使用动态地址组对 SSL 解密进行疑难解答

使用动态地址组对 SSL 解密进行疑难解答

37901
Created On 09/25/18 19:10 PM - Last Modified 06/12/23 08:18 AM


Resolution


介绍

本文档将遍历一个使用帕洛阿尔托网络防火墙和动态地址组 (达吉斯坦) 的自动化示例。使用达吉斯坦是将自动化引入安全策略的有效方法。其目的是在防火墙上配置预先设置的策略, 利用动态地址组。当主机的条件发生变化时, 它可能会动态地移动到一个规则库, 因此会受到不同的策略的限制。如果该主机的条件再次发生变化, 它可能会被移动到另一个达格·哈马舍尔德, 完全不同的策略。所有没有管理员添加和部署新规则或提交更改将被推出。

 

可能被监视的条件是巨大的!在本示例中, 我们将使用达吉斯坦动态地将主机移入和取出 SSL 解密组以进行故障排除。然而, 用例实际上是无穷无尽的。

 

要求

 

必需项目

说明

帕洛阿尔托网络防火墙

用 VM50、帕诺斯8.1.0 测试

带浏览器的主机

使用 Windows 7 64 位 VM 进行测试

 

 

 

网络图

 

Picture1.png

用例图

 

Picture28. pngPicture29. pngPicture30. png

 

 

配置

动态地址组

 

我们将首先创建将由动态地址组使用的标记。创建用于禁用 SSL 解密的标记。

 

对象 > 标签 > 添加

 

Picture2.png

 

创建要在解密策略中使用的达格·哈马舍尔德。

 

对象 > 地址组 > 添加

  • 命名地址组
  • 将类型更改为 "动态"
  • 单击 "添加匹配条件", 然后选择在上一步中创建的标记, 以表示没有 SSL 加密

 

Picture3.png

 

SSL 解密策略

 

将 SSL 解密策略配置为解密 (在达格·哈马舍尔德之外的主机), 并排除解密 (在达格·哈马舍尔德内部的主机)。

 

策略 > 解密 > 添加

 

  • 按此顺序添加两个策略
    • 不解密
      • 使用不将达格·哈马舍尔德解密为源地址
      • 使操作 "不解密"
    • 解密所有其他
      • 使用任何源/目标地址
      • 使操作 "解密"
      • 确保类型为 "ssl 转发-代理"

 

注意: 此文档假定防火墙和客户端上有一个证书来执行解密。如有需要, 请参阅此处的说明: https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-and-Test-SSL-Decryption/ta-p/59719

 

解密策略应反映如下内容:

 

Picture4.png

 

漏洞签名

 

在添加日志记录条件之前, 我们需要一种触发条件的方法。在此示例中, 我们将创建监视特定 URI 路径的自定义漏洞签名。我们将使用 URI 路径将主机移入或离开我们的达格·哈马舍尔德。

 

创建一个用于查找 "/kw-nodecrypt/" 的 URI 路径的漏洞签名。

 

对象 > 自定义对象 > 漏洞 > 添加

 

对于 "配置" 选项卡:

  • 为线程 ID 指定自定义签名号
  • 建议将严重性设置为信息和操作以提醒
    • 对于实时环境, 请与事件响应团队协作, 以便他们知道忽略此特定警报
  • 方向是 client2server

 

Picture5.png

 

对于 "签名" 选项卡:

  • 添加标准签名 (打开新窗口)
  • 将范围保留为交易记录
  • 使用 "绿色加号" 按钮添加和条件 (打开一个新窗口)
  • 将上下文更改为: http-应用于 uri-路径
  • 对于模式, 请输入我们的自定义命令以禁用解密:/kw-nodecrypt/

 

Picture6.png

 

选择 "确定" 以查看结果。

 

Picture7.png

 

单击 "确定" 两次以保存。

 

创建一个漏洞签名, 它查找 "/kw-nodecrypt-删除/" 的 URI 路径。这将告诉防火墙从 SSL 旁路通道中删除主机, 并再次开始解密。这将在配置的日志转发部分进一步说明。

