Konfigurieren von SSL-Proxy
Geräte der SRX-Serie unterstützen SSL Forward Proxy und SSL Reverse Proxy.
Konfigurieren von SSL Forward Proxy
- SSL-Proxy-Konfiguration – Übersicht
- Konfigurieren eines CA-Root-Zertifikats
- Generieren Eines CA-Root-Zertifikats mit CLI
- Konfigurieren einer CA-Profilgruppe
- Importieren eines CA-Root-Zertifikats in einen Browser
- Anwenden eines SSL-Proxyprofils auf eine Sicherheitsrichtlinie
- Konfigurieren der SSL-Proxyprotokollierung
- Konfigurieren von Zertifizierungsstellenprofilen
- Exportieren von Zertifikaten an einen angegebenen Speicherort
- Ignorieren der Serverauthentifizierung
SSL-Proxy-Konfiguration – Übersicht
Die Konfiguration des SSL-Weiterleitungs-Proxys zeigt eine Übersicht darüber an, wie der SSL-Proxy konfiguriert wird. Die Konfiguration von SSL-Proxy umfasst:
-
Konfigurieren des Ca-Stammzertifikats
-
Laden einer CA-Profilgruppe
-
Konfigurieren des SSL-Proxyprofils und zuordnen des Stamm-CA-Zertifikats und der CA-Profilgruppe
-
Erstellen Sie eine Sicherheitsrichtlinie, indem Sie Kriterien für die Übereinstimmung des Eingabedatenverkehrs definieren.
-
Anwenden eines SSL-Proxyprofils auf eine Sicherheitsrichtlinie
-
Optionale Schritte wie das Erstellen von Allowlists und SSL-Proxyprotokollierung
Konfigurieren eines CA-Root-Zertifikats
Eine Zertifizierungsstelle kann mehrere Zertifikate in Form einer Baumstruktur ausstellen. Ein Stammzertifikat ist das oberste Zertifikat der Struktur, dessen privater Schlüssel für sign andere Zertifikate verwendet wird. Alle Zertifikate, die direkt unter dem Stammzertifikat liegen, erben die Signatur oder Vertrauenswürdigkeit des Stammzertifikats. Das ist ein bisschen wie eine notarizing Identität.
Sie können ein CA-Root-Zertifikat konfigurieren, indem Sie zuerst ein CA-Root-Zertifikat erhalten (indem Sie entweder ein selbstsigniertes Zertifikat generieren oder importieren) und es dann auf ein SSL-Proxyprofil anwenden. Sie können ein CA-Root-Zertifikat über die Junos OS CLI erhalten.
Generieren Eines CA-Root-Zertifikats mit CLI
Um ein selbstsigniertes Zertifikat in CLI zu definieren, müssen Sie die folgenden Details angeben:
Zertifikatskennung (im vorherigen Schritt generiert)
Vollqualifizierter Domänenname (FQDN) für das Zertifikat
E-Mail-Adresse der Entität, die das Zertifikat besitzt
Gemeinsamer Name und die beteiligte Organisation
Generieren Sie mithilfe der Junos OS CLI ein CA-Stammzertifikat:
Konfigurieren einer CA-Profilgruppe
Das CA-Profil definiert die Zertifikatsinformationen für die Authentifizierung. Es enthält den öffentlichen Schlüssel, den SSL-Proxy beim Generieren eines neuen Zertifikats verwendet. Junos OS ermöglicht es Ihnen, eine Gruppe von CA-Profilen zu erstellen und mehrere Zertifikate in einer Aktion zu laden, Informationen zu allen Zertifikaten in einer Gruppe anzuzeigen und unerwünschte Ca-Gruppen zu löschen.
Sie können eine Gruppe von CA-Profilen laden, indem Sie eine Liste vertrauenswürdiger CA-Zertifikate abrufen, eine CA-Gruppe definieren und die CA-Gruppe dem SSL-Proxyprofil anfügen.
Sie können problemlos Informationen zu allen Zertifikaten in einer CA-Profilgruppe anzeigen:
user@host> show security pki ca-certificates ca-profile-group group-name
Sie können eine CA-Profilgruppe löschen. Denken Sie daran, dass beim Löschen einer CA-Profilgruppe alle Zertifikate gelöscht werden, die zu dieser Gruppe gehören:
user@host> clear security pki ca-certificates ca-profile-group group-name
Importieren eines CA-Root-Zertifikats in einen Browser
Damit Ihr Browser oder System automatisch allen Zertifikaten vertraut, die von der Root-Zertifizierungsstelle im SSL-Proxyprofil konfiguriert sind, müssen Sie Ihre Plattform oder Ihren Browser anweisen, dem CA-Root-Zertifikat zu vertrauen.
