Konfigurieren der SSL Entschlüsselung
374724
Created On 09/26/18 13:44 PM - Last Modified 04/19/21 21:26 PM
Resolution
Video-Tutorial: Konfigurieren SSL Entschlüsselung
Dieses Video soll Ihnen helfen, SSL Decryption auf 6.1 zu verstehen und zu PAN-OS konfigurieren.
Wir behandeln die folgenden Themen:
- Was ist SSL Entschlüsselung?
- Grundlegendes zur eingehenden und ausgehenden SSL Entschlüsselung SSL (Forward Proxy)
- Sicherstellung der ordnungsgemäßen Zertifizierungsstelle für die Firewall
- Konfigurieren von SSL Entschlüsselungsregeln
- Aktivieren der SSL Entschlüsselungsbenachrichtigungsseite (optional)
- Änderungen und Tests Entschlüsselung
Was ist SSL Entschlüsselung?
SSL (Secure Sockets Layer) ist ein Sicherheitsprotokoll, das Daten verschlüsselt, um Informationen im Internet sicher zu halten.
SSL Zertifikate haben ein Schlüsselpaar: öffentliche und private, die zusammenarbeiten, um eine Verbindung herzustellen.
PAN-OS kann eingehende und ausgehende Verbindungen entschlüsseln und überprüfen, die durch die . SSL firewall SSL Entschlüsselung kann auf Schnittstellen im virtuellen Draht-, Layer 2- oder Layer 3-Modus auftreten. Die Entschlüsselung Regelwerk dient zum Konfigurieren von welcher Datenverkehr zu entschlüsseln. Insbesondere kann die Entschlüsselung auf URL Kategorien sowie Quellbenutzer- und Quell-/Zieladressen basieren. Sobald der Datenverkehr entschlüsselt ist, können getunnelte Anwendungen erkannt und gesteuert werden, und die entschlüsselten Daten können auf URL Bedrohungen/Filterung/Dateiblockierung/Datenfilterung überprüft werden. Entschlüsselter Datenverkehr wird nie vom Gerät gesendet.
Eingehend SSL Entschlüsselung
Im Falle einer eingehenden SSL Entschlüsselung wäre eingehender Datenverkehr an einen internen Webserver oder ein internes Gerät bestimmt. Um dies richtig zu konfigurieren, importiert der Administrator eine Kopie der geschützten Servers Zertifikat und Schlüssel. Wenn das SSL Serverzertifikat auf der geladen wird firewall und eine SSL Entschlüsselung policy für den eingehenden Datenverkehr konfiguriert ist, kann das Gerät den Datenverkehr entschlüsseln und lesen, während er ihn weiterleitet. Um die Paketdaten werden keine Änderungen vorgenommen, und der sichere Kanal wird aus dem Client-System an den internen Server gebaut. Der kann dann schädliche Inhalte erkennen und Anwendungen steuern, die firewall über diesen sicheren Kanal ausgeführt werden.
Ausgehende SSL Entschlüsselung SSL (Forward Proxy)
Bei ausgehender Entschlüsselung werden ausgehende Verbindungen von SSL den firewall Proxys SSL abgeleitet. Für die Website, die der Benutzer besuchen möchte, fängt der ausgehende Anforderungen ab firewall und generiert ein Zertifikat in SSL Echtzeit. Das Gültigkeitsdatum auf dem PA- generierten Zertifikat wird vom Gültigkeitsdatum auf dem echten Serverzertifikat übernommen.
Die ausstellende Behörde des PA- generierten Zertifikats ist das Palo Alto Networks-Gerät. Wenn das Zertifikat von firewall 'nicht Teil einer vorhandenen Hierarchie ist oder nicht zum Browsercache eines Clients hinzugefügt wird, erhält der Client beim Navigieren zu einer sicheren Site eine Warnmeldung. Wenn das echte Serverzertifikat von einer Von den Palo Alto-Netzwerken nicht vertrauenswürdigen Behörde ausgestellt firewall wurde, wird das Entschlüsselungszertifikat mit einem zweiten nicht vertrauenswürdigen CA Schlüssel ausgestellt. Das Entschlüsselungszertifikat stellt sicher, dass der Benutzer vor nachfolgenden Man-in-the-Middle-Angriffen gewarnt wird. Es ist erforderlich,
sicherzustellen, dass die ordnungsgemäße Zertifizierungsstelle für die Firewall und den Export des CA Zertifikats
in den Palo Alto-Netzwerken geladen oder an Clients exportiert oder generiert CA firewall wird, da eine Zertifizierungsstelle ( CA ) erforderlich ist, um den Datenverkehr ordnungsgemäß zu entschlüsseln, indem SSL Zertifikate im Handumdrehen generiert werden. Erstellen Sie entweder einen selbstsignierten auf dem, oder importieren Sie CA firewall einen Untergeordneten aus Ihrer eigenen CA PKI Infrastruktur. Wählen Sie Forward Trust Certificate für das Zertifikat aus, das an den vertrauenswürdigen Stamm gebunden ist, dem Hosts vertrauen oder für die CA Vertrauenswürdigkeit konfiguriert werden.Da SSL Zertifikatsanbieter wie Entrust, Verisign, Digicert und GoDaddy keine Zertifizierungsstellen verkaufen, werden sie in SSL Decryption nicht unterstützt.
