動的アドレスグループを使用した SSL 復号化のトラブルシューティング
Resolution
概要
このドキュメントでは、パロアルトネットワークファイアウォールと動的アドレスグループ (dag) を使用して自動化の例を説明します。dag を使用すると、セキュリティポリシーに自動化をもたらす強力な方法です。このアイデアは、動的アドレスグループを利用するファイアウォール上で事前設定されたポリシーを構成することです。ホストの条件が変化すると、DAG に動的に移動される可能性があるため、rulebase では異なるポリシーが適用されます。そのホストに対してもう一度条件が変更された場合、別の DAG に移動し、別のポリシーを完全に押すことができます。管理者が新しいルールを追加および展開したり、変更をコミットしたりすることなく、すべてがプッシュアウトされます。
監視されるかもしれない条件は広大である!この例では、dag を使用して、トラブルシューティングのために、SSL 復号化グループとの間でホストを動的に移動します。ただし、使用例は実質的に無限大です。
要件
必須項目 | ノート |
パロアルトネットワークファイアウォール | VM50、パノス8.1.0 でテスト |
ブラウザを使用したホスト | Windows 7 64 ビット VM でテスト済み |
ネットワーク ダイアグラム
ユースケース図
設定
動的アドレスグループ
まず、動的アドレスグループによって使用されるタグを作成します。SSL 復号化を無効にするためのタグを作成します。
オブジェクト > タグ > 追加
復号化ポリシー内で使用する DAG を作成します。
オブジェクト > アドレスグループ > 追加
- アドレスグループに名前を指定する
- タイプを「動的」に変更
- [一致条件の追加] をクリックし、前の手順で作成したタグを選択して SSL 暗号化を行わないようにします
SSL 復号化ポリシー
SSL 復号化ポリシーを構成して、(dag の外部にあるホストの) 暗号化を解除し、暗号化解除 (dag 内のホスト) を除外します。
ポリシー > 復号化 > 追加
- この順序で2つのポリシーを追加する
- 復号化しない
- ソースアドレスとして DAG を復号化しないを使用します。
- アクション ' なし復号化 ' を行う
- 他のすべての復号化
- ソース/宛先アドレスに対して任意の使用
- アクション ' 復号化 ' を行う
- タイプが「ssl フォワードプロキシ」であることを確認します。
- 復号化しない
注: このドキュメントは、復号化を実行するために、ファイアウォールとクライアントに証明書があることを前提としています。必要に応じて、ここで指示を参照してください: https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-and-Test-SSL-Decryption/ta-p/59719
復号化ポリシーには、次の内容が反映されます。
脆弱性の署名
ロギング条件を追加する前に、条件をトリガする方法が必要です。この例では、特定の URI パスを監視するカスタムの脆弱性シグネチャを作成します。ホストを DAG に移動する方法として、URI パスを使用します。
'/kw-nodecrypt/' の URI パスを検索する脆弱性シグネチャを作成します。
オブジェクト > カスタムオブジェクト > 脆弱性 > 追加
[構成] タブの場合:
- スレッド ID をカスタム署名番号に割り当てる
- アラートの重大度を情報とアクションに設定することをお勧めします。
- ライブ環境では、インシデント対応チームと協力して、この特定のアラートを無視するようにしてください。
- 方向は client2server
[署名] タブの場合:
- 標準の署名を追加する (新しいウィンドウを開く)
- スコープをトランザクションとして残す
- 緑のプラスボタンを使用して追加し、条件 (新しいウィンドウを開きます)
- コンテキストの変更: http-必須-uri パス
- パターンについては、復号化を無効にする私たちのカスタムコマンドを入力してください:/kw-nodecrypt/
[OK] をクリックして結果を表示します。
[OK] を2回クリックして保存します。
'/kw-nodecrypt-remove/' の URI パスを検索する脆弱性シグネチャを作成します。これにより、SSL バイパス DAG からホストを削除し、もう一度復号化を開始するようにファイアウォールに指示します。これについては、構成のログ転送部分でさらに説明します。
オブジェクト > カスタムオブジェクト > 脆弱性 > 追加