So importieren Sie ein Ca-Zertifikat:
Anwenden eines SSL-Proxyprofils auf eine Sicherheitsrichtlinie
DER SSL-Proxy wird innerhalb einer Sicherheitsrichtlinie als Anwendungsservice aktiviert. In einer Sicherheitsrichtlinie geben Sie den Datenverkehr an, für den der SSL-Proxy als Übereinstimmungskriterien aktiviert werden soll, und geben dann das SSL-Proxy-CA-Profil an, das auf den Datenverkehr angewendet werden soll. Abbildung 1 zeigt eine grafische Ansicht des SSL-Proxyprofils und der Konfiguration von Sicherheitsrichtlinien.
So aktivieren Sie den SSL-Proxy in einer Sicherheitsrichtlinie:
In diesem Beispiel wird davon ausgegangen, dass Sie bereits Sicherheitszonen vertrauenswürdig und nicht vertrauenswürdig erstellt haben und eine Sicherheitsrichtlinie für den Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone erstellen.
Konfigurieren der SSL-Proxyprotokollierung
Bei der Konfiguration des SSL-Proxys können Sie die Option festlegen, um einige oder alle Protokolle zu erhalten. SSL-Proxyprotokolle enthalten den logischen Systemnamen, SSL-Proxy-Zulässige Listen, Richtlinieninformationen, SSL-Proxyinformationen und andere Informationen, die Ihnen bei der Fehlerbehebung bei einem Fehler helfen.
Sie können die Protokollierung von all oder bestimmten Ereignissen konfigurieren, z. B. Fehler-, Warn- und Informationsereignisse. Sie können auch die Protokollierung von Sitzungen konfigurieren, die nach dem Auftreten eines Fehlers zugelassen, abgelegt, ignoriert oder zugelassen werden.
[edit] user@host# set services ssl proxy profile profile-name actions log all user@host# set services ssl proxy profile profile-name actions log sessions-whitelisted user@host# set services ssl proxy profile profile-name actions log sessions-allowed user@host# set services ssl proxy profile profile-name actions log errors
Sie können die Option verwenden enable-flow-tracing , um die Debug-Ablaufverfolgung zu aktivieren.
Konfigurieren von Zertifizierungsstellenprofilen
Eine Zertifizierungsstelle(CA)-Profilkonfiguration enthält informationen, die für eine Zertifizierungsstelle spezifisch sind. Sie können mehrere CA-Profile auf einem Gerät der SRX-Serie haben. Sie können beispielsweise ein Profil für orgA und eines für orgB haben. Jedes Profil ist mit einem CA-Zertifikat verknüpft. Wenn Sie ein neues CA-Zertifikat laden möchten, ohne das ältere zu entfernen, erstellen Sie ein neues CA-Profil (z. B. Microsoft-2008). Sie können mehrere CA-Profile in einer vertrauenswürdigen Ca-Gruppe für eine bestimmte Topologie gruppieren.
In diesem Beispiel erstellen Sie ein CA-Profil namens ca-profile-security mit CA-Identität microsoft-2008. Anschließend erstellen Sie ein Proxyprofil für das CA-Profil.
Exportieren von Zertifikaten an einen angegebenen Speicherort
Wenn ein selbstsigniertes Zertifikat mit einem PKI-Befehl generiert wird, wird das neu generierte Zertifikat an einem vordefinierten Speicherort (var/db/certs/common/local) gespeichert.
Verwenden Sie den folgenden Befehl, um das Zertifikat an einen bestimmten Speicherort (innerhalb des Geräts) zu exportieren. Sie können die Zertifikats-ID, den Dateinamen und den Typ des Dateiformats (DER/PEM) angeben:
user@host> request security pki local-certificate export certificate-id certificate-id filename filename type der
Ignorieren der Serverauthentifizierung
Mit Junos OS können Sie eine Option konfigurieren, um die Serverauthentifizierung vollständig zu ignorieren. Wenn Sie Ihr System so konfigurieren, dass die Authentifizierung ignoriert wird, werden alle Fehler ignoriert, die bei der Serverzertifikatsprüfung zum Zeitpunkt des SSL-Handshakes aufgetreten sind. Zu den in der Regel ignorierten Fehlern gehören die Unfähigkeit, die Ca-Signatur zu überprüfen, falsche Ablaufdaten des Zertifikats usw. Wenn diese Option nicht festgelegt ist, werden alle Sitzungen, in denen der Server selbstsignierte Zertifikate sendet, unterbrochen, wenn Fehler auftreten.
