Dépannage du décryptage SSL à l'Aide de groupes d'adresses dynamiques

Dépannage du décryptage SSL à l'Aide de groupes d'adresses dynamiques

37920
Created On 09/25/18 19:10 PM - Last Modified 06/12/23 08:18 AM


Resolution


Introduction

Ce document va parcourir un exemple d'automatisation à l'Aide du pare-feu et des groupes d'adresses dynamiques (DAG) de Palo Alto Networks. L'Utilisation de DAG est une manière puissante d'apporter L'automatisation aux stratégies de sécurité. L'idée est d'avoir des stratégies pré-définies configurées sur le pare-feu qui utilisent des groupes d'adresses dynamiques. Comme les conditions changent pour un hôte, il peut être déplacé dynamiquement vers un DAG, et par conséquent, être soumis à une stratégie différente dans le rulebase. Si les conditions changent une fois de plus pour cet hôte, il peut être déplacé vers un autre DAG, en frappant une politique différente tout à fait. Tous sans un administrateur d'ajouter et de déployer de nouvelles règles ou de commettre des modifications à être expulsés.

 

Les conditions qui peuvent être surveillées sont vastes! Dans cet exemple, nous allons utiliser Dag pour déplacer dynamiquement un hôte dans et hors d'un groupe de décryptage SSL pour le dépannage. Cependant, les cas d'utilisation sont pratiquement infinis.

 

Exigences en matière

 

Élément requis

Notes

Pare-feu Palo Alto Networks

Testé avec un VM50, PANOS 8.1.0

Hôte avec navigateur

Testé avec Windows 7 64-bit VM

 

 

 

Diagramme de réseau

 

Picture1.png

Utiliser des diagrammes de cas

 

Picture28. pngPicture29. pngPicture30. png

 

 

Configuration

Groupe d'Adresses dynamiques

 

Nous allons commencer par créer la balise qui sera utilisée par le groupe d'adresses dynamiques. Créez la balise pour désactiver SSL Decrypt.

 

Objets > Tags > ajouter

 

Picture2.png

 

Créez le DAG à utiliser dans la stratégie de décryptage.

 

Objets > groupes d'Adresses > ajouter

  • Nom du groupe d'adresses
  • Changez le type en'Dynamic'
  • Cliquez sur le critère ajouter une correspondance et sélectionnez la balise créée à l'étape précédente pour désigner un cryptage SSL

 

Picture3.png

 

Politique de décryptage SSL

 

Configurez les stratégies de décryptage SSL pour les décrypter (hôtes à l'extérieur de DAG) et exclure le décryptage (hôtes à l'intérieur de DAG).

 

Politiques > décryptage > ajouter

 

  • Ajouter deux stratégies dans cet ordre
    • Ne décryptez pas
      • Utilisez le DAG ne pas décrypter comme adresse source
      • Faites l'Action'no-decrypt'
    • Décrypter tous les autres
      • Utiliser N'Importe quel pour les adresses source/destination
      • Rendre l'Action'décrypter'
      • Assurez-vous que le type est'ssl-Forward-proxy'

 

Remarque: ce document suppose qu'il existe un certificat sur le pare-feu et le client pour effectuer le décryptage. Voir les instructions ici si nécessaire : https://Live.paloaltonetworks.com/T5/configuration-Articles/How-to-Implement-and-Test-SSL-decryption/ta-p/59719

 

Les politiques de décryptage doivent refléter les éléments suivants:

 

Picture4.png

 

Signatures de vulnérabilité

 

Avant d'ajouter les conditions de journalisation, nous avons besoin d'un moyen de déclencher la condition. Dans cet exemple, nous allons créer des signatures de vulnérabilité personnalisées qui veillent sur un chemin d'accès URI spécifique. Nous allons utiliser le chemin URI comme moyen de déplacer un hôte dans ou hors de notre DAG.

 

Créez une signature de vulnérabilité qui recherche le chemin d'accès URI de'/kW-nodecrypt/'.

