1.Giới thiệu
Bài viết này sẽ hướng dẫn người dùng tường lửa Palo Alto về các cấu hình Decryption.
Bài viết này sẽ hướng dẫn các cấu hình sau :
- Quan sát hành vi tường lửa mà không cần Decryption.
- Tạo Forward Trust và Untrsut certificate.
- Tạo một thể loại giải mã tùy chỉnh (custom decryption category).
- Tạo Decryption policy.
- Quan sát hành vi tường lửa sau khi giải mã được kích hoạt.
- Xem lại nhật ký.
2, Hướng dẫn cấu hình
Chúng ta có sơ đồ mạng như sau
2.1 Kiểm tra hành vi của tường lửa khi không có Decryption
Đối với phần này, bạn sẽ sử dụng trình duyệt Internet Explorer. Chrome có hệ thống phát hiện virus riêng và Firefox có kho lưu trữ chứng chỉ riêng.
Vào Policies > Security và disable egress-outside-url policy.
Enable egress-outside-content-id.
Nhấp vào application-default trong cột Service trong Security Policy Rule egress-outside-content-id.
Trong cửa sổ Service, thay đổi application-default thành Any.
Bấm Commit để cam kết các thay đổi.
Trên màn hình nền Windows, mở trình duyệt ở chế độ riêng tư / ẩn danh và duyệt đến http://www.eicar.org.
Nhấp vào hình ảnh DOWNLOAD ANTIMALWARE TESTFILE ở góc trên bên phải.
Nhấp vào liên kết Downloadg ở bên trái của trang web
Trong khu vực Tải xuống ở cuối trang, nhấp vào tệp eicar.com hoặc eicar.com.txt để tải xuống tệp bằng giao thức HTTP tiêu chuẩn chứ không phải giao thức HTTPS được mã hóa SSL. Tường lửa sẽ không thể phát hiện virus trong kết nối HTTPS cho đến khi Decryption được cấu hình.
Bạn sẽ nhận được một trang block.
Quay trở lại trình duyệt và tải xuống một trong các tệp thử nghiệm bằng HTTPS.
Lưu ý rằng tải xuống không bị chặn vì kết nối được mã hóa và virus bị ẩn.
2.2 Tạo 2 Self-Signed Certificates
Bạn cần tạo chứng chỉ để tường lửa có thể giải mã lưu lượng.
Vào Device > Certificate Management > Certificates.
Bấm Generate ở dưới cùng của trang để tạo chứng chỉ CA mới với thông số sau :
- Certificate Name : trusted-ca
- Common Name : 192.168.1.1
- Certificate Authority : tích chọn Certificate Authority
Click Generate để tạo.
Bấm Generate ở dưới cùng của trang để tạo chứng chỉ CA khác với thông số sau :
- Certificate Name : untrusted-ca
- Common Name : untrusted
- Certificate Authority : tích chọn Certificate Authority
Bấm Generate để tạo.
Nhấp vào Trusted-ca trong danh sách chứng chỉ để chỉnh sửa thông tin chứng chỉ.
Chọn hộp kiểm Forward Trust Certificate và bấm OK.
Nhấp vào untrusted-ca trong danh sách chứng chỉ để chỉnh sửa thông tin chứng chỉ.
Chọn hộp kiểm Forward Untrust Certificate và bấm OK.
2.3 Tạo 1 Custom Decryption URL Category
Tạo custom URL Category để đảm bảo rằng chúng tôi chỉ giải mã được lưu lượng truy cập dự định.
Nhấn vào Add để mở cửa sổ cấu hình Custom URL Category và cấu hình với các thông số sau :
- Name : lab-decryption
- Sites : *.eicar.org, eicar.org, *.paloaltonetworks.com, paloaltonetworks.co, *.badssl.com, badssl.com
Bấm OK để lưu.
2.4 Tạo Decryption Policy
Vào Policies > Decryption > Click Add để tạo Decryption policy rule với các thông số sau :
- Name : decrypt-url-cat
Ở Source tab chọn inside ở Source Zone.
Ở tab Destination chọn outside ở Destination Zone.
Ở Service/URL Category tab cấu hình như sau :
- URL Category : tích chọn lab-dcryption.
Ở Option tab cấu hình như sau :
- Action : chọn Decrypt
- Type : SSL Forward Proxy.
Bấm OK để lưu.
Bấm Commit để cam kết các thay đổi.
2.5 Test AV Security Profile với Decryption Policy
Trên màn hình nền Windows, mở cửa sổ trình duyệt Internet Explorer ở chế độ riêng tư / ẩn danh và duyệt đến http://www.eicar.org.
Nhấp vào hình ảnh DOWNLOAD ANTIMALWARE TESTFILE ở góc trên bên phải.
Nhấp vào liên kết Download ở bên trái của trang web.
Trong khu vực Download ở cuối trang, nhấp vào tệp eicar.com hoặc eicar.com.txt để tải xuống tệp bằng HTTPS.
Một vấn đề chứng chỉ được trình bày.
Lưu ý: Điểm cuối (máy tính để bàn Windows) không tin tưởng chứng chỉ được tạo bởi tường lửa.
2.6 Export The Firewall Certificate
Vào Device > Certificate Management > Certificates.
Chọn nhưng không mở trusted-ca.
Nhấn vào Export Certificate để mở cửa sổ cấu hình Export Certificate.
Bấm OK để export chứng chỉ trusted-ca.
Bạn có thể thấy một cảnh báo cho biết loại tệp này có thể gây hại cho máy tính của bạn. Bấm Keep.
2.7 Import the Firewall Certificate
Trên máy tính cá nhân mở Run và nhập mmc.
File -> Chọn Add/Remove Snap-in…
Double-click ở Certificates.
Chọn Computer account -> Nhấn Next.
Nhấn Finish.
Mở rộng list -> Chuột phải vào Trusted Root Authorities -> Chọn All Tasks -> Nhấn Import.
The Certificate Import Wizard mở ra. Bấm Next.
Duyệt tìm chứng chỉ trusted-ca đã export, có thể được trình bày dưới dạng.
Bấm Next và đảm bao cấu hình như hình sau.
Bấm Next, bấm Finish, rồi bấm OK trong cửa sổ trạng thái.
Lưu ý rằng chứng chỉ trusted-ca hiện đã được import.
2.8 Test Decryption Policy
Trên màn hình nền Windows, mở cửa sổ trình duyệt Internet Explorer ở chế độ riêng tư / ẩn danh và duyệt đến http://www.eicar.org.
Nhấp vào hình ảnh DOWNLOAD ANTIMALWARE TESTFILE ở góc trên bên phải.
Nhấp vào liên kết Download ở bên trái của trang web.
Trong khu vực Download ở cuối trang, nhấp vào tệp eicar.com hoặc eicar.com.txt để tải xuống tệp bằng HTTPS.
Tệp kiểm tra Eicar được phát hiện và kết nối được reset.