Inspección segura de transacciones SSL mediante descifrado SSL
17726
Created On 09/26/18 13:39 PM - Last Modified 02/17/21 18:14 PM
Symptom
CERT/CC ha publicado recientemente un artículo "The Security Impact of HTTPS Interception"[1] discutiendo los riesgos de la inspección SSL. La publicación discute los intercambios de usar la interceptación SSL. US-CERT ha enviado Alertas[2][3] destacando el papel CERT/CC, que los clientes pueden haber recibido.
La alerta US-CERT y el documento CERT/CC describen a los intermediarios interceptando y negociando parámetros de SSL/TLS inseguros sobre lo que de otro modo sería una conexión segura entre el cliente y el servidor. Este problema no se aplica a los mecanismos utilizados por pan-os para descifrar las sesiones SSL/TLS, dado que no alteramos la integridad de los parámetros criptográficos negociados por el cliente y el servidor.
Environment
- PAN-os
Resolution
Additional Information
Referencia
- https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
- https://www.us-cert.gov/ncas/alerts/TA17-075A
- https://www.us-cert.gov/ncas/alerts/TA15-120A
Recursos
- Internet Gateway Best Practice Policy, Descifrar el tráfico para una visibilidad completa e inspección de amenazas
- Cómo configurar un respondedor OCSP
- PAN-OS® Guía del administrador, Configurar SSL Forward Proxy
- PAN-OS® Guía de nuevas características, soporte perfecto de secreto directo (PFS)
- Referencia de la interfaz web PAN-OS, > certificados de administración de certificados > certificados
- Cómo implementar y prueba de descifrado de SSL
- Cómo habilitar CRL y OCSP desde el WebGUI y la CLI