 

Objets > objets personnalisés > vulnérabilité > ajouter

 

Pour l'onglet configuration:

  • Attribuer à l'ID de thread un numéro de signature personnalisé
  • Il est recommandé de définir la gravité à l'information et l'Action pour alerter
    • Pour les environnements en direct, travaillez avec l'équipe de réponse aux incidents afin qu'ils sachent ignorer cette alerte spécifique
  • La direction est client2server

 

Picture5.png

 

Pour l'onglet signatures:

  • Ajouter une signature standard (ouvre une nouvelle fenêtre)
  • Laisser la portée en tant que transaction
  • Utilisez le bouton vert plus pour ajouter et conditionner (ouvre une nouvelle fenêtre)
  • Changer le contexte en: http-req-URI-Path
  • Pour le motif, entrez notre commande personnalisée pour désactiver le décryptage:/kW-nodecrypt/

 

Picture6.png

 

Sélectionnez OK pour voir le résultat.

 

Picture7.png

 

Cliquez deux fois sur OK pour enregistrer.

 

Créez une signature de vulnérabilité qui recherche le chemin d'accès URI de'/kW-nodecrypt-Remove/'. Cela indiquera au pare-feu de supprimer l'hôte du DAG Bypass SSL et commencer à décrypter une fois de plus. Ceci sera expliqué plus en partie dans la section de transfert de journal de la configuration.

 

Objets > objets personnalisés > vulnérabilité > ajouter

 

Pour l'onglet configuration:

  • Attribuer à l'ID de thread un numéro de signature personnalisé
  • Il est recommandé de définir la gravité à l'information et l'Action pour alerter
    • Pour les environnements en direct, travaillez avec l'équipe de réponse aux incidents afin qu'ils sachent ignorer cette alerte spécifique
  • La direction est client2server

 

Picture8.png

 

Pour l'onglet signatures:

  • Ajouter une signature standard (ouvre une nouvelle fenêtre)
  • Laisser la portée en tant que transaction
  • Utilisez le bouton vert plus pour ajouter et conditionner (ouvre une nouvelle fenêtre)
  • Changer le contexte pour être http-req-URI-Path
  • Pour le motif, entrez notre commande personnalisée pour désactiver le décryptage:/kW-nodecrypt-Remove/

 

Picture9.png

 

Cliquez sur OK pour voir le résultat.

 

Picture10.png

 

Cliquez deux fois sur OK pour enregistrer.

 

Les deux signatures de vulnérabilité personnalisées similaires aux suivantes:

 

Picture11. png

 

Profil de transfert de journal

 

Avec la configuration de support en place, nous pouvons maintenant configurer le pare-feu pour surveiller nos signatures personnalisées et prendre des mesures (déplacer l'hôte dans ou hors d'un DAG).

 

Créez un profil de transfert de journal personnalisé.

 

Objets > transfert de journal > ajouter

 

  • Nom du profil de transfert de journal
  • Sélectionnez Ajouter pour créer une nouvelle liste de correspondance (ouvre une nouvelle fenêtre)
  • Nommez la liste des matchs
  • Sélectionnez la menace comme type de journal
  • Pour l'utilisation du filtre: (nom-de-threatid EQ 41000)
    • Utilisez le threatID que vous avez entré lors de la création de la première signature de vulnérabilité
    • Remarque: le filtre peut également être construit manuellement en sélectionnant la flèche vers le bas dans ce champ et en choisissant filtre Builder
  • Sélectionnez Ajouter dans la fenêtre actions intégrées (ouvre une nouvelle fenêtre)
  • Nommez l'Action
  • Sélectionner le marquage comme type d'action
  • Target est l'Adresse source
  • Action est ajouter une balise
  • L'Enregistrement est ID utilisateur local
  • Dans la liste déroulante Tags, sélectionnez la balise créée dans la première étape

 

Picture12. png

 

Cliquez deux fois sur OK pour revenir au profil d'expédition du journal. Si vous quittez trop loin, cliquez sur le profil de transfert de journal afin que vous puissiez ajouter une autre liste de correspondance.

 

  • Sélectionnez Ajouter pour créer une deuxième liste de correspondance (ouvre une nouvelle fenêtre)
  • Nommez la liste des matchs
  • Sélectionnez la menace comme type de journal
  • Pour l'utilisation du filtre: (nom-de-threatid EQ 41001)
    • Utilisez le threatID que vous avez entré lors de la création de la deuxième signature de vulnérabilité
    • Remarque: le filtre peut également être construit manuellement en sélectionnant la flèche vers le bas dans ce champ et en choisissant filtre Builder
  • Sélectionnez Ajouter dans la fenêtre actions intégrées (ouvre une nouvelle fenêtre)
  • Nommez l'Action
  • Sélectionner le marquage comme type d'action
  • Target est l'Adresse source
  • Action est supprimer la balise
  • L'Enregistrement est ID utilisateur local
  • Dans la liste déroulante Tags, sélectionnez la balise créée dans la première étape

 

Picture13. png

 

Cliquez sur OK trois fois pour enregistrer le profil de transfert de journal. Les résultats devraient être semblables aux suivants:

 

Picture14. png

 

Profil de vulnérabilité

 

Pour que les objets de vulnérabilité personnalisés apparaissent dans les journaux des menaces, nous devrons modifier un profil de vulnérabilité existant, en créer un nouveau ou en dupliquer un. Prenez ces mesures pour cloner la valeur par défaut.

 

Objets > profils de sécurité > protection des vulnérabilités

 

  • Clonez la valeur par défaut en sélectionnant la case à gauche de'default'et en cliquant sur clone en bas de la fenêtre
  • Ouvrir le profil cloné
  • (facultatif) changer le nom du profil
  • Sélectionnez la règle «simple-client-medium» et clonez-la
  • Ouvrez la règle clonée (ouvre une nouvelle fenêtre)
  • Changer le nom de la règle pour lire: simple-client-Informational
  • Modifiez l'Action en Alert (ce qui fournira une entrée de journal des menaces)
  • Cochez'information'dans la gravité (décochez toutes les autres)

 

Picture15. png

 

Cliquez deux fois sur OK pour enregistrer le profil.

 

Le nouveau profil de vulnérabilité devrait ressembler à quelque chose comme ceci:

 

Picture16. png

 

Stratégie de pare-feu

 

Configurez une stratégie de pare-feu pour utiliser le profil de transfert de journal et le profil de vulnérabilité personnalisé.

 

Politiques > sécurité

 

Sélectionnez une règle qui permet la navigation sur le Web et modifier la règle.

 

Sous l'onglet actions, sélectionnez le profil de transfert de journal nouvellement créé dans la liste déroulante transfert de journal.

 

Remplacez le type de profil par «profils» et assurez-vous que le profil de vulnérabilité nouvellement créé est sélectionné.

 

Picture17. png

 

Cliquez sur OK pour enregistrer la stratégie.

 

Validez la configuration.

 

Configuration de test

Assurez-vous que l'action par défaut pour décrypter SSL fonctionne. Accédez à un site crypté tel que https://paloaltonetworks.com et examinez les informations de certificat dans le navigateur.

 

Picture18. png

 

Recherchez la colonne de décryptage SSL'yes'dans les journaux de trafic. Si la colonne n'est pas visible, elle peut être ajoutée (https://Live.paloaltonetworks.com/T5/Management-Articles/Adding-Columns-to-the-traffic-logs-to-view-Additional-session/ta-p/54193)

 

Picture19. png

 

Vérifiez le groupe d'adresses dynamiques pour voir si le groupe est vide (c'est-à-dire qu'aucun hôte ne contourne le décryptage SSL).

 

Objets > groupes d'Adresses

 

Sous la colonne adresses, sélectionnez «plus» dans le groupe d'adresses dynamiques créé dans les premières étapes. Assurez-vous que le groupe est vide.

 

 

Picture20. png

 

Utilisez le chemin d'accès URI créé pour supprimer un hôte du décryptage SSL. La commande doit déclencher l'une des signatures de vulnérabilité personnalisées, ce qui déclenchera le profil de transfert de journal pour ajouter une balise qui exemptera l'hôte du décryptage SSL.

 

Sur l'hôte, accédez à n'importe quel site et ajoutez la chaîne d'URI que vous avez créée qui n'indique aucun décryptage:

/kW-nodecrypt/

 

Par exemple, https://paloaltonetworks.com/kW-nodecrypt/

 

Le navigateur ne sera pas tirer vers le haut de la page (erreur 404) car il n'existe pas, mais plus important encore, l'hôte doit maintenant être exempté de décryptage SSL. Veillez à fermer le navigateur pour déclencher l'événement log si la stratégie est configurée pour se connecter à la fin de session.

 

Vérifiez que la signature de vulnérabilité correcte est enregistrée dans les journaux des menaces.

 

Moniteur > logs > menace

 

Picture21. png

 

Vérifiez le groupe d'adresses dynamiques pour voir S'il contient votre hôte.

 

Objets > groupes d'Adresses

 

Sous la colonne adresses, sélectionnez «plus» dans le groupe d'adresses dynamiques créé dans les premières étapes.

 

Picture22. png

 

Accédez à un autre site https et vérifiez le certificat. Il ne doit pas montrer votre certificat.

 

Picture23. png

 

Vérifiez les journaux de trafic pour vous assurer que les sites SSL ne sont pas décryptés.

 

Monitor > journaux > trafic

 

Picture24. png

 

Utilisez le chemin d'accès URI créé pour supprimer un hôte de l'exemption de décryptage. La commande doit déclencher l'une des signatures de vulnérabilité personnalisées, qui déclenchera le profil de transfert de journal pour supprimer une balise qui entraînera l'hôte à subir le décryptage SSL.

 

Sur l'hôte, accédez à n'importe quel site non HTTPS et ajoutez la chaîne d'URI que vous avez créée qui indique que vous souhaitez décrypter:

/kW-nodecrypt-Remove/

 

Par exemple: http://www.Calculator.net/kW-nodecrypt-Remove/

 

Le navigateur ne sera pas tirer vers le haut de la page (erreur 404) car il n'existe pas, mais plus important encore, l'hôte doit maintenant être soumis au décryptage SSL. Veillez à fermer le navigateur pour déclencher l'événement log si la stratégie est configurée pour se connecter à la fin de session.

 

Vérifiez que la signature de vulnérabilité correcte est enregistrée dans les journaux des menaces.

 

Moniteur > logs > menace

 

Picture25. png

 

Accédez à un autre site https et vérifiez le certificat. Il devrait montrer votre certificat.

 

Picture26. png

 

Vérifiez les journaux de trafic pour vous assurer que les sites SSL sont décryptés.

 

Monitor > journaux > trafic

 

Picture27. png

 

Résumé

Il existe de nombreux cas d'utilisation pour les groupes d'adresses dynamiques et l'acheminement des journaux. À partir de cet exemple, il a servi à résoudre les problèmes de décryptage SSL en dirigeant dynamiquement un hôte entre les règles de décryptage. Lorsque vous créez des conditions dans les objets de transfert de journal, pratiquement tout ce qui est consigné est disponible.

  • Trafic
  • Menaces
  • Traînée de poudre
  • Authentification
  • Tunnel
  • Données
  • URL

 

Pour un autre exemple, voir cet article sur Live:

https://live.paloaltonetworks.com/t5/Learning-Articles/Protecting-ICS-and-SCADA-Networks-with-PAN-OS-8-0/ta-p/180651

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVJCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language