使用动态地址组对 SSL 解密进行疑难解答
Resolution
介绍
本文档将遍历一个使用帕洛阿尔托网络防火墙和动态地址组 (达吉斯坦) 的自动化示例。使用达吉斯坦是将自动化引入安全策略的有效方法。其目的是在防火墙上配置预先设置的策略, 利用动态地址组。当主机的条件发生变化时, 它可能会动态地移动到一个规则库, 因此会受到不同的策略的限制。如果该主机的条件再次发生变化, 它可能会被移动到另一个达格·哈马舍尔德, 完全不同的策略。所有没有管理员添加和部署新规则或提交更改将被推出。
可能被监视的条件是巨大的!在本示例中, 我们将使用达吉斯坦动态地将主机移入和取出 SSL 解密组以进行故障排除。然而, 用例实际上是无穷无尽的。
要求
必需项目 | 说明 |
帕洛阿尔托网络防火墙 | 用 VM50、帕诺斯8.1.0 测试 |
带浏览器的主机 | 使用 Windows 7 64 位 VM 进行测试 |
网络图
用例图
配置
动态地址组
我们将首先创建将由动态地址组使用的标记。创建用于禁用 SSL 解密的标记。
对象 > 标签 > 添加
创建要在解密策略中使用的达格·哈马舍尔德。
对象 > 地址组 > 添加
- 命名地址组
- 将类型更改为 "动态"
- 单击 "添加匹配条件", 然后选择在上一步中创建的标记, 以表示没有 SSL 加密
SSL 解密策略
将 SSL 解密策略配置为解密 (在达格·哈马舍尔德之外的主机), 并排除解密 (在达格·哈马舍尔德内部的主机)。
策略 > 解密 > 添加
- 按此顺序添加两个策略
- 不解密
- 使用不将达格·哈马舍尔德解密为源地址
- 使操作 "不解密"
- 解密所有其他
- 使用任何源/目标地址
- 使操作 "解密"
- 确保类型为 "ssl 转发-代理"
- 不解密
注意: 此文档假定防火墙和客户端上有一个证书来执行解密。如有需要, 请参阅此处的说明: https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-and-Test-SSL-Decryption/ta-p/59719
解密策略应反映如下内容:
漏洞签名
在添加日志记录条件之前, 我们需要一种触发条件的方法。在此示例中, 我们将创建监视特定 URI 路径的自定义漏洞签名。我们将使用 URI 路径将主机移入或离开我们的达格·哈马舍尔德。
创建一个用于查找 "/kw-nodecrypt/" 的 URI 路径的漏洞签名。
对象 > 自定义对象 > 漏洞 > 添加
对于 "配置" 选项卡:
- 为线程 ID 指定自定义签名号
- 建议将严重性设置为信息和操作以提醒
- 对于实时环境, 请与事件响应团队协作, 以便他们知道忽略此特定警报
- 方向是 client2server
对于 "签名" 选项卡:
- 添加标准签名 (打开新窗口)
- 将范围保留为交易记录
- 使用 "绿色加号" 按钮添加和条件 (打开一个新窗口)
- 将上下文更改为: http-应用于 uri-路径
- 对于模式, 请输入我们的自定义命令以禁用解密:/kw-nodecrypt/
选择 "确定" 以查看结果。
单击 "确定" 两次以保存。
创建一个漏洞签名, 它查找 "/kw-nodecrypt-删除/" 的 URI 路径。这将告诉防火墙从 SSL 旁路通道中删除主机, 并再次开始解密。这将在配置的日志转发部分进一步说明。
对象 > 自定义对象 > 漏洞 > 添加
对于 "配置" 选项卡:
- 为线程 ID 指定自定义签名号
- 建议将严重性设置为信息和操作以提醒
- 对于实时环境, 请与事件响应团队协作, 以便他们知道忽略此特定警报
- 方向是 client2server
对于 "签名" 选项卡:
- 添加标准签名 (打开新窗口)
- 将范围保留为交易记录
- 使用 "绿色加号" 按钮添加和条件 (打开一个新窗口)
- 将上下文更改为 http-需要-uri 路径
- 对于模式, 请输入我们的自定义命令以禁用解密:/kw-nodecrypt-删除/
单击 "确定" 以查看结果。
单击 "确定" 两次以保存。
两个自定义漏洞签名类似于以下内容:
日志转发配置文件
随着支持配置到位, 我们现在可以配置防火墙来监视我们的自定义签名并采取行动 (将主机移入或出一个达格·哈马舍尔德)。
创建自定义日志转发配置文件。
对象 > 日志转发 > 添加
- 命名日志转发配置文件
- 选择 "添加" 以创建新的匹配列表 (打开新窗口)
- 命名匹配列表
- 选择 "威胁" 作为日志类型
- 用于过滤器使用: (名称为-threatid eq 41000)
- 使用在创建第一个漏洞签名时输入的 threatID
- 注意: 还可以通过选择此字段中的向下箭头并选择 "筛选器生成器" 手动生成筛选器
- 在内置操作窗口中选择 "添加" (打开一个新窗口)
- 命名操作
- 选择 "标记为操作类型"
- 目标是源地址
- 操作是添加标记
- 注册是本地用户 ID
- 在 "标记" 下拉列表中, 选择在第一步中创建的标记