[構成] タブの場合:
- スレッド ID をカスタム署名番号に割り当てる
- アラートの重大度を情報とアクションに設定することをお勧めします。
- ライブ環境では、インシデント対応チームと協力して、この特定のアラートを無視するようにしてください。
- 方向は client2server
[署名] タブの場合:
- 標準の署名を追加する (新しいウィンドウを開く)
- スコープをトランザクションとして残す
- 緑のプラスボタンを使用して追加し、条件 (新しいウィンドウを開きます)
- コンテキストを http-必須 uri パスに変更する
- パターンについては、復号化を無効にする私たちのカスタムコマンドを入力してください:/kw-nodecrypt-remove/
[OK] をクリックして結果を表示します。
[OK] を2回クリックして保存します。
次のような2つのカスタム脆弱性シグネチャがあります。
ログ転送プロファイル
サポート構成を使用すると、カスタム署名を監視してアクションを実行するようにファイアウォールを構成できるようになりました (ホストを DAG に移動またはチェックアウトする)。
カスタムログ転送プロファイルを作成します。
オブジェクト > ログ転送 > 追加
- ログ転送プロファイルに名前を指定する
- [追加] を選択して新しい一致リストを作成します (新しいウィンドウを開きます)。
- マッチリストに名前を指定する
- ログの種類として [脅威] を選択
- フィルター使用のため: (名前の-threatid eq 41000)
- 最初の脆弱性の署名を作成するときに入力した threatID を使用する
- 注: このフィールドの下向き矢印を選択してフィルタビルダを選択すると、フィルタを手動で作成することもできます
- [組み込みアクション] ウィンドウで [追加] を選択します (新しいウィンドウが開きます)。
- アクションに名前を指定する
- アクションタイプとしてタグを選択
- ターゲットはソースアドレス
- アクションはタグを追加する
- 登録はローカルユーザー ID
- [タグ] ドロップダウンで、最初のステップで作成したタグを選択します。
[OK] を2回クリックして、ログ転送プロファイルに戻ります。あまりにも遠くに終了する場合は、ログ転送プロファイルをクリックして、別の一致リストを追加することができます。
- [追加] を選択して2番目の一致リストを作成します (新しいウィンドウを開きます)。
- マッチリストに名前を指定する
- ログの種類として [脅威] を選択
- フィルター使用のため: (名前の-threatid eq 41001)
- 2番目の脆弱性の署名を作成するときに入力した threatID を使用する
- 注: このフィールドの下向き矢印を選択してフィルタビルダを選択すると、フィルタを手動で作成することもできます
- [組み込みアクション] ウィンドウで [追加] を選択します (新しいウィンドウが開きます)。
- アクションに名前を指定する
- アクションタイプとしてタグを選択
- ターゲットはソースアドレス
- アクションはタグを削除する
- 登録はローカルユーザー ID
- [タグ] ドロップダウンで、最初のステップで作成したタグを選択します。
[OK] を3回クリックして、ログ転送プロファイルを保存します。結果は次のようになります。
脆弱性のプロファイル
カスタムの脆弱性オブジェクトを脅威ログに表示するには、既存の脆弱性プロファイルを変更するか、新規に作成するか、または複製する必要があります。これらの手順を実行して、既定のクローンを作成します。
オブジェクト > セキュリティプロファイル > 脆弱性の保護
- [デフォルト] の左側にあるチェックボックスを選択し、ウィンドウの下部にある [クローン] をクリックして、デフォルトのクローンを作成します。
- 複製されたプロファイルを開く
- (オプション) プロファイルの名前を変更する
- [シンプル-クライアント-メディア] ルールを選択し、クローンを作成します。
- 複製されたルールを開く (新しいウィンドウを開きます)
- ルール名を読み取りに変更: シンプルクライアント-情報
- アクションを警告に変更します (これにより、脅威ログエントリが提供されます)。
- 重大度の ' 情報 ' をチェックします (他のすべてをオフにします)
[OK] を2回クリックしてプロファイルを保存します。
新しい脆弱性プロファイルは次のようになります。
ファイアウォールポリシー
ログ転送プロファイルとカスタム脆弱性プロファイルを使用するようにファイアウォールポリシーを構成します。
