Cấu hình Policy-based SSL decryption trên Firewall Palo Alto
Nhiều Hacker thường hèn mã độc vào các URL https để by pass được Firewall. Vì các traffic trên giao thức https được mã hóa với SSL nên có thể by pass được các Firewall cơ bản.
Ở phần này chúng ta sẽ cấu hình Firewall Palo Alto để quét sâu vào các traffic được mã hóa SSL. Firewall Palo Alto sẽ đứng ra làm một SSL forward Proxy từ đó có thể scan vào các traffic mã hóa với SSL để kiểm tra xem các traffic này có bị nhiễm virus hay mã độc không trước khi traffic này được đưa đến cho người dùng một cách an toàn.
1. Mô hình bài Lab Configure Policy-based SSL decryption on Palo Alto
2. Triển khai lab - Configure Policy-based SSL decryption on Palo Alto
Trên máy tính 192.168.11.101 thuộc vùng Trust Zone các bạn sử dụng trình duyệt web và truy cập đến web đến địa chỉ 172.16.1.121 (Web Server chạy Ubuntu thuộc vùng Untrust Zone).
Sau đó các bạn click vào dòng “Configuration file (Secure download)”. Dòng này có link sẽ đưa máy tính vùng Trust Zone đến một đoạn mã độc để thực thi.
Các bạn có thể thấy mã độc của link mà bạn đã click ở trên đã được thực thi. Firewall không hề phát hiện link này có chưa mã độc vì Link chứa mã độc chạy trên giao thức https. Nên nó được mã hóa lại và Firewall không thể giải mã gói tin nên không thể biết là link này có chứa mã độc.
Để Firewall có thể ngăn chặn mã độc được mã hóa trong giao thức https thì Firewall phải có năng giải mã gói tin chứa mã độc đó. Trên Firewall Palo Alto chúng ta sẽ sử dụng tính năng Decryption để giải mã gói tin và chặn các link mã độc được mã hóa trong giao thức https.
Trên giao diện management của Firewall Palo Alto các bạn vào tab “Policies → Decryption”. Ở góc dưới bên trái các bạn chọn nút “add” để add một policy cho phép giải mã traffic https.
Trong tab “general” phần “name” các bạn đặt tên cho policy mà các bạn sẽ tạo.
Qua tab “Source” chọn nút “add” và add vùng Trust Zone vào.
Qua tab “Destination” chọn “add” và add vùng Untrust Zone vào đây.
Tiếp theo qua tab “options” chọn
- Action: Decrypt. Để Firewall tiến hành decrypt các gói tin được mã hóa.
- Type: SSL Forward Proxy. Firewall Palo Alto sẽ đứng giữa truy cập giữa Client vùng Trust Zone đi vùng Untrust Zone. Nó sẽ làm một SSL Proxy thực hiện thay cho client gửi các traffic SSL đi đến vùng Untrust Zone và sau đó Firewall Palo Alto sẽ giải mã những traffic SSL này từ vùng Untrust Zone để kiểm tra xem có mã độc không trước khi gửi về cho Client trong vùng Trust Zone.
Bây giờ các bạn thử dùng máy tính trong vùng Trust Zone truy cập lại web server 172.16.1.121 có chứa mã độc trong vùng Untrust Zone để kiểm tra như bước kiểm tra ở lúc đầu mà chúng ta đã thực hiện.
Các bạn cũng thực hiện click vào link chứa mã độc. Lúc này máy client sẽ không truy cập được vào URL https có chữa mã độc dù là đã được mã hóa vì Firewall Palo Alto đã chặn traffic này.
Trên giao diện của Firewall Palo Alto các bạn vào tab “Monitor → Threat” các bạn sẽ thấy Firewall Palo Alto đã ghi log lại traffic nguy hiểm vì có chứa file mã độc. Firewall đã thực hiện Drop traffic này vì nội dung có chứa virus.
Tổng hợp các bài lab cấu hình Firewall Palo Alto tại đây
- Hand on lab Palo Alto on UTD Environment
- [Lab 1] Configure policy Facebook on Firewall Palo Alto
- [Lab 2] Configure policy Facebook Function on Palo Alto
- [Lab 3] Configure Policy Applications on Standard Port
- [Lab 4] Configure Policy-based SSL decryption on Palo Alto
- [Lab 5] Configure Wildfire modern malware protection
Last edited:
![[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)