Inspection en toute sécurité des transactions SSL à l’aide du décryptage SSL
Symptom
Le CERT/CC a récemment publié un article « The Security Impact of HTTPS Interception» [1] sur les risques liés à l’inspection de la LSS. La publication traite des inconvénients de l'utilisation de l'interception SSL. US-CERT a envoyé des alertes[2][3] mettant en évidence le document CERT/CC, que les clients ont peut-être reçu.
L'alerte US-CERT et le document CERT/CC décrivent les intermédiaires interceptant et négociant des paramètres SSL/TLS insécurisés sur ce qui serait autrement une connexion sécurisée entre le client et le serveur. Ce problème ne s'applique pas aux mécanismes utilisés par Pan-OS pour décrypter les sessions SSL/TLS, étant donné que nous ne modifions pas l'intégrité des paramètres cryptographiques tels que négociés par le client et le serveur.
Environment
- Pan-OS
Resolution
Additional Information
référence
- https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
- https://www.us-cert.gov/ncas/alerts/TA17-075A
- https://www.us-cert.gov/ncas/alerts/TA15-120A
Ressources
- Politique de sécurité des meilleures pratiques de la passerelle Internet, décryptage du trafic pour une visibilité complète et inspection des menaces
- Comment faire pour configurer un répondeur OCSP
- PAN-OS® Administrator’s Guide, ConfigureR SSL Forward Proxy
- PAN-OS® Guide des nouvelles fonctionnalités, support Perfect Forward Secrecy (PFS)
- PAN-OS Web Interface Reference, Device > Certificate Management > certificats
- Comment faire pour mettre en œuvre et essai décryptage SSL
- Comment faire pour activer CRL et OCSP à partir du WebGUI et CLI