Comment configurer le SSL décryptage

Comment configurer le SSL décryptage

327589
Created On 09/26/18 13:44 PM - Last Modified 04/19/21 21:26 PM


Resolution


Tutoriel vidéo: Comment configurer SSL Décryptage


Cette vidéo est conçue pour vous aider à comprendre et configurer SSL le décryptage PAN-OS sur 6.1.

Nous couvrirons les sujets suivants :
Qu’est-ce SSL que le décryptage?

SSL (Secure Sockets Layer) est un protocole de sécurité qui crypte les données pour aider à sécuriser les informations sur Internet. 
SSL certificats ont une paire clé: public et privé, qui travaillent ensemble pour établir une connexion.
PAN-OS peut décrypter et SSL inspecter les connexions entrantes et sortantes passant par firewall le . SSL décryptage peut se produire sur les interfaces en fil virtuel, couche 2 ou couche 3 mode. Les modules de décryptage est utilisée pour configurer quel trafic pour déchiffrer. En particulier, le décryptage peut être basé sur des URL catégories ainsi que sur l’utilisateur source et les adresses source/cible. Une fois le trafic décrypté, les applications tunnelées peuvent être détectées et contrôlées, et les données décryptées peuvent être inspectées pour détecter les menaces/ URL filtrage/blocage de fichiers/filtrage des données. Le trafic décrypté n’est jamais envoyé hors de l’appareil.

Entrants SSL Décryptage

Dans le cas du SSL décryptage entrant, le trafic entrant serait destiné à un serveur web ou à un périphérique interne. Pour configurer cela correctement, l’administrateur importe une copie du certificat et la clé du serveur protégé. Lorsque le SSL certificat de serveur est chargé sur le , et un firewall SSL décryptage est policy configuré pour le trafic entrant, l’appareil peut ensuite décrypter et lire le trafic comme il le fait avancer le long. Aucune modifications ne sont apportées aux données de paquet, et le canal sécurisé est construit à partir du système du client vers le serveur interne. Le firewall peut alors détecter le contenu malveillant et contrôler les applications en cours d’exécution sur ce canal sécurisé.

SSL Décryptage sortant SSL (proxy vers l’avant)

Dans le cas SSL du décryptage sortant, les firewall proxys sont des connexions SSL sortantes. Pour le site que l’utilisateur souhaite visiter, firewall l’intercepte les SSL demandes sortantes et génère un certificat en temps réel. La date de validité du PA- certificat généré est prise à partir de la date de validité du certificat de serveur réel.
L’autorité émettrice du PA- certificat généré est l’appareil Palo Alto Networks. Si le firewall certificat ne fait pas partie d’une hiérarchie existante ou n’est pas ajouté au cache de navigateur d’un client, le client reçoit alors un message d’avertissement lors de la navigation sur un site sécurisé. Si le certificat de serveur réel a été délivré par une autorité non fiable par les réseaux de Palo Alto , alors le certificat de décryptage est délivré à firewall l’aide d’une deuxième clé non CA fiable. Le certificat de décryptage garantit que l’utilisateur est averti des attaques ultérieures de l’homme au milieu.

Assurer l’autorité de certificat appropriée sur le Firewall chargement et l’exportation CA

des clients le chargement ou la génération CA d’un certificat sur les réseaux de Palo Alto firewall est nécessaire, car une autorité de certificat CA () est tenue de décrypter le trafic correctement en générant SSL des certificats à la volée. Soit créer un auto-signé CA sur le ou importer un subordonné de votre propre firewall CA PKI infrastructure. Sélectionnez certificat de fiducie avancée sur le certificat lié à la racine de confiance en qui les hôtes ont confiance ou qui seront CA configurés pour faire confiance.Étant donné SSL que les fournisseurs de certificats comme Entrust, Verisign, Digicert et GoDaddy ne vendent pas de CA, ils ne sont pas pris en charge dans le SSL décryptage.

Créez un certificat autosigné distinct et permettez au CA drapeau du certificat forward untrust de s’assurer que les clients présentent un certificat en qui ils firewall n’ont pas confiance firewall lorsqu’ils observent un certificat invalide du serveur. 

