ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 SSL Certificate for IOS Devices https://live.paloaltonetworks.com/t5/Management-Articles/SSL-Certificate-for-IOS-Devices/ta-p/67061   症状 IOS デバイスはインストールされたSSL証明書を検証できる場合にのみ使用可能になります。クライアント証明書を用いてGlobal Protectに接続する場合、デバイスには検証済みのクライアント証明書が必要となり、検証が完了していない証明書の場合は接続できません。またSSL復号化を行っている場合、httpsサイトへのアクセス時にIOS デバイス上で証明書エラーが表示されます。 MAC, WindowsPC, Android デバイスでは同じ証明書が動作しますが、IOS デバイスでは正常に動作しない場合があります。   発行済みの自己署名証明書、内部/外部CAを証明書として使用することができます。CAに関係なく、完全な証明書チェーンがIOS デバイスで利用可能になるようにする必要があります。        診断 まず初めにIOS デバイスで検証されている証明書プロファイルを確認し、完全な証明書チェーンが存在するかをチェックします。証明書が検証され、完全な証明書チェーンが存在すれば緑色のチェックマークが表示されます。   1. 設定 > 一般 > プロファイルへ移動します。 2. インストール済みの証明書を選択すると未検証のエラーメッセージが表示されます。以下のイメージを参照してください。   3. インストールされた証明書が完全なチェーンを持っていることを確認してください。デバイスに中間証明書とルート証明書をemailで送信する簡単な方法もあります。これらの証明書は秘密鍵は不要で公開鍵でインストール可能です。中間証明書が無い場合は中間CA証明書は不要で、ルート証明書と実際のサーバ証明書が必要です。   4. 完全な証明書チェーンがインストールされれば、IOS デバイスはインストールされた証明書を検証することができ、Global Protectの接続を確立できます。   IOS 10.3以降のデバイスをお使いの場合、新しくインストールした証明書を信頼する為に追加の手順が必要となりますので以下のサイトをご参照ください。 https://support.apple.com/en-us/HT204477 https://support.apple.com/ja-jp/HT204477   SSL通信に対して証明書の信頼を有効にするには、設定 > 一般 > 情報 > 証明書信頼設定 の順に選択します。"ルート証明書を全面的に信頼する" で証明書に対する信頼を有効にします。   解決方法 上記により完全な証明書チェーンが信頼されていれば、GlobalProtectが正常に接続できるはずです。GlobalProtectのクライアント証明書をデバイスにインストールする場合は、emailで送信した証明書が秘密鍵を含むPKCS形式であることを確認してください。SSL復号化用のサーバ証明書をインストールする場合、秘密鍵は必要ありません。  
記事全体を表示
tsakurai ‎01-21-2018 11:43 PM
4,233件の閲覧回数
0 Replies
セキュリティプラットフォームによる多層防御のアプローチと、 次世代ファイアウォールの各機能について ご紹介致します。
記事全体を表示
ykato ‎09-16-2016 01:15 AM
14,177件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SSL decryption resource list https://live.paloaltonetworks.com/t5/Management-Articles/SSL-decryption-resource-list/ta-p/70397     概要 SSLの復号化により、Palo Alto Networksファイアウォールは、隠されているセキュアなHTTPトラフィックの内部を見ることができます。SSLの復号化は、会社の価値ある知的財産がネットワークを通過している可能性があることを示す、あらゆる兆候をモニタするために使用することができます。Palo Alto Networksファイアウォールは、インスペクション プロセスを経てSSLトラフィックの中身を開くことで、SSLの復号化を実行することができます。   下記の表は、SSL復号化を理解し、設定する際に役立つ資料の一覧です: タイトル 説明 種類 基礎レベル     How to implement and test SSL decryption SSLの復号化の実行方法と検証方法について記載 文書 Limitations and recommendations while implementing SSL decryption SSLの復号化の実行時における制限と推奨事項 文書 How to view SSL decryption information from the CLI CLIでのSSL復号化の情報の見方 文書 Controlling SSL decryption SSLの復号化の制御 文書 List of applications excluded from SSL decryption Palo Alto Networksデバイスでは復号化できないアプリケーションの一覧 文書 How to exclude a URL from SSL decryption SSLの除外リストにURLを追加するためのCLIコマンドの詳細 文書 SSL decryption certificates SSLトラフィックを復号化し、検査するためのSSL証明書の管理方法 文書 How to temporarily disable SSL decryption 復号化ポリシーを修正せずに、一時的にSSLの復号化を無効にする方法 