【Paloalto】SSL復号化(SSL Forward Proxy)の設定と動作確認 PANOS9.0.9-h1.xfr

Paloalto

現在のWeb通信の大半がhttps:// で始まるURLであり、SSLで暗号化されています。通信自体のセキュリティは確保されますが、FW等でアプリケーション制御やUTM(アンチウイルスなど)を実行する場合、データが暗号化されていることより、制御ができません。

そのため、制御装置を経由するときに、一旦、通信データを復号化し、データを確認後、再暗号化する機能が実装されています。PaloaltoではSSL Forward Proxyと呼ばれます。

この記事で検証する構成は以下の記事を参考にしてください。

>> 参考記事 : 基本設定(ログイン、ホスト名、インタフェース、ルーティング、ポリシー)手順と動作確認 PANOS9.0.9-h1.xfr
スポンサーリンク

設定前の準備

まず、SSL復号化ができているかどうかを確認するため、トラフィックログのフォーマットを変更します。

Monitor > ログ > トラフィックへ移動し、左上にカーソルを当てると、下矢印が表示されるので、クリックします。すると、カラムという文字が表示されますので、復号化にチェックを入れます。

以下のように、復号化のカラムが追加されます。先頭に配置されますので、ドラッグにより好きなところに配置してください。今回は復号化のテストに使用するので、受信日時の左横に配置します。

端末からGoogleFacebookYoutubeへアクセスしてみます。復号化されていない(no)であることが確認できます。

スポンサーリンク

自己署名ルートCA証明書(Self-Signed Root CA Certificate)の作成

今回は、エンタープライズCAによって署名された証明書ではなく、Paloaltoが自己署名した証明書を発行し、端末との通信の復号化に使用するものとします。

Device > 証明書 へ移動し、生成をクリックします。

以下の画面が表示されます。

  • 証明書名:任意の名前。今回は、SSL_Decryptionとします。
  • 共通名:証明書に表示させるコモンネーム(IPアドレス、もしくはFQDN)の設定。今回は、hirotanoblog.comとします。
  • 認証局:チェックを入れます。

その後、生成をクリックすると、以下の画面が出力されます。

OKをクリックすると、以下の通り、証明書が設定されています。 証明書のリンクをクリックします。

以下の画面が表示されます。フォワードプロキシ用の信頼された証明書フォワードプロキシ用の信頼されない証明書にチェックを入れ、OKをクリックします。

用途の表記が更新されていることを確認します。

スポンサーリンク

復号ポリシーの設定

復号対象の通信を定義する復号ポリシーを設定します。今回は、LANからInternetへのすべてのHTTPS通信を復号対象とします。

Polices > 復号 へ移動し、追加をクリックします。

各5つのタブ(全般送信元宛先サービス/URLカテゴリオプション)を設定します。

  • 名前:任意の名前。ここでは、SSL_Decryption_Policyとします。
  • 送信元ゾーン:ゾーンとしてLANを選択します。
  • 送信元アドレス:送信元アドレスは制限しないため、いずれか にチェックを入れます。
  • 宛先ゾーン:ゾーンとしてInternetを選択します。
  • 宛先アドレス:宛先アドレスは制限しないため、いずれか にチェックを入れます。
  • サービスanyを選択します。
  • URLカテゴリいずれかにチェックを入れます。
  • アクション復号にチェック
  • タイプSSLフォワードプロキシを選択
  • 復号プロファイル:新規に作成のため、上記の復号プロファイルをクリックします
  • 名前:任意の名前。ここでは、SSL_Decryption_Profileと入力
  • SSL復号化(タブ):今回は何もチェックを入れない

OKをクリックすると、新規に作成した復号プロファイルが適用されます。

OKをクリックすると、以下のように、復号ポリシーが作成されます。

セキュリティポリシー設定

Polices > セキュリティより セキュリティポリシーを設定します。 今回は、以下記事の基本構成の通り、LANからInternetゾーンへの通信をすべて許可します。ポリシー設定後、コミット処理をします。

操作は以下の記事を参考にしてください。

>> 参考記事 : 基本設定(ログイン、ホスト名、インタフェース、ルーティング、ポリシー)手順と動作確認 PANOS9.0.9-h1.xfr

端末からの動作確認

証明書のエラー確認

端末のブラウザ(IE)からGoogleへアクセスしてみると、以下の通り、証明書のエラーが出力されます。

Webページに移動をクリックすると、ページが参照できます。 証明書エラーの内容を確認すると、以下の通り、信頼された証明機関から発行されていないことが確認できます。 発行者は hirotanoblog.comです。

証明書のエクスポート

ここで、Paloaltoにて発行したルート証明書をエクスポートします。

Device > 証明書 へ移動し、該当の証明書を選択後、証明書のエクスポートをクリックします。

下記画面が表示されます。

  • ファイルフォーマットBase64 エンコード済み証明書(PEM)を選択

OKをクリックすると、cert_SSL_Decryption.crtというファイルがダウンロードされます。

端末への証明書インストール

ファイル名を指定して実行 で certmgr.msc と入力し、OKをクリックします。

以下の通り、証明書マネージャが起動します。信頼されたルート証明書 > 証明書 へ移動します。

証明書を右クリックして、すべてのタスク > インポートをクリックします。

以下の画面が表示されるので、次へ をクリックします。

エクスポートしたcrtファイルを選択し、次へをクリックします。

信頼されたルート証明機関 が選択されていることを確認し、次へをクリックします。

確認画面が出力されるので、完了をクリックします。

セキュリティ警告が出力されるので、はいをクリックします。

下記の出力を確認し、OKをクリックします。

証明書マネージャに、以下の通り、発行先 hirotanoblog.com が追加されます。

端末からインターネットへのアクセス

端末から、Googleへアクセスします。今回は、証明書エラーが出力されません。証明書の表示をクリックすると、以下の通り、hirotanoblog.comより発行されていて、証明書のチェーンも問題ないことが確認できます。

端末からGoogleFacebookYoutubeへアクセスし、Monitorログトラフィックでトラフィックログを確認します。 復号化がyesになっていることが確認できます。

SSL復号化時のオプトアウト画面の表示

SSL復号化の際に、送信者にSSL暗号化が復号される旨のメッセージを出し、送信者が許容できない場合、オプトアウト(拒否)することができます。

デフォルトでは、オプトアウトページは表示されません。

表示させる場合は、Device >> 応答ページ で、SSL復号オプトアウトページのアクションを有効にします。

以下画面の無効をクリックしてください。

SSL復号オプトアウトページの有効化にチェックを入れ、OKをクリックします。

下記の通り、有効に変更されていることを確認し、コミットを実行します。

端末からGoogleへアクセスすると、以下のようなオプトアウトページが表示されます。

Yesをクリックすると、SSL復号化経由で、Googleへアクセスできます。

参考

Create a Self-Signed Root CA Certificate
Configure SSL Forward Proxy
SSL Forward Proxy decryption enables the firewall to see potential threats in outbound encrypted traffic and apply security protections against those threats.
How to Enable/Reset the Opt-Out Page for SSL Decryption
Overview This document describes how to enable the opt-out response page to notify users when traffic is inspected or decrypted. The opt-out page can be ena

コメント

タイトルとURLをコピーしました