SSL Decryption настройка и тестирование

Общие положения

Технология PAN-OS может расшифровывать и анализировать входящие и исходящие SSL-соединения, проходящие через межсетевой экран Palo Alto Networks. Расшифровка SSL может осуществляться с помощью интерфейса Virtual Wire, а также в режиме Layer 2 или Layer 3. Процедура задействует внутренний набор SSL-параметров, определяющих характеристики трафика, предназначенного для расшифровки. К примеру, дешифрование может базироваться на разновидностях URL или на различных параметрах целевых адресов. Расшифровка трафика позволяет отслеживать и контролировать работу туннельных приложений. С помощью расшифрованных данных можно выявлять факт угроз, выполнять фильтрацию URL-адресов, блокировать нежелательные файлы Расшифрованный трафик – закрытая информация, хранящаяся на устройстве.

Расшифровка входящих SSL-соединений

В случае с входящим трафиком, поступающим на внутренний веб-сервер или устройство, администратор импортирует копию защищаемого серверного сертификата и его ключ. Далее сертификат SSL-сервера проходит через межсетевой экран, а алгоритм расшифровки SSL настраивается на работу с входящим трафиком, позволяя устройству беспрепятственно считывать поступающий трафик по мере пересылки. При этом охраняемый канал и пакетные данные, поступающие на внутренний сервер из клиентской системы, остаются неизменными. Таким образом межсетевой экран может выявлять вредоносное содержимое и контролировать работу приложений внутри защищённого канала.

SSL Forward Proxy или расшифровка исходящего SSl-потока

В данном случае межсетевой экран фильтрует исходящие соединения, перехватывая поступающие SSL-запросы и генерируя на лету сертификаты для сайтов, которые желает посетить пользователь. Дата действия сертификата Palo Alto Networks формируется из даты действия сертификата сервера. Автором СА-сертификатов является непосредственно Palo Alto Networks. Если сертификат межсетевого экрана не является частью имеющейся структуры или его нет в кэше клиентского браузера, пользователь получает предупреждение о попытке зайти на незащищенный сайт. Если этот ресурс использует сертификат, который конфликтует с межсетевым экраном Palo Alto Networks, алгоритм дешифрования применяет так называемый «недоверенный» CA-ключ. Он будет предупреждать пользователя о любых подозрительных активностях и возможных атаках.

Для настройки функции «Расшифровка SSL» необходимо следовать стандартному алгоритму действий.

-настройте межсетевой экран для обработки трафика и выйдете в сеть;
-убедитесь, что межсетевой экран использует требуемый СА-сертификат;
-настройте параметры SSL расшифровки;
-включите страницу с уведомлениями о порядке дешифрования SSl (по желанию);
-сохраните настройки и протестируйте межсетевой экран.

Описание этапов настройки

 

1. Настройка межсетевого экрана для обработки трафика и подключение к сети

Нужно убедиться, что брандмауэр Palo Alto Networks задействует внутреннюю политику безопасности и пропускает трафик. Также межсетевой экран должен использовать один из рабочих интерфейсов – Virtual Wire, Layer 2 или Layer 3.

2. Загрузка или генерация СА-сертификата в брандмауэре Palo Alto Networks.

Внутренний центр сертификации (СА) должен точно расшифровывать трафик, моментально формируя SSL-сертификаты. Для этого нужно создать СА непосредственно в межсетевом экране или импортировать подчиненный Центр Сертификации из вашей Public Key Infrastructure. Далее необходимо выбрать опцию «Отправить доверенный сертификат» или «Отправить не доверенный сертификат», позволив брандмауэру расшифровать трафик. В меню Palo Alto Networks перейдите в раздел: «Устройство» -> «Сертификаты», загрузив или создав сертификат для проверки исходящего или входящего подключения. Межсетевой экран рекомендует использовать самозаверенный сертификат. Рекомендации по его созданию представлены в соответствующей статье.

Примечание: Так как поставщики SSL-сертификатов в лице Entrust, Verisign, Digicert и GoDaddy не поддерживают технологию СА, их разработки не участвуют в процессе расшифровки трафика.