文書 How to enable/reset the opt-out page for SSL decryption オプトアウト ページを有効にする方法 文書 How to serve a URL response page over an HTTPS session without SSL decryption SSLの復号化を行わず、HTTPSセッション上でURLの応答ページを表示するためのデバイスの設定方法 文書 Difference between SSL forward-proxy and inbound inspection decryption mode SSLフォワード プロキシとSSLインバウンド インスペクション モード 文書 How to create a report that includes only SSL decrypted traffic SSLの復号化されたトラフィックだけを含むレポートの作成 文書 How to view decrypted traffic 復号化されたトラフィックの見方 文書 中級レベル     How to configure a decrypt mirror port on PAN-OS 6.0 復号化されたトラフィックのコピーを作成し、ミラー ポートに送信する 文書 上級レベル / トラブル シューティング     How to identify root cause for SSL decryption failure issues サポートしていない暗号スイートによって失敗した復号化を特定する方法 文書 SSL vulnerability non-detection behavior is seen when inbound SSL decryption policy is set セキュリティ プロファイルでのSSLに関連する脆弱性の検出が失敗する 文書 Troubleshooting slowness with traffic, management, or intermittent SSL decryption 断続的なSSL復号化のトラブルシューティング 文書 SSL decryption not working due to unsupported cipher suites 設定後に、インバウンドSSL復号化に必要な証明書のインポートが動作しない 文書 Unable to post pictures on Facebook after enabling SSL decryption SSL復号化を有効にした後、ユーザーがHTTPsを使用したFacebookへの接続ができない 文書 After configuring SSL decryption Mozilla Firefox presents certificate error Mozilla Firefox上で、SSLの復号化が証明書エラーを表示する 文書 SSL decryption policy is decrypting traffic for no-decrypt rules SSL復号化ポリシーが、復号化しないルールのトラフィックを復号化する 文書 SSL decryption rules not matching FQDN SSLの復号化のルールがFQDNに合致しない 文書 Google services do not work in Chrome with SSL decryption SSL復号化をしていると、GoogleがChrome上で動作しない 文書 Commit error received after configuring SSL decryption for certificate generation SSLの復号化を設定 - 証明書エラーを生成した後にコミットが失敗する 文書 Inbound SSL decryption fails when SSL compression is enabled インバウンドSSL復号化が失敗する 文書 SSL decryption stops working on Firefox after changing SSL decryption certificate SSL復号化の証明書を変更後、SSLの復号化がFirefoxブラウザで動作しない 文書 SSL decryption opt-out timeout オプト アウト ページをより頻繁に表示する 文書 Wrong certificate used when SSL decryption is enabled SSL復号化時に、信頼されていない証明書が使用される 文書 How to use URL category-based security policies for SSL websites without SSL decryption SSLを復号化せずにSSLのWebサイト用のURLカテゴリ ベースのセキュリティ ポリシーの使用する方法 文書   訳注:以下の注は元記事に即して翻訳されていますが、コメントについては元記事の方にご投稿をお願いいたします。 注:この一覧表に記載のない記事や動画、論議をお持ちでしたら、以下のコメント欄に投稿してください。一覧表に追記いたします。     著者:syaguma
記事全体を表示
hshirai ‎08-28-2016 08:57 PM
