URL policy TLS 復号化されたセッションのハンドシェイクでのフィルタリングを適用する方法 HTTPS
28090
Created On 08/04/20 19:32 PM - Last Modified 10/10/23 08:32 AM
Objective
KB次の緩和策を実装する前に、コンテキストに関するURLクリア テキスト HTTP と暗号化 HTTPS されたトラフィックの検索と適用の違いをフィルタリングする記事を参照してください。
URL policy TLS 復号化されたセッションのハンドシェイクでフィルター処理を適用するには HTTPS 、次のいずれかの回避策を使用することをお勧めします。
- そのことが可能な PanOS ファイアウォール上の 2 つの vsys 間の送信トラフィックをルーティングし URL 、1 つの vsys でフィルター処理と SSL / TLS 復号化を実行します。
- 2 つの追加のセキュリティ ゾーンを追加し、それらの間の送信トラフィックをルーティングして"復号化" と "復号化なし" の両方 policy の規則を適用します。 たとえば、 NGFW トラフィックが内部ゾーンから内部ゾーンに「 DMZ 復号化なし」を適用して内部ゾーンに移動する方法を設定し、外部DMZに渡され、「復号化」ルールが適用された外部からDMZインターネットゾーンに移動します。 この回避策については、以下で詳しく説明します。 この構成では、 の負荷が大幅に増加する可能性があることに注意 firewall してください。
- トラフィック チェーン内の追加のセキュリティ デバイスを使用します。 SSL/ TLS 復号化と URL- フィルタリングの関数は、それらの間で分離する必要があります(例えば、最初のデバイスは URL フィルタリングを実行しており、2番目のデバイスは実行 SSL / TLS 復号化しています。
SSL TLS それははるかに高いリスクにあなたをさらしますので、私たちは、無効/復号化をお勧めしません。
Procedure
提案された回避策の詳細 (2)
この回避策の概念は、トラフィックの NGFW 同じ部分に"復号化"と"復号化なし"の両方のセキュリティ規則を実装するために、PanOS 内の第二のサイバーセキュリティデバイス policy をエミュレートすることです。 実装ワークフローは以下に説明しますが、設定に基づいて、いくつかの変更が必要になる場合があります
ATTENTION 。 この構成では Firewall 、アクティブな SSL セッション数と Web 閲覧トラフィックが倍増するため、負荷が大幅に増加する可能性があります。 機密データ セグメントにのみ実装するか、または ( PBF Policy ベース 転送) を使用して、2 回検査するトラフィックを制限することを検討してください。
以下の手順は、 firewall 以下のスキームの原理図を表す上で構成を構築するのに役立ちます。 次の表は、ネットワーク インターフェイスの構成を示しています。 Insideセキュリティ ゾーンからのトラフィックは、インターネットゾーンに到達する前に、2DMZつの分離された仮想ルータによってルーティングされる内部ゾーンと外部DMZゾーンを通過する必要があります。 これにより、各トラフィック パス セクション (内部 - 内部DMZおよび外部 - DMZ インターネット) に異なるセキュリティ 規則のセットを実装できます。
| インターフェイス | タイプ | セキュリティゾーン | 仮想ルータ | コメント |
|---|---|---|---|---|
| イーサネット 1/1 | L3 出力 IP- アドレス | インターネット | VR-2 | |
| イーサネット 1/2 | L3 192.168.112.1/24 | 外部-DMZ | VR-2 | 物理インターフェイスはイーサネット リンクと共に接続されます。 |
| イーサネット 1/3 | L3 192.168.112.1/24 | 内部-DMZ | VR-1 | |
| イーサネット 1/4 | L3 192.168.42.1/24 | 中に | VR-1 |
STEPS TO IMPLEMENT:
2 つの空いているイーサネット インターフェイスを物理リンクに接続します。 この説明では 、イーサネット 1/2 および イーサネット 1/3 が参照用に使用されます。
イーサネット 1/2 およびイーサネット 1/3をレイヤ 3 タイプ インターフェイスとして設定します([ネットワーク>インターフェイス] に移動し、インターフェイスを選択してレイヤ 3 インターフェイス タイプを割り当てます。 他のフィールドは今のところデフォルトのままにします)
新しい 仮想ルータを作成する : このガイドでは、この仮想ルータ VR-2 を参照します。 インターフェイス VR-2 イーサネット 1/2 およびインターネットへのリンクを持つインターフェイス (図のイーサネット 1/1) に割り当てます。 最後の手順を実行するには、現在の仮想ルータからこのインターフェイスを割り当て解除する必要があります。
インターフェイスイーサネット 1/3を、Insideゾーンが接続された仮想ルータに割り当てます。 このガイドのとおり、この仮想ルータ VR-1 を参照しています。
新しいセキュリティ ゾーンを作成する :外部DMZおよび内部-DMZをインターフェイスイーサネット 1/2 とイーサネット 1/3にそれぞれ割り当てます。
- 同じネットワーク範囲のアドレスを割り当てることによってインターフェイスイーサネット 1/2およびイーサネット 1/3を設定します IP- (このガイドでは 192.168.112.1/24 を使用します)。 したがって 、イーサネット 1/2 は IP- アドレス 192.168.112.1/24 および イーサネット 1/3( IP- アドレス 192.168.112.2/24)で設定されます。 以下のスクリーンショットをご参照ください。
- 仮想ルーター (ネットワーク> 仮想ルーター) の構成画面に戻ります。 から へのトラフィックを送信する 静的ルート VR-1 を追加します VR-2 。
- 次の VR-2 2 つの新しい静的ルートを追加して、トラフィックを内部に転送 DMZ し、トラフィックをインターネットに転送する必要があります。
- また、 NAT policy 変更を反映するように調整する必要があります。 送信トラフィックの場合は NAT policy 、Insideゾーンから削除し (持っていた場合)、外部DMZゾーンに追加する必要があります。 この例は、以下のスクリーンショットにあります。
- 構成をコミットした後、発信接続ごとに 2 つのセッションが作成され、内部と内部のDMZ間、および外部DMZとインターネットの間に 2 つのセッションが作成されたことを確認できます。
- これで、発信トラフィックに対して 2 つの復号化Policyルールを作成し、内部DMZと内部の間のDMZトラフィックに対して "復号化なし" アクションを適用できます。
- 変更を反映するように セキュリティ Policy ルールを調整します。 検出された流出方法に関連するリスクを回避するには、 URL 内部DMZ>外部 DMZ インターネットの両方のセグメントのトラフィックにフィルタを適用>必要があります。