SSL フォワードプロキシとSSL インバウンドインスペクションモードの違いについて

kkondo · ‎07-12-2016

Difference Between SSL Forward-Proxy and Inbound Inspection Decryption Mode
https://live.paloaltonetworks.com/t5/Learning-Articles/Difference-Between-SSL-Forward-Proxy-and-Inbo...

概要

SS通信を復号化する対象にするために、SSL復号化ポリシーを設定する際、2つの違うモードを選択できます。

SSL フォワードプロキシ
SSL インバウンドインスペクション

この文章では2つのモードの違いについて説明します。

詳細

フォワードプロキシ

フォワードプロキシ・モードでは、PAN-OSはポリシーにヒットしたSSL通信をインターセプトし、Proxy（中間者）として動作し、アクセスするURLの新しい証明書を発行します。この新しい証明書は、クライアントがウェブサイトにSSLでハンドシェイクする際に使われます。この証明書は、自己証明局もしくは他の証明局によって認証されたものです。

注意: もし第三者機関によって発行された証明書を使いたい場合は、CA証明局と、パブリック、ブライベート（鍵ペア）をインポートする必要があります。

クライアントはHTTPSで、www.google.comに接続しにいきます。通信が復号化ポリシーにマッチします。
この通信はSSLプロキシ・エンジンに受渡しされ、www.google.comへの証明書はインターナルPKIによって生成されます（CA証明書によって署名される)。
PAN-OSはSSL通信を代理応答し、Webサーバに対してSSL通信をセットアップします。
WebサーバーはPAN-OS デバイスとハンドシェイクを始めます。
PAN-OSデバイスはServer Helloメッセージ内の生成された証明書とクライアント情報でSSLハンドシェイクを完了します。

インバウンドインスペクション

インバウンドインスペクション・モードではPAN-OSはポリシーにヒットしたSSL通信をProxyとして動作しません。PAN-OSはSSL通信を復号化して、密かにSSLハンドシェイクを盗聴して、以下の設定例にあるように、設定された関連した証明書（鍵ペア）を使用します。
Screen Shot 2013-10-16 at 16.41.52.png

注意: この復号化モードは、対象のWebサーバー証明書がコントロール配下で、パロアルトネットワークスデバイスに鍵ペアを取り込むことができることが前提です。それゆえ、この復号化モードは、内側Webサーバー向けの内向き通信に対してSSL復号化としてしばしば使われます。

クライアントはHTTPSで、www.google.comに接続しにいきます。通信が復号化ポリシーにマッチします。
SSLプロキシ・エンジンがSSLセッションに関連された鍵ペアを盗聴し始めます。
SSLリクエストは、ProxyされずにWebサーバーに送付されます。
PAN-OSは両証明書（サーバーが送付したものとステップ2の証明書）が同じかどうかハンドシェイク中のServer-Helloメッセージにて検査します。
一致した場合、復号化は残りのセッションに対して成功します。さもなければ、復号化は失敗します（該当のグローバルカウンターが計上されていきます。）

著者 : nbilly

SSL フォワード プロキシとSSL インバウンド インスペクションモードの違いについて