Quelles précautions faut-il prendre si Firewall le trafic destiné à CDSS la communication passe par un MITM Proxy ?
9441
Created On 11/29/22 17:52 PM - Last Modified 05/09/23 03:29 AM
Question
Quelles précautions faut-il prendre si Firewall le trafic destiné à CDSS la communication passe par un MITM Proxy ?
Environment
- Palo Alto Firewall ou Panorama
- Soutenu PAN-OS
- Services de sécurité fournis dans le cloud (CDSS)
- Tiers Homme du milieu (MITM) proxy
Answer
La réponse peut être expliquée à l’aide de l’exemple ci-dessous
PAN Device ------> Edge MITM Wed Proxy( fournisseur externe ) --------> PAN service de sécurité cloud.
- AFirewall entre et CDSS peut être modifié si un environnement a un proxy (pas un MITM périphérique Palo Alto Networks) sur le trafic en amont.
- Les MITM proxys peuvent être configurés pour négocier une session sécurisée vers les CDSS services au nom du client (PAN Firewall/Devices), ce qui signifie qu’il peut ajouter son certificat à la session pour une inspection approfondie des paquets.
- Cela signifie également qu’une Firewall session démarrée à partir du destiné au PAN cloud est interrompue et que le proxy a commencé à communiquer au nom du Firewall.
- Palo Alto Networks acceptera la connexion depuis Firewall (ou tout autre PAN appareil) s’ils peuvent l’authentifiercloud services. Cette authentification se fait par le certificat présenté par le Firewall lors de la poignée SSLde main /TLS poignée de main
- Lorsqu’un proxy externe démarre une session pour le Firewallcompte du , il utilise son certificat, qui est différent de celui attendu. Par conséquent, la connexion sera rejetée.
- Pour éviter la situation ci-dessus et pour que la connexion soit établie à partir de Firewall/n’importe quel périphérique vers CDSS, ajoutez une règle d’exception PAN discrète dans la configuration du proxy. Reportez-vous à la documentation de Proxy pour la même chose que ces proxys sont des périphériques externes et non de Palo Alto. La règle doit explicitement refuser tout chiffrement pour chaque PAN périphérique afin CDSS que le proxy ne déchiffre pas et ne rechiffre pas ce trafic.
- Si les proxys sont app au courant, ce type de trafic peut être identifié par des applications ou ils peuvent être identifiés par destination ou d’autres méthodes.
- Même si un proxy ne déchiffre pas, il peut rediriger le trafic en fonction des règles intégrées à la construction ou DNS-de la redirection. Assurez-vous que la DNS-résolution ne modifie pas l'adresse de résolution.
Additional Information
- Exemples de services de sécurité fournis dans le cloud (CDSS) : Wildfire, , DNS securityATPet plus encore.
- A firewall ou un autre appareil peut envoyer une demande de verdict sur un artefact (un hachage, URLun ou un domaine) à un PAN CDSS et attendra la réponse ou il peut avoir besoin de communiquer avec l’un des CDSS services résidant dans le « cloud ».
- Dans les environnements où il existe un proxy Web Man-in-the-Middle (MITM) à la périphérie pour le trafic sortant entre l’appareil PAN et Internet, cela peut perturber le timing de la CDSS communication, ce qui conduit à un comportement anormal du service cloud. Il s’agit d’un proxy de fournisseur externe tel que Blue-coat, F5, parapluie Cisco, etc.