Cómo configurar SSL el descifrado

Cómo configurar SSL el descifrado

327693
Created On 09/26/18 13:44 PM - Last Modified 04/19/21 21:26 PM


Resolution


Video Tutorial: Cómo configurar SSL Descifrado


Este vídeo está diseñado para ayudarle a entender y configurar SSL el descifrado en PAN-OS 6.1.

Trataremos los siguientes temas:
¿Qué es SSL descifrado?

SSL (Secure Sockets Layer) es un protocolo de seguridad que cifra los datos para ayudar a mantener la información segura mientras está en Internet. 
SSL los certificados tienen un par de claves: público y privado, que trabajan juntos para establecer una conexión.
PAN-OS puede descifrar e inspeccionar SSL las conexiones entrantes y salientes que pasan por el firewall SSL descifrado . puede ocurrir en las interfaces en el cable virtual, la capa 2 o el modo de la capa 3. La base de reglas de descifrado se utiliza para configurar que el tráfico para descifrar. En particular, el descifrado se puede basar en URL categorías, así como direcciones de usuario de origen y de origen/destino. Una vez descifrado el tráfico, las aplicaciones tunelizadas se pueden detectar y controlar, y los datos descifrados se pueden inspeccionar en busca de amenazas / URL filtrado / bloqueo de archivos / filtrado de datos. El tráfico descifrado nunca se envía fuera del dispositivo.

Entrante SSL Descifrado

En el caso del SSL descifrado entrante, el tráfico entrante se destinaría a un servidor Web o dispositivo interno. Para configurarlo correctamente, el administrador importa una copia del certificado y la clave el servidor protegido. Cuando se carga el certificado de SSL servidor en el archivo y se configura un firewall SSL policy descifrado para el tráfico entrante, el dispositivo puede descifrar y leer el tráfico a medida que lo reenvía. No se realizan cambios a los paquetes de datos, y el canal seguro se construye desde el sistema del cliente al servidor interno. firewallA continuación, puede detectar contenido malintencionado y controlar aplicaciones que se ejecutan a través de este canal seguro.

SSLDescifrado saliente SSL (proxy de reenvío)

En el caso del SSL descifrado saliente, las firewall conexiones salientes de proxies. SSL Para el sitio que el usuario desea visitar, el firewall intercepta SSL las solicitudes salientes y genera un certificado en tiempo real. La fecha de validez del PA- certificado generado se toma de la fecha de validez del certificado de servidor real.
La autoridad emisora del PA- certificado generado es el dispositivo Palo Alto Networks. Si el firewall certificado 's no forma parte de una jerarquía existente o no se agrega a la caché del explorador de un cliente, el cliente recibe un mensaje de advertencia al navegar a un sitio seguro. Si el certificado de servidor real ha sido emitido por una entidad de confianza por palo alto networks firewall , a continuación, el certificado de descifrado se emite utilizando una segunda clave que no es CA de confianza. El certificado de descifrado garantiza que se avise al usuario de los ataques posteriores de man-in-the-middle que se producen. Se necesita

garantizar la entidad de certificación adecuada y exportar los clientes Firewall CA que

cargan o generan un CA certificado en las redes de Palo firewall Alto, porque se requiere una entidad de certificación ( CA ) para descifrar el tráfico correctamente mediante la generación de certificados sobre SSL la marcha. Cree un autofirmado CA en el o importe un firewall subordinado desde su propia CA PKI infraestructura. Seleccione Reenviar certificado de confianza en el certificado que está vinculado a la raíz de confianza en la que confían los hosts o se CA configurará para confiar.Dado que SSL los proveedores de certificados como Entrust, Verisign, Digicert y GoDaddy no venden CA, no son compatibles con SSL Decryption.

Cree un certificado autofirmado independiente CA y habilite la marca Desconfiar de reenviar certificado para asegurarse de que los clientes firewall presentan un certificado en el que no confían cuando observan un certificado no válido firewall del servidor. 