Erstellen Sie ein separates selbstsigniertes CA Zertifikat, und aktivieren Sie das Flag "Nicht vertrauenswürdiges Zertifikat weiterleiten", um sicherzustellen, dass die Präsentclients ein Zertifikat erhalten, dem firewall sie nicht vertrauen, wenn der firewall ein ungültiges Zertifikat vom Server beobachtet.
So generieren Sie ein selbstsigniertes Zertifikat:
- Wechseln Sie firewall GUI aus dem zu Device > Certificates Management > Certificates
- Klicken Sie unten auf dem Bildschirm auf Generieren
- Für den Zertifikatsnamen (der alles sein kann) haben wir ssl-decrypt gewählt.
- Für Common Name haben wir die Firewall 's Trusted Internal IP eingegeben : 172.16.77.1
- Setzen Sie ein Kontrollkästchen neben der Zertifizierungsstelle, um eine Zertifizierungsstelle und ein vom selbst signiertes Zertifikat zu erstellen SSL Firewall - 172.16.77.1
- Wenn Sie dieses Zertifikat für mehr als 1 Jahr gut sein wollen, bitte die kryptografischen Einstellungen gehen Sie ein, und wählen Sie, sagen wir, 2 Jahre oder 730 Tage. Jetzt ist das Zertifikat für 2 Jahre gut
- Benötigen Sie keine zusätzliche Zertifikat Attribute legen, können Sie dies innerhalb des Fensters unten tun.
- Klicken Sie auf Generieren, und beachten Sie dann, dass der Status als gültig angezeigt wird.
- Klicken Sie auf ssl-decrypt, und setzen Sie dann ein Häkchen neben dem Zertifikat für die Weiterleitungvon Vertrauenswürdigen , und klicken Sie dann auf OK . Jetzt kann das Zertifikat für die Entschlüsselung verwendet werden.
- Stellen Sie das Zertifikat im Speicher "Vertrauenswürdiger Stamm" der Hosts CA bereit.
Wenn ein selbstsigniertes CA verwendet wird, muss das öffentliche Zertifikat aus dem exportiert werden und dann als vertrauenswürdiger Stamm im Browser jedes Computers installiert werden, um Fehlermeldungen über CA nicht firewall CA vertrauenswürdiges Zertifikat in Ihrem Browser zu vermeiden. Normalerweise überprüfen und verwenden Netzwerkadministratoren GPO dieses Zertifikat auf jede Arbeitsstation.
Wenn es um das Forward Untrust-Zertifikatgeht, ist es wichtig, über ein separates Zertifikat zu verfügen, das sich außerhalb der Vertrauenskette des Zertifikats befindet, das vom Forward Trust Certificateverwendet wird. Der Grund dafür ist, dass, wenn das gleiche Zertifikat sowohl Forward Trust Certificate als auch Forward Untrust Certificate-Flags im selben Zertifikat aktiviert war, die Hosts immer ein Zertifikat präsentieren, dem firewall sie vertrauen, auch wenn der Zielserver ungültige Zertifikate vorlegt.
- Um das öffentliche Zertifikat manuell CA zu exportieren, kehren wir zum Abschnitt Zertifikate unter Geräte- > Zertifikatsverwaltung > Zertifikate zurück.
- Aktivieren Sie das Kontrollkästchen neben ssl-decrypt, die wir gerade erstellt haben, und wählen Sie dann am unteren Bildschirmrand exportieren aus.
- Wenn der Bildschirm Zertifikat exportieren angezeigt wird, deaktivieren Sie die Option Privaten Schlüssel exportieren, da er nicht erforderlich ist.
- Behalten Sie das Format als Base64 Encoded Certificate ( PEM ) bei, und klicken Sie auf OK, keine Notwendigkeit, ein Kennwort einzugeben. A Kopie von cert_ssl-decrypt.crt wird heruntergeladen, die nun auf den Clientcomputer wechseln muss
Verwenden Sie Google Drive, und übertragen Sie GPO das exportierte Zertifikat auf alle Clientcomputer. Wir empfehlen GPO , da SSL decryption auf "neuen" Maschinen ordnungsgemäß funktioniert.
- Platzieren Sie ein öffentliches CA Zertifikat auf Google Drive, und greifen Sie dann von einem Clientcomputer aus auf Google Drive zu.
- Downloaden Sie das Zertifikat auf dem Client-Rechner.
- Installieren Sie das Zertifikat auf IE oder auf Chrome.
So installieren Sie das Zertifikat:
- Wählen Sie das Zertifikat aus (in Windows, Doppelklick).Die Zertifikateigenschaften werden angezeigt.
