Limitations et recommandations lors de la mise en SSL œuvre du décryptage

Détails

SSL Le décryptage ne fonctionnera pas ou n’entrera pas en vigueur dans les scénarios suivants :

Limitations

1. Le décryptage de proxy avant ne fonctionne pas avec l'authentification mutuelle
   1. Le serveur s’attend à ce que le certificat d’utilisateur soit présenté lors de la poignée de main, et les réseaux Palo Alto firewall n’ont pas accès à la clé privée et au certificat de l’utilisateur.
2. Le contenu ne peut pas être déchiffré lorsque des protocoles ou des algorithmes de chiffrement non supportés sont utilisés
   1. TLS 1.2 ne peut pas être déchiffré PAN-OS avant 6.0
   2. Avant PAN-OS 6h00, les TLS 1,2 séances ont été dégradées TLS à 1,1
   3. Les suites de chiffrement suivantes ne sont pas prises en charge pour le décryptage :
      AES128- GCM- SHA256
      Note: AES128- GCM- SHA256 est pris en PAN-OS charge en 7.1 et au-dessus.
   4. Les pare-feu ne décryptent pas les sessions où l’échange de clés Diffie-Hellman est utilisé pour le décryptage proxy vers PAN-OS l’avant dans 7.1 et les versions antérieures

Recommandations

1. S’il y a une CA entreprise en place, utilisez-la, car on lui fait confiance
2. Activer SSL le décryptage pour un petit groupe d’utilisateurs ou un seul sous-réseau
3. Utilisez toujours URL des catégories pour décrypter le contenu sélectif, comme les réseaux sociaux.
4. Dans certains pays, certaines connexions ne peuvent pas être décryptées en raison de la loi, donc utiliser URL des catégories pour exclure les catégories sensibles.

Le document suivant contient la liste des demandes qui sont exclues de SSL Décryptage : Listedes applications exclues du SSL décryptage

Voir aussi

Compatibilité Matric : Suites Cipher prises en charge PAN-OS (pour 7.1 et 8.0)

SSL Décryptage ne fonctionne pas en raison de suites cipher non pris en charge

Comment implémenter et tester SSL le décryptage

propriétaire : dantony