ポリシー > セキュリティ
web ブラウジングを許可するルールを選択し、ルールを編集します。
[アクション] タブで、新しく作成したログ転送プロファイルを [ログ転送] プルダウンで選択します。
プロファイルの種類を [プロファイル] に変更し、新しく作成された脆弱性プロファイルが選択されていることを確認します。
[OK] をクリックしてポリシーを保存します。
構成をコミットします。
テスト構成
SSL を復号化する既定の動作が機能していることを確認します。https://paloaltonetworks.com などの暗号化されたサイトを参照し、ブラウザの証明書情報を確認します。
トラフィックログで SSL 復号化列 ' yes ' を探します。列が表示されていない場合は、追加することができます (https://live.paloaltonetworks.com/t5/Management-Articles/Adding-Columns-to-the-Traffic-Logs-to-View-Additional-Session/ta-p/54193)
動的アドレスグループをチェックして、グループが空であることを確認します (つまり、ホストが SSL 復号化をバイパスしているわけではありません)。
オブジェクト > アドレスグループ
[アドレス] 列で、最初の手順で作成した動的アドレスグループから [その他] を選択します。グループが空であることを確認します。
SSL 復号化からホストを削除するために作成された URI パスを使用します。このコマンドは、カスタムの脆弱性シグネチャのいずれかをトリガーし、ログ転送プロファイルをトリガーして、SSL 復号化からホストを除外するタグを追加します。
ホスト上で、任意のサイトを参照し、復号化されていないことを示す URI 文字列を追加します。
/kw-nodecrypt/
たとえば、https://paloaltonetworks.com/kw-nodecrypt/
ブラウザは、それが存在しないとしてページ (404 エラー) をプルアップされませんが、より重要なことに、ホストは今、SSL 復号化から免除されるべきである。 ポリシーがセッション終了時にログに記録されるように構成されている場合は、必ずブラウザを閉じてログイベントをトリガしてください。
正しい脆弱性のシグネチャが脅威ログに記録されていることを確認します。
モニタ > ログ > 脅威
動的アドレスグループにホストが含まれていることを確認します。
オブジェクト > アドレスグループ
[アドレス] 列で、最初の手順で作成した動的アドレスグループから [その他] を選択します。
別の HTTPS サイトを参照し、証明書を確認します。証明書は表示されません。
トラフィックログをチェックして、SSL サイトが復号化されていないことを確認します。
モニタ > ログ > トラフィック
作成された URI パスを使用して、復号化免除からホストを削除します。このコマンドを実行すると、カスタムの脆弱性シグネチャのいずれかがトリガーされ、ログ転送プロファイルをトリガーしてタグを削除し、ホストが SSL 復号化を実行する原因となります。
ホストで、HTTPS 以外のサイトを参照し、復号化することを示す URI 文字列を追加します。
/kw-nodecrypt-remove/
例: http://www.calculator.net/kw-nodecrypt-remove/
ブラウザは、ページをプルアップしません (404 エラー) それが存在しないとして, しかし、より重要なこと, ホストは今、SSL 復号化の対象となる必要があります. ポリシーがセッション終了時にログに記録されるように構成されている場合は、必ずブラウザを閉じてログイベントをトリガしてください。
正しい脆弱性のシグネチャが脅威ログに記録されていることを確認します。
モニタ > ログ > 脅威
別の HTTPS サイトを参照し、証明書を確認します。証明書を表示する必要があります。
トラフィックログをチェックして、SSL サイトが復号化されていることを確認します。
モニタ > ログ > トラフィック
概要
動的アドレスグループとログ転送には、多くのユースケースがあります。この例では、復号化ルール間でホストを動的に指示する方法によって、SSL 復号のトラブルシューティングに役立ちました。ログ転送オブジェクトで条件を作成する場合は、記録されている事実上何でも使用できます。
- トラフィック
- 脅威
- 野火
- 認証
- トンネル
- データ
- URL
別の例については、Live のこの記事を参照してください。