【Paloalto】SSL復号化除外の設定と動作確認 PANOS9.0.9-h1.xfr

Paloalto

以下の記事の続きになります。

>> 参考記事 : SSL復号化(SSL Forward Proxy)の設定と動作確認 PANOS9.0.9-h1.xfr

SSL復号化(SSL Forward Proxy)は、SSLの暗号化を解いて、データの中身を検査できるため、脅威防御を目的としたセキュリティ制御にかなりの威力を発揮します。 ただし、問題もあります。

1つ目は、パフォーマンスの問題です。SSL復号化(SSL Forward Proxy)は負荷の高い処理であるため、すべての通信に対して、復号化を実行すると、パフォーマンスに影響がでる可能性があります。

2つ目は、機密情報の保護です。例えば、クレジットカードの番号などはSSLによる暗号化により、通信経路上の漏洩を防いでいるにも関わらず、経路上で一度復号されていることを利用者は気付くことができません。場合によっては、事前の告知も検討が必要です。また、個人の趣味や趣向や健康に関するプライバシー情報も復号化されてしまいます。

そこで、一部のサイトに関しては、SSL復号化の対象外とすることができます。

スポンサーリンク

SSL復号化例外設定

Paloaltoでは、予め、SSL復号化の対象外であるサイトを登録しています。

Device >> 証明書の管理 >> SSL復号化例外 へ移動すると、SSL復号化対象外のサイトが登録されています。

例えば、端末からGoogleへアクセスすると、SSL復号化されていることが確認できます。

では、SSL復号化対象外として登録されている icloud.comへアクセスすると、SSL復号化されていないことが確認できます。

Monitor >> ログ >> トラフィック よりトラフィックログからもicloudへのアクセスは復号化されておらず、GoogleはSSL復号化されていることが確認できます。

では、Googleへのアクセスを、SSL復号化対象外にするよう設定してみます。

Device >> 証明書の管理 >> SSL復号化例外 へ移動し、追加をクリックします。

以下の画面より設定します。

  • ホスト名:サイトを指定。*.google.com を設定
  • 内容:任意のコメント。今回は、Googleと入力
  • 除外チェックを入れる

設定後、OKをクリックすると、SSL復号の除外サイトとして登録されます。

コミットを実行後、端末からGoogleへアクセスすると、SSLが復号されていないことが確認できます。

Monitor >> ログ >> トラフィック よりトラフィックログからもGoogleへのアクセスは復号化されていないことが確認できます。

スポンサーリンク

URLカテゴリによる例外設定

復号ポリシーにより、URLカテゴリ単位で、SSL復号化を除外することができます。

今回はYahoo! Japan へのアクセスについて、SSL復号化から除外してみます。

まず、設定前に、Yahoo! Japanへアクセスし、SSL復号化されていることを確認します。

Yahoo! JapanがURLカテゴリのどの分類に所属するのかは、以下のサイトより検索することができます。Yahoo! Japanは、Internet Portals にカテゴリされていることが確認できます。

Palo Alto Networks URL filtering - Test A Site

では、復号化ポリシーにより除外設定をします。

復号化ポリシー設定

Policies >> 復号 へ移動し、追加をクリックします。

各5つのタブ(全般、送信元、宛先、サービス/URLカテゴリ、オプション)を設定します。

  • 名前:任意の名前。ここでは、NO_SSL_Decryption_Policyとします。
  • 送信元ゾーン:ゾーンとしてLANを選択します。
  • 送信元アドレス:送信元アドレスは制限しないため、いずれか にチェックを入れます。
  • 宛先ゾーン:ゾーンとしてInternetを選択します。
  • 宛先アドレス:宛先アドレスは制限しないため、いずれか にチェックを入れます。
  • サービスanyを選択します。
  • URLカテゴリ追加をクリックし、internet-portalsを選択

上記のように登録されます。

  • アクション復号なしにチェック
  • タイプSSLフォワードプロキシを選択
  • 復号プロファイル:None

OKをクリックすると、以下のように復号ポリシーが追加されます。

SSL復号除外ポリシーは、SSL復号処理の前に実施しないといけないため、ポリシーを一番上に移動します。ポリシーを選択して、ドラッグすることで移動できます。

設定完了後、コミットを実行します。

動作確認

端末からYahoo!Japanへアクセスすると、SSL復号化されていないことが確認できます。

他、gooInternet Portals にカテゴリされているので、アクセスしてみるとSSL復号化されていないことが確認できます。

機密情報の観点から、financial-services, health-and-medicineのカテゴリは、SSL復号化の対象外にすることが多いです。

SSL復号化の除外を設定し、こまめに運用することで、機器負荷を抑えながら、UTMと組み合わせて、セキュリティを向上させることができます。

スポンサーリンク

参考

Palo Alto Networks Predefined Decryption Exclusions
The firewall automatically bypasses decryption for sites that are known to break decryption for technical reasons such as a pinned certificate (the traffic is s...
Create a Policy-Based Decryption Exclusion
Exclude traffic that you choose not to decrypt for legal, privacy, or business reasons from decryption to comply with those policies while still applying SSL pr...
Deploy SSL Decryption Using Best Practices
Following SSL Decryption deployment best practices help to ensure a smooth, prioritized rollout and that you decrypt the traffic you need to decrypt to safeguar...

コメント

タイトルとURLをコピーしました