Created On 09/25/18 19:30 PM - Last Modified 06/02/23 03:30 AM
Resolution
Durch die Aktivierung der Port-Weiterleitung auf SSH ist es möglich, andere Anwendungen über SSH zu Tunneln. Dies könnte jedoch ein Sicherheitsrisiko darstellen, da die Nutzer die Anwendungs basierten Sicherheitsrichtlinien auf dem Gerät von Palo Alto Networks umgehen können.
Das Netzwerk Palo Alto Networks geht dieses Risiko mit der SSH-Proxy-Funktion an. Auf dem Gerät kann eine Entschlüsselungs Richtlinie konfiguriert werden, um SSH-Sessions zu entschlüsseln. Im Rahmen dieser Richtlinie wird die Sitzung, wenn die Benutzer eine SSH-Port-Weiterleitung, eine fern Weiterleitung oder einen X11 durchLaufen, als SSH-Tunnel bestimmt. Folglich können Maßnahmen zur SSH-Tunnel Anwendung gemäß den Sicherheitsrichtlinien ergriffen werden.
Wichtig!
Die gleiche "man in the Middle"-Methode zur SSL-Entschlüsselung wird für SSH-Proxy verwendet.
Das Netzwerk Palo Alto Networks unterstützt nur SSH Version 2. Wenn der Client nur SSH-Version 1 unterstützt, sollte er aussteigen, wenn er den Versionsstring aus dem Palo Alto Networks-Gerät empfängt.
Die inhaltliche und Bedrohungs Kontrolle erfolgt nicht auf der SSH-Tunnel Sitzung.