Para generar un certificado autofirmado:
  1. De firewall GUI la , vaya a Certificados de > administración de certificados de > de dispositivos
  2. Haga clic en Generar en la parte inferior de la pantalla
  3. Para el nombre del certificado (que puede ser cualquier cosa), elegimos ssl-decrypt
  4. Para Common Name, ingresamos Firewall el 's Trusted Internal IP : 172.16.77.1
  5. Coloque una casilla de verificación junto a la entidad de certificación para crear una entidad de certificación y un SSL certificado firmado por el propio - Firewall 172.16.77.1
    1. Si desea que este certificado para ser bueno para más de 1 año, entrar en la configuración criptográfica y elegir, decir, 2 años o 730 días. Ahora el certificado es bueno para 2 años
    2. Si usted necesita colocar los atributos de certificado adicionales, puede hacerlo dentro de la ventana en la parte inferior.
  6. Haga clic en Generary, a continuación, observe que el estado se muestra como válido.
  7. Haga clic en ssl-decrypty, a continuación, coloque una marca de verificación junto a Certificado de confianza directay, a continuación, haga clic en OK . Ahora puede utilizar el certificado para el descifrado.
  8. Implemente el certificado en el almacén de certificados raíz de confianza de los CA hosts.

Si se usa un CA autofirmado, el certificado público CA debe exportarse desde el firewall archivo , instalado como raíz de confianza en el explorador de cada equipo para evitar mensajes de CA error de certificado que no son de confianza dentro del explorador. Normalmente, los administradores de red revisan y usan GPO para insertar este certificado en cada estación de trabajo.

Cuando se trata del certificado de desconfiado de reenvío,es importante tener un certificado independiente que esté fuera de la cadena de confianza del certificado utilizado por el certificado de confianza directa. La razón de esto, es que si el mismo certificado tenía tanto el certificado de confianza directa y los indicadores de certificado de no confianza de reenvío habilitados en el mismo certificado, el firewall siempre presentará a los hosts con un certificado en el que confían, incluso cuando el servidor de destino se presentó con certificados no válidos.
  1. Para exportar manualmente el CA certificado público, volvamos a la sección Certificados de Device > Certificate Management > Certificates
  2. Seleccione la casilla de verificación junto a ssl-decrypt que acabamos de crear, luego seleccione Exportar en la parte inferior de la pantalla
  3. Cuando aparezca la pantalla Exportar certificado, desactive Exportar clave privada, ya que no es necesario
  4. Mantenga el formato como Certificado codificado en Base64 ( PEM ) y haga clic en OK, sin necesidad de introducir una contraseña. A copia de cert_ssl-decrypt.crt se descarga, que ahora necesita ir a la máquina cliente
Importación de cert_ssl-decrypt.crt a Internet Explorer o Chrome:

Usa Google Drive e GPO inserta el certificado exportado a todos tus equipos cliente. Recomendamos, GPO ya que permite SSL descifrado para trabajar correctamente en máquinas 'nuevas'.
  1. Coloque un certificado público CA en Google Drive y, a continuación, acceda a Google Drive desde un equipo cliente.
  2. Descargar el certificado en el equipo cliente.
  3. Instale el certificado en IE Chrome o en él.
Nota: También puede instalar el certificado en otros navegadores como Opera o Firefox, pero estas instrucciones son para IE y Chrome.

Para instalar el certificado:
  1. Seleccione el certificado (en Windows, haga doble clic).Se muestran las propiedades del certificado.
  2. Seleccione Instalar certificado.Se le preguntará dónde desea guardar este certificado.
  3. Seleccione Colocar todos los certificados en el siguiente almacény, a continuación, haga clic en Examinar. Le recomendamos que elija Entidades de certificación raíz de confianza, haga clic en Siguientey, a continuación, en Finalizar. Se muestra la importación correcta.
  4. Haga clic OK
El certificado público CA creado por el ahora está instalado firewall correctamente.Continuemos con el resto de la configuración.

