Sichere Überprüfung von SSL-Transaktionen mithilfe der SSL-Entschlüsselung

Sichere Überprüfung von SSL-Transaktionen mithilfe der SSL-Entschlüsselung

17722
Created On 09/26/18 13:39 PM - Last Modified 02/17/21 18:14 PM


Symptom


CERT/CC hat kürzlich ein Papier "The Security Impact of HTTPS Interception"[1] veröffentlicht, in dem die Risiken der SSL-Inspektion erörtert werden. Die Publikation diskutiert die Kompromisse bei der Verwendung von SSL-abhören. US-CERT hat Warnungen[2][3] gesendet, in denen das CERT/CC-Papier hervorgehoben wird, das Kunden möglicherweise erhalten haben.

Der US-CERT Alert und das CERT/CC-Papier beschreiben Vermittler, die unsichere SSL/TLS-Parameter abhören und aushandeln, was sonst eine sichere Verbindung zwischen dem Client und dem Server wäre. Diese Ausgabe gilt nicht für die Mechanismen, die von Pan-OS zur Entschlüsselung von SSL/TLS-Sitzungen verwendet werden, da wir die Integrität kryptografischer Parameter, wie Sie vom Client und dem Server ausgehandelt werden, nicht ändern.

Environment


  • Pan-OS

Resolution


Die folgenden Informationen enthalten Details für Kunden, die über die in dem Papier genannten Probleme besorgt sein könnten.

PAN-OS hilft Kunden, die im CERT/CC-Papier genannten Bedenken zu beseitigen.

PAN-OS bewahrt die Integrität der SSL/TLS-Sitzung, indem die kryptografischen Einstellungen der ursprünglichen SSL/TLS-Aushandlung verwendet werden, wie vom Client und vom Server vorgeschrieben. Es ändert nichts an den kryptographischen Parametern, sobald die Sitzung ausgehandelt wurde, und wenn die kryptographischen Parameter nicht den politischen Anforderungen entsprechen, wie Sie von einem Administrator definiert werden, kann Pan-OS die Sitzung auf der Grundlage der Richtlinie entweder blockieren oder nicht entschlüsseln. Darüber hinaus ermöglicht PAN-OS Administratoren, die unterstützten SSL/TLS-Protokollversionen und Verschlüsselungssammlungen anzugeben, um Risiken zu reduzieren und die in dem Dokument genannten Sicherheitsanfälligkeiten zu beseitigen.

Darüber hinaus finden Sie unter Decrypt Traffic for Full Visibility and Threat Inspection Informationen zur Verhinderung der Verwendung schwacher Kryptografie durch Clients und Server im Netzwerk.

Sollten Sie Fragen haben oder Hilfe bei der Konfiguration unserer Produkte benötigen, wenden Sie sich bitte an Ihren Support-Anbieter oder das Palo Alto Networks Support Team unter https://support.paloaltonetworks.com.

Additional Information


verweis

  1. https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
  2. https://www.us-cert.gov/ncas/alerts/TA17-075A
  3. https://www.us-cert.gov/ncas/alerts/TA15-120A

 

Ressourcen

  1. Internet Gateway Best Practice Sicherheitsrichtlinie, Entschlüsseln von Datenverkehr für vollständige Sichtbarkeit und Bedrohungsinspektion
  2. Wie man einen OCSP-Responder konfiguriert
  3. PAN-OS® Administratorhandbuch, KONFIGURIEREN des SSL-Vorwärtsproxys
  4. PAN-OS® New Features Guide, Perfect Forward Secrecy (PFS) Support
  5. PAN-OS Web Interface Reference, Device > Certificate Management > Certificates
  6. Gewusst wie: implementieren und testen SSL-Entschlüsselung
  7. Wie man CRL und OCSP aus dem WebGUI und CLI aktivieren kann
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllKCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language