14,392件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SSL decrypt exclude cache and unsupported ECDHE cipher suites https://live.paloaltonetworks.com/t5/Management-Articles/SSL-decrypt-exclude-cache-and-unsupported-ECDHE-cipher-suites/ta-p/68109     ウェブサイトまたは宛先が ECDHE SSL 暗号のみをサポートしている場合は、 SSL 復号化フォワードプロキシは動作しません。 これは、サポートされていない ECDHE 暗号スイートのためであり、フォワードプロキシ機能にサポートされていないことに起因します。     それでは、SSL 復号化フォワードプロキシ機能がサポートされていない SSL ECDHE 暗号スイートをどのように処理するかを見てみましょう。 クライアントは、ウェブサイトまたは宛先ホストに SSL hello を送信します。client hello には ECDHE 暗号スイートを含むサポートするすべてのSSL暗号スイートが含まれています。Palo Alto Networks のファイアウォールは、client hello パケットを傍受し、このリストからサポートされている暗号を選択し(ECDHEのものを削除)、SSL client hello を再作製しWebサイトへ中継します。 ウェブサイトまたは宛先ホストは、もし非ECDHE暗号をサポートしていない場合、SSL HANDSHAKE failure: error code 40- unsupported ciphers を返します。 この 'SSL HANDSHAKE failure: error code 40 - unsupported ciphers' を含むパケットは、ウェブサイトまたは宛先ホストが提案されているSSL暗号スイートをサポートしていないことを Palo Alto Networks ファイアウォールが知るためのトリガです。Palo Alto Networks のファイアウォールは、このウェブサイトのための復号化を断念し、SSL 復号化除外キャッシュへ追加します。 以降、Palo Alto Networks ファイアウォールではこの Web サイトまたは宛先ホスト宛の以降の接続をプロキシしません。 SSL 復号化除外キャッシュのライフタイムは12時間です。それは復号化ポリシーに変化がない限り継続します。 受信と送信の段階でファイアウォール上の別のパケットキャプチャを収集しそれらを比較すると、Palo Alto Networks のファイアウォールの背後にある実際のクライアントの client hello が提案しているSSL 暗号と、ファイアウォールによって転送されたパケットのそれが同じであることを見ることができます。つまり、 SSL 復号化フォワードプロキシがバイパスされています。 PAN-OS 7.0.1からとそれ以降 SSLv3 はサポートされている SSL プロトコルの最小バージョンです。ただし、これはFIPS モードではサポートされません。 SSL 復号化除外キャッシュは設定されたパラメータと協調して機能します。   サーバーのURL/IP、アプリケーションおよび復号化プロファイルが除外キャッシュに入れられるのは: 復号化モードが "Block sessions with unsupported version" または "Block sessions with unsupported cipher suites" のチェックがない場合です。 この失敗はクライアント側よりもサーバ側に起因するものです。 これは、server hello またはサーバからの alert のいずれかに含まれます。   例: PA-VM> show system setting ssl-decrypt exclude-cache VSYS    SERVER                     APP    TIMEOUT      REASON                             DECRYPTED_APP      PROFILE 1            91.185.164.129:443    ssl       43186            SSL_UNSUPPORTED        undecided                    Decrypt Stream   Palo Alto Networks ファイアウォールのコマンドラインからの上記の出力では: VSYS: 1は、デフォルトの仮想システム1 ( VSYS1 )のIDです SERVER: 91.185.164.129は、ウェブサイト/宛先ホストのIPアドレスです。 APP: sslは、 sslアプリケーションを反映しています TIMEOUT: 43186は、キャッシュされたエントリのタイムアウト値の秒数です。最大キャッシュタイムアウトは12時間以上43200秒です REASON-- SSL_UNSUPPORTED: サポートされていないSSL暗号スイートを示唆しており、エントリが除外キャッシュ内にあることを意味します DECRYPTED_APP: undecided はウェブサイトが復号されていなかったため、ファイアウォールは基本となるアプリケーションを知らない状態です PROFILE: Decrypt Stream は、SSL復号化ポリシーで参照されている復号化プロファイルの名前です。   キャッシュは以下のCLIコマンドを使用して削除することができます:: PA-VM> debug dataplane reset ssl-decrypt exclude-cache + application       application + server server   address and port 例: debug dataplane reset ssl-decrypt exclude-cache application ssl server  91.185.164.129:443   詳細については、 SSL 復号化機能の強化をするための PAN-OS の新機能ガイドを参照してください。 New Features Guide   サポートされていないSSL暗号スーツの詳細については、この記事を参照してください: Unsupported SSL cipher suites for Decryption
記事全体を表示
dyamada ‎07-13-2016 01:55 AM
4,358件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community