SSL-Weiterleitungs-Proxy (Man in the Middle)

Wenn das Palo Alto Networks-Gerät so konfiguriert ist, dass SSL-Traffic auf externe Seiten entschlüsselt wird, fungiert es als Forward-Proxy. In diesem Szenario fängt das Gerät Palo Alto Networks die SSL-Anfrage des Clients ab und generiert ein Zertifikat für die Website, die der Kunde besucht hat. Die daraus resultierende sichere Verbindung liegt zwischen dem Computer des Clients und der Firewall.

Um den Prozess abzuschließen, initiiert das Palo Alto Networks-Gerät dann einen weiteren sicheren Kanal zum eigentlichen Server. Dieser Vorgang wird als "Mann in der Mitte" bezeichnet, wobei das Gerät Palo Alto Networks in der Mitte der beiden sicheren Verbindungen sitzt.

Es gibt einige wichtige Punkte, die bei der Implementierung des Forward SSL Proxy zu beachten sind:

• Das Gültigkeitsdatum auf dem Palo Alto Networks Firewall-generierten Zertifikat wird aus dem Gültigkeitsdatum auf dem Real Server Certificate entnommen.
• Die ausstellende Behörde des Palo Alto Networks generierte Certificate ist das Palo Alto Networks Gerät. Wenn das Gerätezertifikat nicht Teil einer bestehenden Hierarchie ist oder nicht in den Browser-Cache eines Clients aufgenommen wird, erhält der Client eine Warnmeldung, wenn er auf die sichere Website geht.
• Wenn das eigentliche Zertifikat von einer Behörde ausgestellt wurde, die nicht von der Palo Alto Networks Firewall vertraut ist, dann wird das Entschlüsselungs Zertifikat mit einem zweiten, nicht vertrauenswürdigen CA-Schlüssel ausgegeben. Dies stellt sicher, dass der Benutzer gewarnt wird, wenn es nachfolgende Menschen in den mittleren Angriffen auftritt.

Besitzer: Swhyte