Inspection en toute sécurité des transactions SSL à l’aide du décryptage SSL

Inspection en toute sécurité des transactions SSL à l’aide du décryptage SSL

17720
Created On 09/26/18 13:39 PM - Last Modified 02/17/21 18:14 PM


Symptom


Le CERT/CC a récemment publié un article « The Security Impact of HTTPS Interception» [1] sur les risques liés à l’inspection de la LSS. La publication traite des inconvénients de l'utilisation de l'interception SSL. US-CERT a envoyé des alertes[2][3] mettant en évidence le document CERT/CC, que les clients ont peut-être reçu.

L'alerte US-CERT et le document CERT/CC décrivent les intermédiaires interceptant et négociant des paramètres SSL/TLS insécurisés sur ce qui serait autrement une connexion sécurisée entre le client et le serveur. Ce problème ne s'applique pas aux mécanismes utilisés par Pan-OS pour décrypter les sessions SSL/TLS, étant donné que nous ne modifions pas l'intégrité des paramètres cryptographiques tels que négociés par le client et le serveur.

Environment


  • Pan-OS

Resolution


Les informations ci-dessous fournissent des détails aux clients qui peuvent être préoccupés par les questions mentionnées dans le document.

PAN-OS aide les clients à éliminer les préoccupations mentionnées dans le document CERT/CC, nous recommandons aux clients d’examiner ce document et les articles supplémentaires énumérés dans la section ressources.

PAN-OS préserve l’intégrité de la session SSL/TLS en utilisant les paramètres cryptographiques de la négociation SSL/TLS originale comme l’exigent le client et le serveur. Il ne modifie pas les paramètres cryptographiques une fois que la session a été négociée, et si les paramètres cryptographiques ne respectent pas les exigences de stratégie définies par un administrateur, Pan-OS peut soit bloquer, soit ne pas décrypter la session en fonction de la stratégie. En outre, PAN-OS permet aux administrateurs de spécifier les versions de protocole SSL/TLS prises en charge et les suites de chiffrement afin de réduire les risques et d’éliminer les vulnérabilités mentionnées dans le document.

En outre, comme une meilleure pratique suggérée, voir trafic ecrypt Dpour la visibilité complète etl’inspection des menaces pour plus d’informations sur la prévention de l’utilisation de la cryptographie faible par les clients et les serveurs dans le réseau.

Si vous avez des questions ou avez besoin d’aide pour configurer nos produits, n’hésitez pas à contacter votre fournisseur de support ou l’équipe de soutien de Palo Alto Networks à https://support.paloaltonetworks.com.

Additional Information


référence

  1. https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
  2. https://www.us-cert.gov/ncas/alerts/TA17-075A
  3. https://www.us-cert.gov/ncas/alerts/TA15-120A

 

Ressources

  1. Politique de sécurité des meilleures pratiques de la passerelle Internet, décryptage du trafic pour une visibilité complète et inspection des menaces
  2. Comment faire pour configurer un répondeur OCSP
  3. PAN-OS® Administrator’s Guide, ConfigureR SSL Forward Proxy
  4. PAN-OS® Guide des nouvelles fonctionnalités, support Perfect Forward Secrecy (PFS)
  5. PAN-OS Web Interface Reference, Device > Certificate Management > certificats
  6. Comment faire pour mettre en œuvre et essai décryptage SSL
  7. Comment faire pour activer CRL et OCSP à partir du WebGUI et CLI
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllKCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language