SSL Proxy hacia adelante (Man in the Middle)

Cuando el dispositivo Palo Alto Networks está configurado para descifrar el tráfico SSL que va a sitios externos, funciona como un proxy forward. En este escenario, el dispositivo Palo Alto Networks intercepta la solicitud SSL del cliente y genera un certificado sobre la marcha para el sitio que el cliente estaba visitando. La conexión segura resultante se encuentra entre el equipo del cliente y el cortafuegos.

Para completar el proceso, el dispositivo de las redes de palo alto entonces inicia otro canal seguro al servidor real. Este proceso se conoce como un "hombre en el medio" con el dispositivo de redes de palo alto sentado en medio de las dos conexiones seguras.

Hay algunos puntos clave que debe tener en cuenta al implementar el proxy de reenvío SSL:

• La fecha de validez del certificado generado por el cortafuegos de Palo Alto Networks se toma de la fecha de validez del certificado de servidor real.
• La autoridad emisora del certificado generado de Palo Alto Networks es el dispositivo de redes palo alto. Si el certificado de dispositivo no forma parte de una jerarquía existente o no se agrega a la caché del explorador de un cliente, el cliente recibirá un mensaje de advertencia al examinar el sitio seguro.
• Si el certificado real ha sido emitido por una autoridad que no confía en el cortafuegos de Palo Alto Networks, el certificado de descifrado se emitirá utilizando una segunda clave de CA no confiable. Esto asegura que el usuario es advertido si hay el hombre subsecuente en los ataques medios que ocurren.

Propietario: swhyte