SSL フォワード プロキシ (Man-in-the-middle)

パロアルトネットワークデバイスは、外部サイトに行く SSL トラフィックを復号化するように構成されている場合、それはフォワードプロキシとして機能します。このシナリオでは、パロアルトネットワークデバイスは、クライアントの SSL 要求を傍受し、クライアントが訪問していたサイトのためにその場で証明書を生成します。結果としてセキュリティで保護された接続は、クライアントのコンピュータとファイアウォールの間にあります。

このプロセスを完了するために、パロアルトネットワークデバイスは、実際のサーバーに別のセキュリティで保護されたチャネルを開始します。このプロセスは、2つのセキュアな接続の真ん中に座ってパロアルトネットワークデバイスと "真ん中の男" と呼ばれています。

フォワード SSL プロキシを実装する際に注意すべきいくつかの重要な点があります。

• パロアルトネットワークファイアウォールで生成された証明書の有効日は、実際のサーバー証明書の有効日から取得されます。
• パロアルトネットワークの発行機関は、証明書は、パロアルトネットワークデバイスを生成します。デバイス証明書が既存の階層に含まれていない場合、またはクライアントのブラウザキャッシュに追加されていない場合、セキュリティで保護されたサイトを参照すると、クライアントは警告メッセージを表示します。
• 実際の証明書がパロアルトネットワークファイアウォールによって信頼されていない権限によって発行済みの場合、復号化証明書は信頼されていない2番目の CA キーを使用して発行されます。これにより、中間の攻撃が発生している後続の男性がある場合は、ユーザーが警告されます。

所有者: swhyte