使用 SSL 解密安全地检查 SSL 事务

使用 SSL 解密安全地检查 SSL 事务

17738
Created On 09/26/18 13:39 PM - Last Modified 02/17/21 18:14 PM


Symptom


CERT/CC 最近发表了一篇论文"HTTPS 拦截的安全影响"[1], 讨论 SSL 检查的风险。 该出版物讨论了使用 SSL 拦截的权衡。 US-CERT 已发送警报[2][3]突出显示客户可能收到的 CERT/CC 纸张。

美国核证警报和证书/CC 文件介绍了中间人拦截和谈判不安全的 SSL/TLS 参数, 说明在什么情况下, 客户端和服务器之间的安全连接。 此问题不适用于泛型 OS 用于解密 SSL/TLS 会话的机制, 因为我们不改变客户端和服务器协商的加密参数的完整性。

Environment


  • 泛 OS

Resolution


以下信息为可能关注本文中提到的问题的客户提供了详细信息。

PAN-OS 帮助客户消除 CERT/CC 文件中提及的问题,我们建议客户查看本文档和资源部分中列出的其他文章。

PAN-OS 通过使用客户端和服务器授权的原始 SSL/TLS 协商的加密设置来维护 SSL/TLS 会话的完整性。 它不会在会话经过协商后更改加密参数, 如果加密参数不符合管理员定义的策略要求, 则 PAN OS 可以根据策略阻止或不解密会话。 此外,PAN-OS 允许管理员指定支持的 SSL/TLS 协议版本和密码套件,以降低风险并消除本文中提到的漏洞。

此外,作为建议的最佳实践,请参阅 D电子加密流量实现完全可见性和威胁检查,以了解有关防止网络中的客户端和服务器使用弱加密的信息。

如果您有任何问题或需要帮助配置我们的产品,请不要犹豫,联系您的支持提供商或帕洛阿尔托网络支持团队https://support.paloaltonetworks.com

Additional Information


参考

  1. https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
  2. https://www.us-cert.gov/ncas/alerts/TA17-075A
  3. https://www.us-cert.gov/ncas/alerts/TA15-120A

 

资源

  1. 互联网网关最佳实践安全策略,解密流量,以进行完全可见性和威胁检查
  2. 如何配置 OCSP 响应程序
  3. PAN-OS®管理员指南,配置 SSL 转发代理
  4. PAN-OS®新功能指南,完美前向保密 (PFS) 支持
  5. PAN-OS Web 接口参考、设备>证书>证书
  6. 如何实施和测试 SSL 解密
  7. 如何从 WebGUI 和 CLI 启用 CRL 和 OCSP
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllKCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language