Pour générer un certificat autosigné :
  1. De la firewall GUI , aller à Device > Certificates Management > Certificats
  2. Cliquez sur Générer en bas de l’écran
  3. Pour le nom du certificat (qui peut être n’importe quoi), nous avons choisi ssl-decrypt
  4. Pour le nom commun, nous sommes entrés Firewall dans le 's Trusted Internal IP : 172.16.77.1
  5. Placez une case à cochée à côté de l’autorité de certificat pour créer une autorité de certificat et un certificat signé par SSL Firewall lui-même - 172.16.77.1
    1. Si vous souhaitez que ce certificat soit bon pour plus d’un an, s’il vous plaît aller dans les paramètres de chiffrement et choisissez, disons, 2 ans ou 730 jours. Maintenant, le certificat est bon pour 2 ans
    2. Si vous avez besoin de placer des attributs de certificat supplémentaires, vous pouvez le faire à l’intérieur de la fenêtre en bas.
  6. Cliquez sur Générer,puis remarquez que le statut s’affiche comme valide.
  7. Cliquez sur ssl-décrypter, puis placez une marque de contrôle à côté de Forward Trust Certificate, puis cliquez OK sur . Maintenant, le certificat peut servir pour le déchiffrement.
  8. Déployez le certificat dans le magasin de certificats Trusted Root CA des hôtes.

Si un auto-signé est utilisé, le certificat public doit être exporté CA à partir du , puis installé comme une racine de confiance sur le navigateur de chaque CA machine pour éviter les messages firewall CA d’erreur de certificat non fiables à l’intérieur de votre navigateur. Normalement, les administrateurs réseau examinent et utilisent GPO pour pousser ce certificat à chaque poste de travail.

Lorsqu’il s’agit du certificat forward untrust,il est important d’avoir un certificat distinct qui ne fait pas partie de la chaîne de fiducie du certificat utilisé par le certificat forward trust. La raison en est que si le même certificat avait à la fois le certificat forward trust et forward untrust certificate drapeaux activés dans le même certificat, le firewall sera alors toujours présenter aux hôtes avec un certificat en qui ils ont confiance, même lorsque le serveur de destination présenté avec des certificats invalides.
  1. Pour exporter manuellement le certificat CA public, revenons à la section Certificats chez Device > Certificate Management > Certificates
  2. Sélectionnez la case à cochée à côté de ssl-décrypter que nous venons de créer, puis sélectionnez Export en bas de l’écran
  3. Lorsque l’écran du certificat d’exportation s’affiche, décochez la clé privée Export,car elle n’est pas requise
  4. Gardez le format comme certificat codé Base64 ( PEM ) et cliquez , pas OKbesoin d’entrer un mot de passe. A copie de cert_ssl-decrypt.crt est téléchargé, qui doit maintenant aller sur la machine cliente
Importation de cert_ssl-decrypt.crt à Internet Explorer ou Chrome :

Utilisez Google Drive et GPO poussez le certificat exporté vers toutes vos machines clientes. Nous GPO recommandons, car il permet SSL au décryptage de fonctionner correctement sur les « nouvelles » machines.
  1. Placez un certificat public CA sur Google Drive, puis accédez à Google Drive à partir d’une machine cliente.
  2. Téléchargez le certificat sur l’ordinateur client.
  3. Installez le certificat IE sur ou Chrome.
Note: Vous pouvez également installer le certificat sur d’autres navigateurs comme Opera ou Firefox, mais ces instructions sont IE pour et Chrome.

Pour installer le certificat :
  1. Sélectionnez le certificat (dans Windows, double-clic).Les propriétés du certificat sont affichées.
  2. Sélectionnez Certificat d’installation.Vous êtes invité à savoir où vous souhaitez enregistrer ce certificat.
  3. Sélectionnez Placez tous les certificats dans le magasin suivant,puis cliquez sur parcourir. Nous vous recommandons de choisir trusted root certification authorities, cliquez sur Suivant, puis Terminer. L’importation a été un succès est affiché.
  4. Cliquez sur OK
Le certificat CA public créé par le est maintenant installé firewall correctement.Continuons avec le reste de la configuration.

Configuration SSL Règles de décryptage
Ces instructions sont pour la mise en place SSL du décryptage sortant SSL (proxy avant). Si vous avez besoin d’instructions pour la mise en place SSL du décryptage entrant, veuillez consulter les guides admin (énumérés ci-dessous) pour les instructions.

Pour configurer les SSL règles de décryptage :
passez aux stratégies, puis décryptage.C’est là que les règles permettent ou décryptent le SSL trafic à travers le firewall . Vous pouvez voir que I déjà deux règles en place.Une règle est de ne pas décrypter— Ne décryptez pas est le nom, et la seconde est de décrypter le trafic.

Le réseau ou l’administrateur de sécurité détermine ce qui doit être décrypté. Voici quelques suggestions pour configurer les règles SSL de décryptage :
  • Règles de mise en oeuvre dans une approche par étapes. Commencez par des règles spécifiques pour le décryptage, puis surveillez le nombre typique SSL de connexions décryptées par l’appareil.
  • Évitez de décrypter les catégories URL suivantes, car les utilisateurs peuvent considérer qu’il s’agit d’une atteinte à la vie privée :
Services financiers

Santé et médecine
  • En outre, ne décryptez pas les applications lorsque le serveur nécessite des certificats côté client (pour identification).
Pour tous les sites qui ne fonctionnent pas correctement, ou pour les sites, vous souhaitez exclure qui est déchiffré :
  1. Créez une catégorie personnalisée URL à l’intérieur > objets personnalisés, puis ajoutez-les en bas de la page.Donnez-lui un nom: Do-Not-Decrypt
  2. Ajoutez ensuite des sites que vous ne voulez pas décryptés
  3. Nous plaçons site-x.com dans cette URL catégorie. Nous ajoutons également www.site-x.com, parce que même si ceux-ci ressemblent aux mêmes pages Web, ils sont complètement différents
  4. Maintenant, placez cette URL nouvelle catégorie dans la règle do-not-decrypt.
Activation SSL Page de notification de décryptage (facultatif)

Si votre sécurité policy nécessite d’aviser les utilisateurs SSL que leur connexion sera décryptée, utilisez la page de réponse à l’écran > pages de réponse de l’appareil. Cliquez sur Désactivé, puis consultez l’option Activer SSL la page d’opt-out et cliquez OK sur .

Validation des modifications et décryptage des tests

Valider les modifications afin que nous puissions tester le SSL décryptage du client.

À partir d’une machine cliente :
  1. Visitez SSL n’importe quelle page Web et voyez si la session a été décryptée.
  2. Essayer de voir si twitter.com et facebook.com font leur apparition décryptés. Si vous pouvez accéder au site sans problèmes, décryptage fonctionne correctement.
À vérifier :
  1. Depuis le WebGUI, rendez-vous sur les journaux de trafic
  2. Recherchez twitter-base et cliquez sur la loupe sur le côté gauche de la fenêtre.
  3. Sous drapeaux, recherchez le drapeau décrypté à droite, sous drapeaux. Le drapeau décrypté indique que SSL le décryptage fonctionne comme prévu.
Note: Si vous essayez d’accéder à des sites qui ne s’affichent pas correctement après le décryptage est activé, alors vous devrez peut-être ajouter le site à une liste qui ne sera pas décryptée. Vous pouvez le faire en créant une nouvelle catégorie personnalisée URL - Ne décryptez pas, puis ajoutez n’importe quels sites que vous voulez.

Vérifiez ensuite si les journaux enregistrent les sessions en cours de décryptage.

Voir aussi

Pour obtenir des instructions pour la génération et l’importation d’un certificat à partir du serveur de certificat Microsoft, et pour plus d’informations sous forme de texte, veuillez consulter comment implémenter et tester le SSL décryptage

Pour plus d’informations sur la différence entre SSL le mode de décryptage avant-proxy et d’inspection entrante : différence entre proxy avancé et inspection entrante SSL Pour

plus d’informations sur la façon SSL de configurer le décryptage sous forme de document, veuillez consulter les guides admin :
Pour encore plus d’informations sur SSL le décryptage, veuillez visiter SSL la liste des ressources de décryptage, car il a une longue liste SSL d’articles traitant uniquement du décryptage.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmyCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language