Configuración SSL Reglas de descifrado
Estas instrucciones son para configurar SSL el descifrado saliente SSL (proxy de reenvío). Si necesita instrucciones para configurar SSL el descifrado entrante, consulte las guías de administración (que se enumeran a continuación) para obtener instrucciones.

Para configurar SSL reglas de descifrado:
vaya a directivas y, a continuación, descifrado.Aquí es donde las reglas permiten o descifran el SSL tráfico a través del archivo firewall . Puede ver que I ya tiene dos reglas en su lugar.Una regla es no descifrar —No descifrar es el nombre, y la segunda es descifrar el tráfico.

El administrador de red o seguridad determina lo que debe descifrarse. A continuación se presentan algunas sugerencias para configurar SSL reglas de descifrado:
  • Implementar las reglas en un enfoque por fases. Comience con reglas específicas para el descifrado y, a continuación, supervise el número típico de SSL conexiones que el dispositivo está descifrando.
  • Evite descifrar las siguientes URL categorías, ya que los usuarios pueden considerar que se trata de una invasión de la privacidad:
Servicios financieros

Salud y medicina
  • Además, no descifre las aplicaciones donde el servidor requiere certificados del lado cliente (para la identificación).
Para los sitios que no funcionan correctamente, o para sitios desea excluir de ser descifrado:
  1. Cree una categoría personalizada URL dentro de Objetos > objetos personalizadosy, a continuación, agregue en la parte inferior de la página.Dale un nombre: No descifrar
  2. A continuación, agregue sitios que no desea descifrados
  3. Estamos colocando site-x.com en esta URL categoría. También estamos añadiendo www.site-x.com también, porque aunque estas se ven como las mismas páginas web, son completamente diferentes
  4. Ahora, coloque esa nueva URL categoría en la regla No descifrar.
Habilitación SSL Página de notificación de descifrado (opcional)

Si la seguridad policy requiere notificar a los usuarios que su conexión se SSL descifrará, utilice la página de respuesta en la pantalla Páginas de respuesta > dispositivo. Haga clic en Deshabilitado y, a continuación, active la opción Habilitar SSL página de exclusión voluntaria y haga clic en OK .

Confirmación de cambios y pruebas de descifrado

Confirmar los cambios para que podamos probar el SSL descifrado del cliente.

Desde una máquina cliente:
  1. Visite cualquier SSL página web y vea si la sesión se descifró.
  2. Prueba a ver si twitter.com y facebook.com aparecen descifrados. Si puede acceder al sitio sin problemas, luego descifrado funciona correctamente.
Además verificar:
  1. Desde el WebGUI, vaya a los registros de tráfico
  2. Busque la base de Twitter y haga clic en la lupa en el lado izquierdo de la ventana.
  3. En Banderas, busque la bandera descifrada a la derecha, en Banderas. La marca Descifrada indica que SSL Descifrado está funcionando según lo diseñado.
Nota: Si intenta acceder a los sitios que no se mostrarán correctamente después de habilitar el descifrado, es posible que tenga que agregar el sitio a una lista que no se descifrará. Puede hacerlo creando una nueva categoría personalizada : no descifrar y, a URL continuación, agregar los sitios que desee.

A continuación, compruebe si los registros están grabando las sesiones que se están descifrando.

Véase también

Para obtener instrucciones para generar e importar un certificado desde Microsoft Certificate Server y para obtener más información en forma de texto, consulte Cómo implementar y probar el SSL descifrado

Para obtener información sobre la diferencia entre el proxy avanzado y el SSL modo de descifrado de inspección entrante: Diferencia entre el proxy de SSL reenvío y

la inspección entrante Para obtener información adicional sobre cómo configurar el SSL descifrado en forma de documento, consulte las guías de administración:
Para obtener aún más información sobre SSL descifrado, por favor visite la SSL lista de recursos de descifrado, ya que tiene una larga lista de artículos que tratan con el SSL descifrado solamente.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmyCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language