 

对象 > 自定义对象 > 漏洞 > 添加

 

对于 "配置" 选项卡:

  • 为线程 ID 指定自定义签名号
  • 建议将严重性设置为信息和操作以提醒
    • 对于实时环境, 请与事件响应团队协作, 以便他们知道忽略此特定警报
  • 方向是 client2server

 

Picture8.png

 

对于 "签名" 选项卡:

  • 添加标准签名 (打开新窗口)
  • 将范围保留为交易记录
  • 使用 "绿色加号" 按钮添加和条件 (打开一个新窗口)
  • 将上下文更改为 http-需要-uri 路径
  • 对于模式, 请输入我们的自定义命令以禁用解密:/kw-nodecrypt-删除/

 

Picture9.png

 

单击 "确定" 以查看结果。

 

Picture10.png

 

单击 "确定" 两次以保存。

 

两个自定义漏洞签名类似于以下内容:

 

Picture11. png

 

日志转发配置文件

 

随着支持配置到位, 我们现在可以配置防火墙来监视我们的自定义签名并采取行动 (将主机移入或出一个达格·哈马舍尔德)。

 

创建自定义日志转发配置文件。

 

对象 > 日志转发 > 添加

 

  • 命名日志转发配置文件
  • 选择 "添加" 以创建新的匹配列表 (打开新窗口)
  • 命名匹配列表
  • 选择 "威胁" 作为日志类型
  • 用于过滤器使用: (名称为-threatid eq 41000)
    • 使用在创建第一个漏洞签名时输入的 threatID
    • 注意: 还可以通过选择此字段中的向下箭头并选择 "筛选器生成器" 手动生成筛选器
  • 在内置操作窗口中选择 "添加" (打开一个新窗口)
  • 命名操作
  • 选择 "标记为操作类型"
  • 目标是源地址
  • 操作是添加标记
  • 注册是本地用户 ID
  • 在 "标记" 下拉列表中, 选择在第一步中创建的标记

 

Picture12. png

 

单击 "确定" 两次, 将其带回日志转发配置文件。如果退出太远, 请单击日志转发配置文件, 以便添加另一个匹配列表。

 

  • 选择 "添加" 以创建第二个匹配列表 (打开一个新窗口)
  • 命名匹配列表
  • 选择 "威胁" 作为日志类型
  • 用于过滤器使用: (名称为-threatid eq 41001)
    • 使用在创建第二个漏洞签名时输入的 threatID
    • 注意: 还可以通过选择此字段中的向下箭头并选择 "筛选器生成器" 手动生成筛选器
  • 在内置操作窗口中选择 "添加" (打开一个新窗口)
  • 命名操作
  • 选择 "标记为操作类型"
  • 目标是源地址
  • 操作是删除标记
  • 注册是本地用户 ID
  • 在 "标记" 下拉列表中, 选择在第一步中创建的标记

 

Picture13. png

 

单击 "确定" 三次以保存日志转发配置文件。结果应类似于以下内容:

 

Picture14. png

 

漏洞配置文件

 

为了使自定义漏洞对象出现在威胁日志中, 我们需要修改现有的漏洞配置文件, 创建一个新的, 或者克隆一个。采取以下步骤克隆默认值。

 

对象 > 安全配置文件 > 漏洞保护

 

  • 通过选中 "默认" 左侧的复选框并单击窗口底部的 "克隆", 克隆默认值
  • 打开克隆的配置文件
  • (可选) 更改配置文件的名称
  • 选择 "简单客户端-介质" 规则并将其克隆
  • 打开克隆规则 (打开新窗口)
  • 更改要读取的规则名称: 简单客户端信息
  • 将操作更改为警报 (这将提供威胁日志项)
  • 检查严重性中的 "信息" (取消选中所有其他)

 

Picture15. png

 

单击 "确定" 两次以保存配置文件。

 

新的漏洞配置文件应该类似于以下内容:

 

Picture16. png

 

防火墙策略

 

