SSL 復号化を使用した SSL トランザクションの安全な検査
20527
Created On 09/26/18 13:39 PM - Last Modified 02/17/21 18:14 PM
Symptom
CERT/CCは最近、SSL検査のリスクについて論議する論文「HTTPS傍受のセキュリティへの影響」を発表した[1]。 この文書では、SSL 傍受を使用する際のトレードオフについて説明します。 US-CERT は、お客様が受け取った可能性のある CERT/CC 用紙を強調表示するアラート[2][3] を送信しました。
米国-cert アラートおよび cert/CC の論文では、クライアントとサーバー間の安全な接続ではないものについて、安全でない SSL/TLS パラメータを傍受し、ネゴシエートする仲介者について説明します。 この問題は、クライアントとサーバーによってネゴシエートされた暗号化パラメータの整合性を変更しない場合に、SSL/TLS セッションを復号化するために PAN-OS が使用するメカニズムには適用されません。
Environment
Resolution
以下の情報は、このペーパーに記載されている問題について懸念を抱くお客様に関する詳細を提供します。
PAN-OS は、お客様が CERT/CC の文書に記載されている懸念事項を排除するのに役立
ちます。PAN-OS は、クライアントとサーバーによって要求された元の SSL/TLS ネゴシエーションの暗号化設定を使用して、SSL/TLS セッションの整合性を維持します。 セッションがネゴシエートされた後は暗号化パラメータを変更せず、暗号化パラメータが管理者によって定義されたポリシー要件を満たしていない場合、パン OS はポリシーに基づいてセッションをブロックまたは復号化できません。 さらに、PAN-OS では、管理者は、サポートされている SSL/TLS プロトコルバージョンと暗号スイートを指定して、リスクを軽減し、この資料に記載されている脆弱性を排除することができます。
さらに、推奨されるベスト プラクティスとして、ネットワーク内のクライアントとサーバーによる脆弱な暗号化の使用を防止する方法については、「完全な可視性のための D ecrypt トラフィック」および「脅威検査」を参照してください。
ご質問がある場合や、弊社の製品の構成に関するサポートが必要な場合は、サポートプロバイダまたはpalo Alto Networksサポートチーム(https://support.paloaltonetworks.com)までお問い合わせください。
Additional Information
参照
- https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
- https://www.us-cert.gov/ncas/alerts/TA17-075A
- https://www.us-cert.gov/ncas/alerts/TA15-120A
リソース
- インターネット ゲートウェイのベスト プラクティス セキュリティ ポリシー、完全な可視性と脅威の検査のためのトラフィックの復号化
- OCSP レスポンダーを構成する方法
- PAN-OS ®管理者ガイド、SSL フォワード プロキシの設定
- PAN-OS®新機能ガイド、完全な前方秘密(PFS)サポート
- PAN-OS Web インターフェイス リファレンス、デバイス >証明書の管理>証明書
- 実装およびテスト SSL 復号化する方法
- WebGUI および CLI から CRL と OCSP を有効にする方法