Inspección segura de transacciones SSL mediante descifrado SSL

Inspección segura de transacciones SSL mediante descifrado SSL

17726
Created On 09/26/18 13:39 PM - Last Modified 02/17/21 18:14 PM


Symptom


CERT/CC ha publicado recientemente un artículo "The Security Impact of HTTPS Interception"[1] discutiendo los riesgos de la inspección SSL. La publicación discute los intercambios de usar la interceptación SSL. US-CERT ha enviado Alertas[2][3] destacando el papel CERT/CC, que los clientes pueden haber recibido.

La alerta US-CERT y el documento CERT/CC describen a los intermediarios interceptando y negociando parámetros de SSL/TLS inseguros sobre lo que de otro modo sería una conexión segura entre el cliente y el servidor. Este problema no se aplica a los mecanismos utilizados por pan-os para descifrar las sesiones SSL/TLS, dado que no alteramos la integridad de los parámetros criptográficos negociados por el cliente y el servidor.

Environment


  • PAN-os

Resolution


La siguiente información proporciona detalles para los clientes que pueden estar preocupados por los problemas mencionados en el documento.

PAN-OS ayuda a los clientes a eliminar las preocupaciones mencionadas en el documento CERT/CC, recomendamos a los clientes que revisen este documento y los artículos adicionales enumerados en la sección de recursos.

PAN-OS conserva la integridad de la sesión SSL/TLS mediante la configuración criptográfica de la negociación SSL/TLS original según lo exija el cliente y el servidor. No cambia los parámetros criptográficos una vez que se ha negociado la sesión, y si los parámetros criptográficos no cumplen los requisitos de directiva definidos por un administrador, pan-os puede bloquear o no descifrar la sesión basándose en la Directiva. Además, PAN-OS permite a los administradores especificar las versiones de protocolo SSL/TLS compatibles y los conjuntos de cifrado para reducir el riesgo y eliminar las vulnerabilidades mencionadas en el documento.

Además, como práctica recomendada sugerida, consulteD ecrypt Traffic for Full Visibility and Threat Inspection para obtener información sobre cómo evitar el uso de criptografía débil por parte de clientes y servidores de la red.

Si tiene alguna pregunta o necesita ayuda para configurar nuestros productos, no dude en ponerse en contacto con su proveedor de soporte o el equipo de soporte de Palo Alto Networks en https://support.paloaltonetworks.com.

Additional Information


Referencia

  1. https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
  2. https://www.us-cert.gov/ncas/alerts/TA17-075A
  3. https://www.us-cert.gov/ncas/alerts/TA15-120A

 

Recursos

  1. Internet Gateway Best Practice Policy, Descifrar el tráfico para una visibilidad completa e inspección de amenazas
  2. Cómo configurar un respondedor OCSP
  3. PAN-OS® Guía del administrador, Configurar SSL Forward Proxy
  4. PAN-OS® Guía de nuevas características, soporte perfecto de secreto directo (PFS)
  5. Referencia de la interfaz web PAN-OS, > certificados de administración de certificados > certificados
  6. Cómo implementar y prueba de descifrado de SSL
  7. Cómo habilitar CRL y OCSP desde el WebGUI y la CLI
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllKCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language