.com/T5/Management-Articles/Adding-Columns-to-the-traffic-logs-to-view-Additional-session/ta-p/54193)
Vérifiez le groupe d'adresses dynamiques pour voir si le groupe est vide (c'est-à-dire qu'aucun hôte ne contourne le décryptage SSL).
Objets > groupes d'Adresses
Sous la colonne adresses, sélectionnez «plus» dans le groupe d'adresses dynamiques créé dans les premières étapes. Assurez-vous que le groupe est vide.
Utilisez le chemin d'accès URI créé pour supprimer un hôte du décryptage SSL. La commande doit déclencher l'une des signatures de vulnérabilité personnalisées, ce qui déclenchera le profil de transfert de journal pour ajouter une balise qui exemptera l'hôte du décryptage SSL.
Sur l'hôte, accédez à n'importe quel site et ajoutez la chaîne d'URI que vous avez créée qui n'indique aucun décryptage:
/kW-nodecrypt/
Par exemple, https://paloaltonetworks.com/kW-nodecrypt/
Le navigateur ne sera pas tirer vers le haut de la page (erreur 404) car il n'existe pas, mais plus important encore, l'hôte doit maintenant être exempté de décryptage SSL. Veillez à fermer le navigateur pour déclencher l'événement log si la stratégie est configurée pour se connecter à la fin de session.
Vérifiez que la signature de vulnérabilité correcte est enregistrée dans les journaux des menaces.
Moniteur > logs > menace
Vérifiez le groupe d'adresses dynamiques pour voir S'il contient votre hôte.
Objets > groupes d'Adresses
Sous la colonne adresses, sélectionnez «plus» dans le groupe d'adresses dynamiques créé dans les premières étapes.
Accédez à un autre site https et vérifiez le certificat. Il ne doit pas montrer votre certificat.
Vérifiez les journaux de trafic pour vous assurer que les sites SSL ne sont pas décryptés.
Monitor > journaux > trafic
Utilisez le chemin d'accès URI créé pour supprimer un hôte de l'exemption de décryptage. La commande doit déclencher l'une des signatures de vulnérabilité personnalisées, qui déclenchera le profil de transfert de journal pour supprimer une balise qui entraînera l'hôte à subir le décryptage SSL.
Sur l'hôte, accédez à n'importe quel site non HTTPS et ajoutez la chaîne d'URI que vous avez créée qui indique que vous souhaitez décrypter:
/kW-nodecrypt-Remove/
Par exemple: http://www.Calculator.net/kW-nodecrypt-Remove/
Le navigateur ne sera pas tirer vers le haut de la page (erreur 404) car il n'existe pas, mais plus important encore, l'hôte doit maintenant être soumis au décryptage SSL. Veillez à fermer le navigateur pour déclencher l'événement log si la stratégie est configurée pour se connecter à la fin de session.
Vérifiez que la signature de vulnérabilité correcte est enregistrée dans les journaux des menaces.
Moniteur > logs > menace
Accédez à un autre site https et vérifiez le certificat. Il devrait montrer votre certificat.
Vérifiez les journaux de trafic pour vous assurer que les sites SSL sont décryptés.
Monitor > journaux > trafic
Résumé
Il existe de nombreux cas d'utilisation pour les groupes d'adresses dynamiques et l'acheminement des journaux. À partir de cet exemple, il a servi à résoudre les problèmes de décryptage SSL en dirigeant dynamiquement un hôte entre les règles de décryptage. Lorsque vous créez des conditions dans les objets de transfert de journal, pratiquement tout ce qui est consigné est disponible.
- Trafic
- Menaces
- Traînée de poudre
- Authentification
- Tunnel
- Données
- URL
Pour un autre exemple, voir cet article sur Live: