Welche Vorsichtsmaßnahmen sollte man treffen, wenn Firewall der für die CDSS Kommunikation bestimmte Datenverkehr über einen MITM Proxy geleitet wird?
9445
Created On 11/29/22 17:52 PM - Last Modified 05/09/23 03:29 AM
Question
Welche Vorsichtsmaßnahmen sollte man treffen, wenn Firewall der für die CDSS Kommunikation bestimmte Datenverkehr über einen MITM Proxy geleitet wird?
Environment
- Palo Alto Firewall oder Panorama
- Unterstützt PAN-OS
- In der Cloud bereitgestellte Sicherheitsdienste (CDSS)
- Drittanbieter Mann in der Mitte (MITM) Proxy
Answer
Die Antwort kann anhand des folgenden
PAN Beispiels erläutert werden: Device ------> Edge MITM Wed Proxy (externer Anbieter) --------> PAN Sicherheitsdienst-Cloud.
- A Die Sitzung zwischen Firewall und CDSS kann geändert werden, wenn eine Umgebung über einen MITM Proxy (kein Palo Alto Networks-Gerät) im Upstream-Datenverkehr verfügt.
- Die MITM Proxys können so konfiguriert werden, dass sie eine sichere Sitzung für die CDSS Dienste im Namen des Clients (PAN Firewall/Devices) vermitteln, was bedeutet, dass er der Sitzung sein Zertifikat für die Deep Packet Inspection hinzufügen kann.
- Dies bedeutet auch, dass eine Sitzung, die von der für die PAN Cloud vorgesehenen Sitzung gestartet wurde, unterbrochen wird und der Proxy mit der Firewall Kommunikation im Namen von Firewall.
- Palo Alto Networks cloud services akzeptiert die Verbindung von Firewall (oder einem anderen PAN Gerät), wenn sie sich authentifizieren können. Diese Authentifizierung erfolgt durch das Zertifikat, das von der während Firewall des Handshakes /TLS Handshakes SSLvorgelegt wird
- Wenn ein externer Proxy eine Sitzung im Namen von startet Firewall, verwendet er sein Zertifikat, das sich von der Erwartung unterscheidet. Infolgedessen wird die Verbindung abgelehnt.
- Um die obige Situation zu vermeiden und für einen erfolgreichen Verbindungsaufbau von Firewall/any PAN Device zu CDSS, Fügen Sie eine diskrete Ausnahmeregel in der Proxy-Konfiguration hinzu. Weitere Informationen finden Sie in der Dokumentation von Proxy, da es sich bei diesen Proxys um externe Geräte und nicht um Geräte von Palo Alto handelt. Die Regel sollte explizit jegliche Verschlüsselung für jedes PAN Gerät verweigern, CDSS damit der Proxy diesen Datenverkehr nicht entschlüsselt und erneut verschlüsselt.
- Wenn die Proxys sich dessen bewusst sind app , kann diese Art von Datenverkehr durch Apps oder durch Ziel oder andere Methoden identifiziert werden.
- Selbst wenn ein Proxy nicht entschlüsselt, kann er den Datenverkehr basierend auf integrierten Regeln oder DNS-Umleitungen umleiten. Stellen Sie sicher, dass die Auflösungsadresse durch die DNS-Auflösung nicht geändert wird.
Additional Information
- Beispiele für Cloud-Delivered Security Services (CDSS) sind Wildfire, , DNS securityATPund mehr.
- A firewall oder ein anderes Gerät kann eine Anfrage für das Urteil über ein PAN Artefakt (einen Hash URLoder eine Domäne) an eine CDSS senden und wartet auf die Antwort, oder es muss möglicherweise mit einem der Dienste kommunizieren, die sich in der CDSS "Cloud" befinden.
- In Umgebungen, in denen sich am Edge ein Man-in-the-Middle-Webproxy (MITM) für ausgehenden Datenverkehr zwischen dem Gerät und dem PAN Internet befindet, kann dies das Timing der CDSS Kommunikation stören, was zu einem anomalen Verhalten des Clouddiensts führt. Dies ist ein Proxy eines externen Anbieters wie Blue-coat, F5, Cisco Umbrella und mehr.