Отдельного внимания заслуживает импорт и генерации сертификата из Microsoft Certificate Server. Речь идет об отправке запроса на получение расширенного шаблона сертификата. После его загрузки и извлечения из локального хранилища, нужно открыть в Internet Explorer «Свойства браузера» – > «Содержимое» – > «Сертификаты». Для экспорта нового сертификата из хранилища воспользуйтесь командой «Мастер экспорта сертификатов». Здесь нужно экспортировать закрытый ключ, выбрав нужный формат. Далее необходимо ввести пароль, имя и местоположение файла. Сертификат будет иметь расширение PFX (PKCS # 12).

Примечание: Если вы используете самозаверенный СА, нужно экспортировать публичный сертификат из межсетевого экрана, установив его в качестве корневого СА для браузеров на всех устройствах. Это позволит избежать ошибок при обработке исходящих и входящих сигналов. Для отправки сертификационных данных на каждую рабочую станцию в системе Windows администраторы сети обычно используют набор правил и настроек – GPO.

3. Настройка SSL-расшифровки

Цели дешифрования определяет администратор сети. Мы, в свою очередь, предлагаем несколько правил по реализации SSl-расшифровки:

  1. Поэтапное внедрение. Нужно начинать с общих правил дешифрования, продолжая отслеживать количество расшифровываемых соединений.
  2. Избегайте дешифрования сайтов, предоставляющих финансовые и медицинские услуги. Не стоит расшифровывать приложения, которые нуждаются в идентификации пользователей.
  3.  PAN-OS с помощью специального модуля позволяет блокировать или открывать доступ для подключений, запрашивающих аутентификацию клиента.

4. Активация системы уведомлений о дешифровании (опционально)

При желании пользователь может быть уведомлен о том, что его соединение было расшифровано. Эта опция реализована через специальный модуль, который можно найти на вкладке: «Устройство» – > «Экран откликов». Для активизации функции нужно нажать «Отключить», установив флажок в положение «Включить SSL-уведомления». Сохраните изменения, нажав «Ок». Таблицу уведомлений можно экспортировать, редактировать с помощью html и импортировать для статистического анализа.

5. Тестирование процесса расшифровки исходящего потока

Для начала убедитесь, что модуль «Исходящая политика» предупреждает о найденных вирусах. Также нужно включить пакетный захват в межсетевом экране. После настройки сохраните все изменения. Далее с компьютера, подключенного к брандмауэру, нужно перейти по адресу www.eicar.org. На сайте нужно нажать ссылку «Скачать anti-malware тест». Используя протокол http, загрузите тестовый вирус EICAR, который должен быть обнаружен межсетевым экраном. Далее нужно выполнить аналогичное тестирование, используя протокол HTTPS с поддержкой SSL. Изучая журнал угроз, нужно найти уведомление о том, что при просмотре веб-страниц через порт 443 был обнаружен вирус Eicar.

Для тестирования правила «no-decrypt» нужно сформировать перечень URL-адресов, которые попадают в категории “Финансовые услуги”, “Покупки”, “Медицина и здравоохранение”. Для тестирования PAN-DB используется встроенная система URL-фильтрации Palo Alto Networks с характерным названием «Тест сайта». Введите в нее URL для определения его категории. Обнаружив веб-сайты, не подлежащие дешифрации, используйте браузер для перехода на них с помощью https-протокола. Во время визита на эти сайты не должны появляться ошибки сертификата. Веб-страницы должны отображаться корректно и естественно. Журнал трафика должен показать, что приложение пересекло порт 443.

Тестирование входящего соединения

Начать нужно с изучения логов трафика, сформированных до запуска расшифровки SSL-соединения на брандмауэре. Оцените трафик, предназначенный для внутренних серверов. Запросы должны проходить через порт 443. Для компьютеров, не подключенных к сети, речь идет о подключении SSL к серверу в DMZ – в так называемой демилитаризованной зоне. Здесь не должно быть ошибок сертификата, так как соединение просто проверяется, а не проксируется. После изучения логов входящего соединения кликните по иконке с увеличительным стеклом, чтобы активизировать дешифровку записей в журнале трафика.

 

Опубликовано в рубрике Palo Alto