¿Qué precauciones se deben tomar si Firewall el tráfico destinado a CDSS la comunicación pasa a través de un MITM Proxy?

¿Qué precauciones se deben tomar si Firewall el tráfico destinado a CDSS la comunicación pasa a través de un MITM Proxy?

9445
Created On 11/29/22 17:52 PM - Last Modified 05/09/23 03:29 AM


Question


¿Qué precauciones se deben tomar si Firewall el tráfico destinado a CDSS la comunicación pasa a través de un MITM Proxy?

Environment


  • Palo Alto Firewall o Panorama
  • Apoyado PAN-OS
  • Servicios de seguridad en la nube (CDSS)
  • Hombre de terceros en el medio (MITM) proxy

Answer


La respuesta se puede explicar utilizando el siguiente ejemplo a continuación
         
PAN Device ------> Edge MITM Wed Proxy (proveedor externo) --------> PAN nube de servicios de seguridad.
 
  1.  A se puede modificar si Firewall CDSS un entorno tiene un proxy (no un MITM dispositivo de Palo Alto Networks) en el tráfico ascendente.
  2. Los MITM proxies se pueden configurar para intermediar una sesión segura en los CDSS servicios en nombre del cliente (PAN Firewall/Devices), lo que significa que puede agregar su certificado a la sesión para la inspección profunda de paquetes.
    • Esto también significa que se interrumpe una sesión iniciada desde la Firewall destinada a la PAN nube y el proxy ha comenzado a comunicarse en nombre del Firewall.
    • Palo Alto Networks cloud services aceptará la conexión desde Firewall (o cualquier otro PAN dispositivo) si pueden autenticarla. Esta autenticación es por el certificado presentado por el durante el Firewall apretón de manos /TLS apretón de manos SSL
    • Cuando un proxy externo inicia una sesión en nombre de , utiliza su certificado, que es diferente de lo Firewallesperado. Como resultado, la conexión será rechazada.
  3. Para evitar la situación anterior y para establecer correctamente la conexión desde /any PAN Device a , agregue una regla de excepción discreta CDSSen la configuración de Firewallproxy. Consulte la documentación de Proxy para lo mismo, ya que estos proxies son dispositivos externos y no de Palo Alto. La regla debe denegar explícitamente cualquier cifrado para que cada PAN dispositivo fluya para que el proxy no descifre y vuelva a CDSS cifrar ese tráfico.
  4. Si los proxies son app conscientes, este tipo de tráfico puede identificarse por aplicaciones o pueden identificarse por destino u otros métodos.
  5. Incluso si un proxy no está descifrando, puede redirigir el tráfico en función de las reglas integradas o DNS-la redirección. Asegúrese de que la resolución no modifique la DNS-dirección de resolución.

Additional Information


  • Ejemplos de servicios de seguridad entregados en la nube (CDSS) son Wildfire, DNS security, , ATPy más.
  • A firewall u otro PAN dispositivo puede enviar una solicitud para el veredicto sobre un artefacto (un hash, , URLo dominio) a un CDSS y esperará la respuesta o puede necesitar comunicarse con cualquiera de los CDSS servicios que residen en la "nube".
  • En entornos donde hay un proxy web Man-in-the-Middle (MITM) en el borde para el tráfico saliente entre el dispositivo e Internet, puede interrumpir el tiempo de la comunicación, lo que conduce a un comportamiento anómalo en el PAN servicio en la CDSS nube. Este es un proxy de proveedor externo como Blue-coat, F5, paraguas de Cisco y más.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFOpCAM&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language