SSH 内部のポートフォワーディングの詳細

ssh でポートフォワーディングを有効にすると、ssh を通じて他のアプリケーションをトンネルすることが可能になります。しかし、ユーザーがパロアルトネットワークデバイスのアプリケーションベースのセキュリティポリシーを回避できるため、セキュリティ上のリスクが生じる可能性があります。

パロアルトネットワークデバイスは、SSH プロキシ機能を使用してこのリスクに対処します。暗号化解除ポリシーをデバイス上で構成して、SSH セッションを復号化できます。このポリシーでは、ユーザーが ssh ポート転送、リモート転送、または X11 を実行した場合、セッションは ssh トンネルであると判断されます。したがって、セキュリティポリシーに従って SSH トンネルアプリケーションでアクションを実行できます。

大事な！

1. SSL 復号化のための同じ「中間の人」方法は SSH の委任状のために使用される。
2. パロアルトネットワークデバイスは、SSH バージョン2のみをサポートしています。
   クライアントが SSH バージョン1のみをサポートしている場合は、パロ・アルト・ネットワーク・デバイスからバージョン・ストリングを受け取ったときに終了する必要があります。
3. SSH トンネルセッションでは、コンテンツと脅威の検査は行われません。

また見なさい

パロアルトネットワークデバイス上で SSH 復号化を実装する方法

所有者: swhyte