配置防火墙策略以使用日志转发配置文件和自定义漏洞配置文件。

 

策略 > 安全性

 

选择允许 web 浏览和编辑规则的规则。

 

在 "操作" 选项卡下, 在 "日志转发" 下拉列表中选择新创建的日志转发配置文件。

 

将配置文件类型更改为 "配置文件", 并确保选中了新创建的漏洞配置文件。

 

Picture17. png

 

单击 "确定" 以保存策略。

 

提交配置。

 

测试配置

确保解密 SSL 的默认操作正在运行。浏览到加密站点 (如https://paloaltonetworks.com) , 并查看浏览器中的证书信息.

 

Picture18. png

 

在通信日志中查找 SSL 解密列 "是"。如果列不可见, 可以添加 (https://live.paloaltonetworks.com/t5/Management-Articles/Adding-Columns-to-the-Traffic-Logs-to-View-Additional-Session/ta-p/54193)

 

Picture19. png

 

检查动态地址组以查看该组是否为空 (即没有主机绕过 SSL 解密)。

 

对象 > 地址组

 

在 "地址" 列下, 从第一步中创建的动态地址组中选择 "更多"。确保组为空。

 

 

Picture20. png

 

使用创建的 URI 路径从 SSL 解密中删除主机。该命令应触发一个自定义漏洞签名, 该特征码将触发日志转发配置文件, 以添加一个将免除主机 SSL 解密的标记。

 

在主机上, 浏览到任何站点并追加所创建的 URI 字符串, 指示不进行解密:

/kw-nodecrypt/

 

例如, https://paloaltonetworks.com/kw-nodecrypt/

 

浏览器不会拉起页面 (404 错误), 因为它不存在, 但更重要的是, 主机现在应该免除 SSL 解密。 如果将策略配置为在会话结束时进行登录, 请确保关闭浏览器以触发日志事件。

 

验证是否在威胁日志中记录了正确的漏洞签名。

 

监视器 > 日志 > 威胁

 

Picture21. png

 

检查动态地址组以查看它是否包含您的主机。

 

对象 > 地址组

 

在 "地址" 列下, 从第一步中创建的动态地址组中选择 "更多"。

 

Picture22. png

 

浏览到另一个 HTTPS 站点并检查证书。它不应该显示您的证书。

 

Picture23. png

 

检查通信日志以确保 SSL 站点未被解密。

 

监视器 > 日志 > 交通

 

Picture24. png

 

使用创建的 URI 路径从解密豁免中删除主机。该命令应触发一个自定义漏洞签名, 该特征码将触发日志转发配置文件, 以删除将导致主机接受 SSL 解密的标记。

 

在主机上, 浏览到任何非 HTTPS 站点, 并追加所创建的 URI 字符串, 表示要解密:

/kw-nodecrypt-删除/

 

例如: http://www.calculator.net/kw-nodecrypt-remove/

 

浏览器不会拉起页面 (404 错误), 因为它不存在, 但更重要的是, 主机现在应该接受 SSL 解密。 如果将策略配置为在会话结束时进行登录, 请确保关闭浏览器以触发日志事件。

 

验证是否在威胁日志中记录了正确的漏洞签名。

 

监视器 > 日志 > 威胁

 

Picture25. png

 

浏览到另一个 HTTPS 站点并检查证书。它应该显示您的证书。

 

Picture26. png

 

检查通信日志以确保正在解密 SSL 站点。

 

监视器 > 日志 > 交通

 

Picture27. png

 

摘要

动态地址组和日志转发有许多用例。在此示例中, 通过在解密规则之间动态指示主机, 可以有效地解决 SSL 解密问题。在日志转发对象中创建条件时, 几乎所有记录的内容都可用。

  • 流量
  • 威胁
  • 野火
  • 身份验证
  • 隧道
  • 数据
  • URL

 

有关其他示例, 请参见本文关于 Live:

https://live.paloaltonetworks.com/t5/Learning-Articles/Protecting-ICS-and-SCADA-Networks-with-PAN-OS-8-0/ta-p/180651

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVJCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language