- Wählen Sie Zertifikat installierenaus.Sie werden gefragt, wo Sie dieses Zertifikat speichern möchten.
- Wählen Sie Alle Zertifikate im folgenden Speicherplatzieren aus , und klicken Sie dann auf Durchsuchen. Es wird empfohlen, dass Sie vertrauenswürdige Stammzertifizierungsstellenauswählen, klicken Sie auf Weiter, und dann beenden. Der Import wurde erfolgreich angezeigt.
- Auf OK
Konfigurieren SSL Entschlüsselungsregeln
Diese Anweisungen sind für die Einrichtung von Outbound SSL Decryption SSL (Forward Proxy). Wenn Sie Anweisungen zum Einrichten der eingehenden SSL Entschlüsselung benötigen, lesen Sie bitte die Admin-Leitfäden (siehe unten) für Anweisungen.
So richten Sie SSL Entschlüsselungsregeln ein:
Gehen Sie zu Richtlinien, dann zu Entschlüsselung.Hier lassen die Regeln den Datenverkehr über die zu oder zu SSL firewall entschlüsseln. Sie können sehen, dass I bereits zwei Regeln vorhanden sind.Eine Regel ist nicht zu entschlüsseln –Nicht entschlüsseln ist der Name, und die zweite ist, um Datenverkehr zu entschlüsseln.
Der Netzwerk- oder Sicherheitsadministrator bestimmt, was entschlüsselt werden muss. Im Folgenden finden Sie einige Vorschläge zum Konfigurieren von SSL Entschlüsselungsregeln:
- Anbaugerät Regeln in einen stufenweisen Ansatz. Beginnen Sie mit bestimmten Regeln für die Entschlüsselung, und überwachen Sie dann die typische Anzahl von SSL Verbindungen, die vom Gerät entschlüsselt werden.
- Vermeiden Sie die Entschlüsselung der folgenden URL Kategorien, da Benutzer dies als einen Eingriff in die Privatsphäre betrachten können:
Gesundheit und Medizin
- Entschlüsseln Sie außerdem keine Anwendungen, bei denen der Server clientseitige Zertifikate benötigt (zur Identifizierung).
- Erstellen Sie eine benutzerdefinierte URL Kategorie in Objekten > benutzerdefinierte Objekte, und fügen Sie sie dann am unteren Rand der Seite hinzu.Geben Sie ihm einen Namen: Do-Not-Decrypt
- Fügen Sie dann Websites hinzu, die nicht entschlüsselt werden sollen
- Wir stellen site-x.com in diese URL Kategorie. Wir fügen auch www.site-x.com hinzu, denn obwohl diese wie die gleichen Webseiten aussehen, sind sie völlig anders
- Platzieren Sie nun diese neue URL Kategorie in der Do-Not-Decrypt-Regel.
Wenn Ihre Sicherheit policy erfordert, dass Benutzer benachrichtigt werden, dass ihre SSL Verbindung entschlüsselt wird, verwenden Sie die Antwortseite auf dem Bildschirm "Geräte- > Antwortseiten". Klicken Sie auf Deaktiviert, und aktivieren Sie dann die Option SSL Abmelden deaktivieren und klicken Sie auf OK .
Commiting Changes and Testing Decryption
Commit the changes so we can test the client SSL decryption.
Von einem Client-Rechner:
- Besuchen Sie eine SSL beliebige Webseite, und überprüfen Sie, ob die Sitzung entschlüsselt wurde.
- Versuchen Sie, ob twitter.com und facebook.com entschlüsselte angezeigt werden. Wenn Sie die Website ohne Probleme zugreifen können, ist die Entschlüsselung ordnungsgemäß funktioniert.
- Wechseln Sie in der WebGUI zu Datenverkehrsprotokollen
- Suchen Sie nach Twitter-Basis und klicken Sie auf die Lupe auf der linken Seite des Fensters.
- Suchen Sie unter Flags nach dem Entschlüsselten Flag auf der rechten Seite unter Flags. Das Flag Entschlüsselt gibt an, dass SSL Decryption wie vorgesehen funktioniert.
Überprüfen Sie dann, ob die Protokolle die zu entschlüsselnden Sitzungen aufzeichnen.
Siehe auch
Anweisungen zum Generieren und Importieren eines Zertifikats aus Microsoft Certificate Server und weitere Informationen in Textform finden Sie unter Implementieren und Testen der SSL Entschlüsselung
Informationen zum Differenzzwischenszwischenmodus für SSL Vorwärtsproxy und eingehende Inspektion: Differenz zwischen SSL Vorwärtsproxy und eingehender Inspektion
Weitere Informationen zum Konfigurieren der SSL Entschlüsselung in Dokumentform finden Sie in den Admin-Handbüchern:
Für noch mehr Informationen über SSL Entschlüsselung, besuchen Sie bitte die SSL Decryption-Ressourcenliste, da es eine lange Liste von Artikeln hat, die sich nur mit SSL Entschlüsselung befassen.