phile

Internship/Fresher
Jan 4, 2021
87
16
8
Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình tính năng SSL Inbound Inspection trên PAN VM-series

[LAB-18] Cấu hình SSL Inbound Inspection trên PAN VM-series

Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)

I. Giới thiệu về mô hình bài Lab

Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
  • Outside network: 10.120.190.0/24
  • User network: 172.16.198.0/24 và 172.16.199.0/24
  • Server network: 172.16.100.0/24
  • Web server network: 172.16.10.0/24, IP private của server 172.16.10.100:80 được NAT bằng IP 10.120.190.52:80
Gateway lần lượt được cấu hình trên PAN VM-series: 10.120.190.50/24, 172.16.198.250, 172.16.198.250, 172.16.10.250,...
Yêu cầu của bài Lab:
  • Cấu hình import certificate của web server 172.16.10.100 (NAT IP 10.120.190.51) vào Palo Alto.
  • Cấu hình Decryption Profile cho SSL Inbound Inspection để quản lý các traffic SSL/TLS truy cập vào Web server 172.16.10.100 (NAT IP10.120.190.51)
  • Cấu hình Decryption Policy cho phép mã hóa và giải mã các traffic truy cập vào Web server 172.16.10.100 (NAT IP10.120.190.51) bằng tính năng SSL Inbound Inspection và kiểm tra hoạt động của traffic.
1714994860967.png


II. Cấu hình tính năng SSL Inbound Inspection trên PAN VM-series

SSL Inbound Inspection là tính năng trên Firewall Palo Alto cho phép giải mã lưu lượng truy cập SSL/TLS đến các máy chủ nội bộ để tường lửa có thể xem xét các mối đe dọa tiềm ẩn và áp dụng các biện pháp bảo mật. Khi được bật, SSL Inbound Inspection sẽ giải mã lưu lượng truy cập đến được bảo vệ bằng chứng chỉ SSL/TLS do máy chủ nội bộ cung cấp. Điều này cho phép tường lửa quét lưu lượng truy cập cho các mối đe dọa như vi-rút, phần mềm độc hại và các cuộc tấn công mạng khác.
SSL Inbound Inspection cung cấp một số lợi ích, bao gồm:
  • Tăng cường bảo mật: Bằng cách giải mã lưu lượng truy cập SSL/TLS, tường lửa có thể kiểm tra nó cho các mối đe dọa mà nó không thể phát hiện được nếu lưu lượng truy cập được mã hóa. Điều này có thể giúp ngăn chặn vi-rút, phần mềm độc hại và các cuộc tấn công mạng khác xâm nhập vào mạng của bạn.
  • Tăng khả năng hiển thị: SSL Inbound Inspection cung cấp khả năng hiển thị lưu lượng truy cập SSL/TLS đang di chuyển qua mạng. Điều này có thể hữu ích để khắc phục sự cố và xác định các mối đe dọa tiềm ẩn.
  • Tuân thủ: Một số quy định yêu cầu giải mã lưu lượng truy cập SSL/TLS để kiểm tra. SSL Inbound Inspection có thể giúp bạn đáp ứng các yêu cầu tuân thủ này.
Các hoạt động của SSL Inbound Inspection được mô tả bằng hình bên dưới, bao gồm:
  1. Người dùng bên ngoài gửi SSL request tới server nội bộ.
  2. Server nội bộ gửi thông tin certificate của nó cho người dùng bên ngoài.
  3. Người dùng bên ngoài sẽ xác nhận các thông tin certificate và gửi lại thông tin thành lập kênh mã hóa SSL.
  4. Firewall Palo Alto vì đã được import certificate của Server nội bộ nên có thể dùng chính certificate đó để giải mã traffic gửi người dùng bên ngoài và Server nội bộ một cách transparent không ảnh hường gì đến kết nối trực tiếp từ người dùng bên ngoài và Server nội bộ.
Lưu ý: tính năng SSL Inbound Inspection trên Palo Alto là tính năng không cần license và là tính năng nên cấu hình để hỗ trợ bảo vệ các Server nội bộ cần public ra bên ngoài internet.
1715596002823.png


Để cấu hình tính năng SSL Inbound Inspection trước hết cần import đúng certificate mà Server nội bộ ở đây là 172.16.10.100 dùng bật HTTPS. (cách import certificate được trình bày chi tiết theo link sau)
1714994934396.png

Sau khi đã import certificate mà Server 172.16.10.100 dùng để mã hóa HTTPS cần import thêm các CA và Sub-CA dùng để kí certificate đó như hình bên dưới.
1714995028952.png


Sau khi hoàn thành việc import certificate, tiến hành cấu hình Decryption Profile để thiết lập các thông số cho SSL Inbound Inspection tại phần OBJECTS > Decryption Profile > chọn Add.
1714994941136.png

Tiến hành điền tên cho Profile, sau đó tại phần SSL Decryption > SSL Inbound Inspection tiến hành cấu hình chọn Block sessions with unsupported versions Block sessions with unsupported cipher suites để chặn các kết nối không đáp ứng trong SSL Protocol Settings.
1714995073086.png

Tại phần SSL Protocol Settings sẽ cấu hình các thông tin liên quan đến các thuật toán và version hỗ trợ khi sử dụng SSL/TLS bao gồm: Cấu hình version TLS, cấu hình các thuật toán trao đổi được hỗ trợ, cấu hình các thuật toán mã hóa và xác thực được hỗ trợ. (nên chọn cấu hình như hình bên dưới hoặc để bảo mật hon nên chọn các thuật toán với chiều dài hơn 128)
1714995080083.png



Sau khi hoàn thành việc cấu hình Decryption Profile, để tính năng hoạt động cần tạo Decryption Policy trong phần POLICES > Decryption > chọn Add.
1714995086118.png

Việc cấu hình SSL Inbound Inspection policy sẽ tương tự như cấu hình Security Policy khi NAT server ra bên ngoài, tại phần General sẽ cấu hình thông tin phân loại như tên và tag.
1714995098363.png

Tiếp theo tại phần Source sẽ để truy cập từ ouside_zone với tất cả IP tới Destination sẽ là Server_Zone với NAT IP của web server là 10.120.190.52 như hình bên dưới.
1714995112206.png
1714995118821.png
Tiếp theo tại phần Service/URL Category sẽ cấu hình port https/443 tương ứng với port public trên web server 10.120.190.52.
1714995126325.png

Cuối cùng tại phần Option sẽ chọn Action Decrypt và loại Decrypt là SSL Inbound Inspection với certificate đã được import ở trên (certificate này là chứng chỉ trên web server để mã hóa HTTPS)
1714995239909.png

Kiểm tra hoạt động từ bên ngoài truy cập vào web server 10.120.190.52, khi này trên Palo Alto phần MONITOR > Logs > Traffic sẽ thấy được traffic phát sinh và cột DECRYPTED "yes".
1714995354969.png

Tại phần MONITOR > Logs > Decryption sẽ thấy được thông tin các traffic và chứng chỉ được giải mã.

Lưu ý: khi cấu hình Decyption Policy nếu chọn "Logs Successful SSL Handshake" thì lúc này sẽ thấy được thêm các traffic bắt tay thành công nhưng đều này có thể làm gia tăng số lượng logs trên thiết bị Palo Alto.
1714995576275.png

Chọn vào Detail để xem thông tin chi tiết Policy sử dụng cũng như thông tin chi tiết Certificate của Web Server sử dụng.
1714995583073.png
 

Attachments

  • 1714995018807.png
    1714995018807.png
    259 KB · Views: 0
  • 1714995384085.png
    1714995384085.png
    115.3 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu