SSL フォワード プロキシとSSL インバウンド インスペクションモードの違いについて

Printer Friendly Page

Difference Between SSL Forward-Proxy and Inbound Inspection Decryption Mode
https://live.paloaltonetworks.com/t5/Learning-Articles/Difference-Between-SSL-Forward-Proxy-and-Inbo...

 

概要

SS通信を復号化する対象にするために、SSL復号化ポリシーを設定する際、2つの違うモードを選択できます。

  • SSL フォワード プロキシ
  • SSL インバウンド インスペクション

この文章では2つのモードの違いについて説明します。

 

詳細

decryption_forwardvsinbound.jpg

 

フォワード プロキシ

フォワード プロキシ・モードでは、PAN-OSはポリシーにヒットしたSSL通信をインターセプトし、Proxy(中間者)として動作し、アクセスするURLの新しい証明書を発行します。この新しい証明書は、クライアントがウェブサイトにSSLでハンドシェイクする際に使われます。この証明書は、自己証明局もしくは他の証明局によって認証されたものです。

Screen Shot 2013-10-16 at 15.03.36.png

注意: もし第三者機関によって発行された証明書を使いたい場合は、CA証明局と、パブリック、ブライベート(鍵ペア)をインポートする必要があります。

 

  1. クライアントはHTTPSで、www.google.comに接続しにいきます。通信が復号化ポリシーにマッチします。
  2. この通信はSSLプロキシ・エンジンに受渡しされ、www.google.comへの証明書はインターナルPKIによって生成されます (CA証明書によって署名される)。
  3. PAN-OSはSSL通信を代理応答し、Webサーバに対してSSL通信をセットアップします。
  4. WebサーバーはPAN-OS デバイスとハンドシェイクを始めます。
  5. PAN-OSデバイスはServer Helloメッセージ内の生成された証明書とクライアント情報でSSLハンドシェイクを完了します。

 

インバウンド インスペクション

インバウンド インスペクション・モードではPAN-OSはポリシーにヒットしたSSL通信をProxyとして動作しません。PAN-OSはSSL通信を復号化して、密かにSSLハンドシェイクを盗聴して、以下の設定例にあるように、設定された関連した証明書(鍵ペア)を使用します。
Screen Shot 2013-10-16 at 16.41.52.png

注意: この復号化モードは、対象のWebサーバー証明書がコントロール配下で、パロアルトネットワークス デバイスに鍵ペアを取り込むことができることが前提です。それゆえ、この復号化モードは、内側Webサーバー向けの内向き通信に対してSSL復号化としてしばしば使われます。

 

  1. クライアントはHTTPSで、www.google.comに接続しにいきます。通信が復号化ポリシーにマッチします。
  2. SSLプロキシ・エンジンがSSLセッションに関連された鍵ペアを盗聴し始めます。
  3. SSLリクエストは、ProxyされずにWebサーバーに送付されます。
  4. PAN-OSは両証明書(サーバーが送付したものとステップ2の証明書)が同じかどうかハンドシェイク中のServer-Helloメッセージにて検査します。
  5. 一致した場合、復号化は残りのセッションに対して成功します。さもなければ、復号化は失敗します(該当のグローバル カウンターが計上されていきます。)

 

著者 : nbilly