单击 "确定" 两次, 将其带回日志转发配置文件。如果退出太远, 请单击日志转发配置文件, 以便添加另一个匹配列表。
- 选择 "添加" 以创建第二个匹配列表 (打开一个新窗口)
- 命名匹配列表
- 选择 "威胁" 作为日志类型
- 用于过滤器使用: (名称为-threatid eq 41001)
- 使用在创建第二个漏洞签名时输入的 threatID
- 注意: 还可以通过选择此字段中的向下箭头并选择 "筛选器生成器" 手动生成筛选器
- 在内置操作窗口中选择 "添加" (打开一个新窗口)
- 命名操作
- 选择 "标记为操作类型"
- 目标是源地址
- 操作是删除标记
- 注册是本地用户 ID
- 在 "标记" 下拉列表中, 选择在第一步中创建的标记
单击 "确定" 三次以保存日志转发配置文件。结果应类似于以下内容:
漏洞配置文件
为了使自定义漏洞对象出现在威胁日志中, 我们需要修改现有的漏洞配置文件, 创建一个新的, 或者克隆一个。采取以下步骤克隆默认值。
对象 > 安全配置文件 > 漏洞保护
- 通过选中 "默认" 左侧的复选框并单击窗口底部的 "克隆", 克隆默认值
- 打开克隆的配置文件
- (可选) 更改配置文件的名称
- 选择 "简单客户端-介质" 规则并将其克隆
- 打开克隆规则 (打开新窗口)
- 更改要读取的规则名称: 简单客户端信息
- 将操作更改为警报 (这将提供威胁日志项)
- 检查严重性中的 "信息" (取消选中所有其他)
单击 "确定" 两次以保存配置文件。
新的漏洞配置文件应该类似于以下内容:
防火墙策略
配置防火墙策略以使用日志转发配置文件和自定义漏洞配置文件。
策略 > 安全性
选择允许 web 浏览和编辑规则的规则。
在 "操作" 选项卡下, 在 "日志转发" 下拉列表中选择新创建的日志转发配置文件。
将配置文件类型更改为 "配置文件", 并确保选中了新创建的漏洞配置文件。
单击 "确定" 以保存策略。
提交配置。
测试配置
确保解密 SSL 的默认操作正在运行。浏览到加密站点 (如https://paloaltonetworks.com) , 并查看浏览器中的证书信息.
在通信日志中查找 SSL 解密列 "是"。如果列不可见, 可以添加 (https://live.paloaltonetworks.com/t5/Management-Articles/Adding-Columns-to-the-Traffic-Logs-to-View-Additional-Session/ta-p/54193)
检查动态地址组以查看该组是否为空 (即没有主机绕过 SSL 解密)。
对象 > 地址组
在 "地址" 列下, 从第一步中创建的动态地址组中选择 "更多"。确保组为空。
使用创建的 URI 路径从 SSL 解密中删除主机。该命令应触发一个自定义漏洞签名, 该特征码将触发日志转发配置文件, 以添加一个将免除主机 SSL 解密的标记。
在主机上, 浏览到任何站点并追加所创建的 URI 字符串, 指示不进行解密:
/kw-nodecrypt/
例如, https://paloaltonetworks.com/kw-nodecrypt/
浏览器不会拉起页面 (404 错误), 因为它不存在, 但更重要的是, 主机现在应该免除 SSL 解密。 如果将策略配置为在会话结束时进行登录, 请确保关闭浏览器以触发日志事件。
验证是否在威胁日志中记录了正确的漏洞签名。
监视器 > 日志 > 威胁
检查动态地址组以查看它是否包含您的主机。
对象 > 地址组
在 "地址" 列下, 从第一步中创建的动态地址组中选择 "更多"。
浏览到另一个 HTTPS 站点并检查证书。它不应该显示您的证书。
检查通信日志以确保 SSL 站点未被解密。
监视器 > 日志 > 交通
使用创建的 URI 路径从解密豁免中删除主机。该命令应触发一个自定义漏洞签名, 该特征码将触发日志转发配置文件, 以删除将导致主机接受 SSL 解密的标记。
在主机上, 浏览到任何非 HTTPS 站点, 并追加所创建的 URI 字符串, 表示要解密:
/kw-nodecrypt-删除/
例如: http://www.calculator.net/kw-nodecrypt-remove/
浏览器不会拉起页面 (404 错误), 因为它不存在, 但更重要的是, 主机现在应该接受 SSL 解密。 如果将策略配置为在会话结束时进行登录, 请确保关闭浏览器以触发日志事件。
验证是否在威胁日志中记录了正确的漏洞签名。
监视器 > 日志 > 威胁
浏览到另一个 HTTPS 站点并检查证书。它应该显示您的证书。
检查通信日志以确保正在解密 SSL 站点。
监视器 > 日志 > 交通
摘要
动态地址组和日志转发有许多用例。在此示例中, 通过在解密规则之间动态指示主机, 可以有效地解决 SSL 解密问题。在日志转发对象中创建条件时, 几乎所有记录的内容都可用。
- 流量
- 威胁
- 野火
- 身份验证
- 隧道
- 数据
- URL
有关其他示例, 请参见本文关于 Live: