復号化を構成する方法 SSL

復号化を構成する方法 SSL

327711
Created On 09/26/18 13:44 PM - Last Modified 04/19/21 21:26 PM


Resolution


ビデオチュートリアル: 設定 SSL 方法復号化


このビデオは SSL PAN-OS 、6.1 の復号化を理解し、構成するのに役立つように設計されています。

次のトピックについて説明します。
復号化とは何 SSL ですか?

SSL (セキュアソケットレイヤー)は、インターネット上で情報を安全に保つためにデータを暗号化するセキュリティプロトコルです。 
SSL証明書には、パブリックとプライベートのキーペアがあり、接続を確立するために連携します。
PAN-OSSSL firewall SSL 仮想ワイヤ、レイヤ 2、レイヤ 3 モードのインターフェイスで、.decryptid を通過する受信接続と発信接続の復号化と検査が可能です。 復号化ルールベースを使用して、復号化するトラフィックの種類を構成します。 特に、復号化は URL 、ソースユーザーおよびソース/ターゲットアドレスだけでなく、カテゴリに基づいて行うことができます。 トラフィックが復号化されると、トンネル化されたアプリケーションを検出して制御し、復号化されたデータを脅威/ URL フィルタリング/ファイルブロック/データフィルタリングがないか検査できます。 復号化されたトラフィックは、デバイスから送信されることはありません。

インバウンド SSL 復号化

着信復号化の場合 SSL 、着信トラフィックは内部 Web サーバーまたはデバイスに送信されます。 正しく、これを構成するには、管理者は、保護されたサーバーの証明書とキーのコピーをインポートします。 SSLサーバー証明書が firewall にロードされ、 SSL policy 着信トラフィック用に復号化が構成されている場合、デバイスはトラフィックを転送するときに、トラフィックを復号化して読み取ることができます。 パケット データは変更されませんし、内部サーバーにクライアント システムからセキュリティで保護されたチャネルを構築します。 firewallその後、悪意のあるコンテンツを検出し、このセキュリティで保護されたチャネル上で実行されているアプリケーションを制御できます。

アウトバウンド SSL 復号化 ( SSL フォワード プロキシ)

送信復号化の場合 SSL 、プロキシは firewall 送信接続を送信します SSL 。 ユーザーが訪問するサイトでは、 firewall 送信要求をインターセプト SSL し、リアルタイムで証明書を生成します。PA-生成された証明書の有効日は、実サーバ証明書の有効日から取得されます。
PA-生成された証明書の発行機関は、パロアルトネットワークスデバイスです。 firewall証明書が既存の階層の一部でない場合、またはクライアントのブラウザー キャッシュに追加されていない場合、クライアントはセキュリティで保護されたサイトを参照するときに警告メッセージを受け取ります。 実際のサーバー証明書が Palo Alto Networks によって信頼されていない機関によって発行された場合 firewall 、復号化証明書は 2 番目の信頼されていないキーを使用して発行されます CA 。 復号化証明書により、ユーザーは、その後の中間者攻撃が発生した場合に警告が表示されます。Palo Alto Networks 上で証明書を読み込むか生成する

Firewall CA クライアントに適切な証明機関を確保

する必要 CA firewall があります CA SSL 。 で自己署名を作成 CA firewall するか、 CA または自分のインフラストラクチャから下位をインポートします PKI 。 信頼 ホストする信頼されたルートに関連付けられている証明書 CA または信頼するように構成される証明書で、[信頼証明書の転送] を選択します。SSLエントラスト、ベリサイン、デジサート、GoDaddyなどの証明書プロバイダが、証明機関を販売していないことを考えると、復号化ではサポートされていません SSL 。

別の自己署名証明書を作成 CA し、転送信頼証明書フラグを有効にして firewall 、サーバーからの無効な証明書を観察したときに、信頼できない証明書をクライアントに提示します firewall 。 

自己署名証明書を生成するには、次の手順に従います。
  1. から、[ firewall GUI デバイス > 証明書の管理 > 証明書に移動します。
  2. 画面の下部にある [ 生成 ] をクリックします。
  3. 証明書名 (何でも可能) に対して、SSL 復号化を選択しました。
  4. 共通名については Firewall 、'信頼された内部 IP : 172.16.77.1
  5. [証明機関] の横にあるチェック ボックスをオンにして、 SSL 証明機関と証明書自体によって署名された証明書を作成します Firewall ( 172.16.77.1
    1. この証明書が 1 年以上のために良い場合は、暗号化の設定に移動を選択してくださいと言う 2 年または 730 日。 今、証明書は2年間良いです
    2. 追加の証明書属性を配置する場合は、下部にウィンドウ内そうことができます。
  6. [ 生成] をクリックし、[ 状態 ] が有効と表示されていることを確認します。
  7. [ssl-decrypt] をクリックし、[信頼証明書の転送] の横にチェック マークを付けてから、 をクリック OK します。 今証明書を復号化に使用できます。
  8. ホストの信頼されたルート CA 証明書ストアに証明書を展開します。

自己署名が CA 使用されている場合は、ブラウザー CA 内で firewall 信頼されていない証明書のエラー メッセージが表示されないように、パブリック証明書を から エクスポートしてから CA 、各コンピューターのブラウザーに信頼されたルートとしてインストールする必要があります。 通常、ネットワーク管理者は、 GPO この証明書を各ワークステーションにプッシュするために使用します。

転送信頼証明書に関しては、転送信頼証明書で使用される証明書の信頼チェーンの外部にある証明書を別途持つことは重要です。 その理由は、同じ証明書で同じ証明書の転送信頼と信頼されていない証明書の両方のフラグが有効になっている場合、 firewall 宛先サーバーに無効な証明書が提示された場合でも、常に、信頼できる証明書をホストに提示するためです。
  1. パブリック証明書を手動でエクスポートするには CA 、「 デバイス > 証明書の管理 >証明書」の「証明書」セクションに戻りましょう
  2. 作成したSSL 復号化の横にあるチェックボックスを選択し、画面の下部にある[エクスポート] を選択します。
  3. [証明書のエクスポート] 画面が表示されたら、[ 秘密キーのエクスポート] をオフにします。
  4. Base64 エンコード証明書 ( PEM )としてフォーマットを保持し、OKをクリックしてパスワードを入力する必要はありません。 A cert_ssl-Decrypt.crt のコピーがダウンロードされ、クライアント マシンに移動する必要があります
cert_ssl-decrypt.crt をインターネット エクスプローラまたは Chrome にインポートする:

Google ドライブを使用して、 GPO エクスポートした証明書をすべてのクライアント マシンにプッシュします。 GPO SSL 復号化は「新しい」マシンで正しく動作することを可能にするので、私たちはお勧めします。
  1. CAGoogle ドライブに公開証明書を配置し、クライアント マシンから Google ドライブにアクセスします。
  2. クライアント コンピューターに証明書をダウンロードします。
  3. 証明書を Chrome IE にインストールします。
注: また、Opera や Firefox などの他のブラウザーに証明書をインストールすることもできますが、これらの手順は IE と と で、Chrome です。

証明書をインストールするには、次の手順に従います。
  1. 証明書を選択します (Windows ではダブルクリックします)。証明書のプロパティが表示されます。
  2. [ 証明書のインストール ] を選択します。この証明書を保存する場所を確認するメッセージが表示されます。
  3. [ 証明書をすべて次のストアに配置する ] をクリックし、[ 参照] をクリックします。 [信頼されたルート証明機関] を選択し、[次へ] をクリックして、[完了] をクリックすることをお勧めします。 インポートが正常に完了しました
  4. クリック OK
CAによって作成されたパブリック証明書 firewall が正しくインストールされました。残りの構成を続けましょう。

構成 SSL 復号化ルール
これらの手順は、送信 SSL 復号化 ( SSL フォワード プロキシ) を設定するための手順です。 インバウンド復号化の設定手順が必要な場合 SSL は、手順については管理ガイド(下記参照)を参照してください。

復号化ルールを設定するには SSL :
ポリシーに移動し、次に復号化します。ここで、ルールは SSL 、 を通じてトラフィックを許可または復号 firewall します。 すでに 2 I つのルールが設定されていることがわかります。1 つのルールは復号化しないルールです:[復号化しない] は名前で、2 つ目はトラフィックの復号です。

ネットワーク管理者またはセキュリティ管理者は、暗号化解除する必要がある内容を決定します。 次に、復号化ルールを構成するためのいくつかの推奨事項を SSL 示します。
  • 段階的に規則を実装します。 復号化の特定のルールから開始し、 SSL デバイスによって復号化される典型的な接続数を監視します。
  • URLユーザーは、プライバシーの侵害であると考える可能性があるため、次のカテゴリを復号化しないでください。
金融サービス

健康と医療
  • また、サーバーがクライアント側の証明書を必要とするアプリケーション (識別用) を復号化しないでください。
正しく動作しない任意のサイトまたはサイトの暗号化解除されてから除外したいです。
  1. URL [オブジェクト]内にカスタムカテゴリを作成し、ページの下部に [オブジェクト>追加します。名前を付ける: 解読しない
  2. 次に、復号化したくないサイトを追加します
  3. このカテゴリーに site-x.com を入 URL れる。 また、同じ Web ページのように見えても、まったく異なるため 、www.site-x.com も追加しています。
  4. 次に、その新しい URL カテゴリを 解読しない ルールに配置します。
有効化 SSL 復号化通知ページ (オプション)

policy セキュリティでユーザーに接続の暗号化解除を通知する必要 SSL がある場合は、[デバイス>応答ページ] 画面の応答ページを使用します。 [無効] をクリックし、[ SSL オプトアウト ページを有効にする] オプションをオンにして、[ OK ] をクリックします。

変更をコミットし、復号のテスト

変更をコミットして、クライアントの復号化をテストできるようにします SSL 。

クライアント マシンから:
  1. 任意の SSL Web ページにアクセスし、セッションが復号化されているかどうかを確認します。
  2. かどうか twitter.com と facebook.com を見せている復号化を参照してください。 問題なくサイトにアクセスすることができる場合の復号化が正常に動作します。
さらに確認します。
  1. WebGUI から、トラフィック ログに移動します。
  2. ツイッターベースを探し、ウィンドウの左側にある虫眼鏡をクリックします。
  3. [フラグ] で、右側の [フラグ] の下にある [復号化済み ] フラグを探します。 復号化フラグは、 SSL 復号化が設計どおりに動作していることを示します。
注: 復号化を有効にした後で正しく表示されないサイトにアクセスしようとすると、復号化 されない リストにサイトを追加する必要があります。 これを行うには、新しいカスタム URL カテゴリ - 解読しないを作成し、必要なサイトを追加します。

次に、ログが復号化されるセッションを記録しているかどうかを確認します。

「」も参照

Microsoft 証明書サーバーから証明書を生成およびインポートする手順、およびテキスト形式の詳細については、「暗号化 SSL 解除の実装方法とテスト方法

」を参照してください SSL 転送プロキシと受信検査復号化モードの違い: フォワード SSL プロキシとインバウンド検査の違い

ドキュメント フォームでの復号化の構成方法の詳細 SSL については、次の管理者ガイドを参照してください。
復号化に関するさらに詳しい情報については SSL 、 SSL 復号化のみを扱う記事の長いリストを持っているため、復号化リソースのリストをご覧ください SSL 。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmyCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language