Created On 09/25/18 19:30 PM - Last Modified 06/02/23 03:30 AM
Resolution
Habilitar el reenvío de puertos en ssh hace posible el túnel de otras aplicaciones a través de SSH. Pero hacerlo podría suponer un riesgo para la seguridad, ya que los usuarios pueden eludir las políticas de seguridad basadas en aplicaciones del dispositivo Palo Alto Networks.
El dispositivo Palo Alto Networks resuelve este riesgo con la función proxy SSH. Se puede configurar una política de descifrado en el dispositivo para descifrar las sesiones SSH. Bajo esta política, si los usuarios hacen cualquier reenvío de Puerto SSH, reenvío remoto o X11, la sesión está determinada a ser un túnel SSH. En consecuencia, se pueden tomar medidas en la aplicación del túnel SSH de acuerdo con las políticas de seguridad.
Importante:
El mismo método "hombre en el medio" para el descifrado SSL se utiliza para el proxy SSH.
El dispositivo Palo Alto Networks sólo admite la versión 2 de SSH. Si el cliente sólo admite la versión 1 de SSH, debe salir cuando reciba la cadena de versión del dispositivo de redes palo alto.
El contenido y la inspección de amenazas no se realizan en la sesión del túnel SSH.