Wir empfehlen die Verwendung dieser Option für die Authentifizierung nicht, da die Konfiguration dazu führt, dass Websites überhaupt nicht authentifiziert werden. Sie können diese Option jedoch verwenden, um die Ursache für unterbrochene SSL-Sitzungen effektiv zu ermitteln.
Geben Sie im Konfigurationsmodus an, um die Serverauthentifizierung zu ignorieren:
[edit] user@host# set services ssl proxy profile profile-name actions ignore-server-auth-failure
SSL Reverse Proxy
- Übersicht
- Konfigurieren des SSL Reverse Proxy
- Überprüfen der SSL Reverse Proxy-Konfiguration auf dem Gerät
Übersicht
Die Implementierung des Proxymodells für den Serverschutz (oft reverse Proxy genannt) wird auf Geräten der SRX-Serie unterstützt, um verbessertes Handshaking und Unterstützung für mehr Protokollversionen bereitzustellen. Sie können Layer-7-Services (Anwendungssicherheit, IPS, UTM, SKY ATP) für den Datenverkehr aktivieren, der durch SSL Reverse Proxy entschlüsselt wird.
Ab Junos OS Version 15.1X49-D80 und 17.3R1 wird SSL Reverse Proxy auf Geräten der SRX5000-Serie, SRX4100, SRX4200 und SRX1500 unterstützt.
Ab Junos OS Version 15.1X49-D80 und 17.3R1 empfehlen wir die Verwendung des SSL Reverse Proxy und intrusion Detection and Prevention (IDP) anstelle der IDP-SSL-Überprüfungsfunktionen.
Ab Junos OS 15.1X49-D80 und 17.3R1 ist die IDP SSL Inspection veraltet – und nicht sofort entfernt –, um Abwärtskompatibilität zu gewährleisten und die Möglichkeit zu bieten, Ihre Konfiguration mit der neuen Konfiguration in Einklang zu bringen.
#id-overview__rp-compare1 stellt die Änderungen bereit, die nach den Versionen 15.1X48-D80 und 17.3R1 auf Geräten der SRX-Serie anwendbar sind.
Feature |
Vor 15.1X49-D80 |
15.1X49-D80 und 17.3R1 später |
|---|---|---|
Proxy-Modell |
Wird nur im Tap-Modus ausgeführt Anstatt am SSL-Handshake teilzunehmen, lauscht es auf den SSL-Handshake, berechnet Sitzungsschlüssel und entschlüsselt dann den SSL-Datenverkehr. |
Beendet Client-SSL auf dem Gerät der SRX-Serie und initiiert eine neue SSL-Verbindung mit einem Server. Entschlüsselt SSL-Datenverkehr vom Client/Server und verschlüsselt (nach der Prüfung) erneut, bevor es an den Server/Client gesendet wird. |
Protokollversion |
Unterstützt TLS-Version 1.1 und 1.2 nicht. |
Unterstützt alle aktuellen Protokollversionen. |
Wichtige Austauschmethoden |
|
|
Echo-System |
Eng gekoppelt mit DEM IDP-Motor und seinem Detektor. |
Verwendet vorhandenen SSL-Weiterleitungs-Proxy mit TCP-Proxy darunter. |
Sicherheitsservices |
Entschlüsselter SSL-Datenverkehr kann nur von IDP geprüft werden. |
Genau wie Der Weiterleitungs-Proxy ist auch der entschlüsselte SSL-Datenverkehr für alle Sicherheitsservices verfügbar. |
Unterstützte Ciphers |
Eine begrenzte Anzahl von Chiffren wird unterstützt. |
Alle häufig verwendeten Chiffren werden unterstützt. |
Sie müssen entweder root-ca oder server-certificate in einem SSL-Proxyprofil konfigurieren. Andernfalls schlägt die Commit-Prüfung fehl. Siehe #id-overview__profile-typ1.
Serverzertifikat konfiguriert |
root-ca konfiguriert |
Profiltyp |
|---|---|---|
Nein |
Nein |
Commit-Prüfung schlägt fehl. Sie müssen entweder |
Ja |
Ja |
Commit-Prüfung schlägt fehl. Die Konfiguration sowohl als auch |
Nein |
Ja |
Weiterleitungs-Proxy |
Ja |
Nein |
Reverse Proxy |
Die Konfiguration mehrerer Instanzen von Forward- und Reverse-Proxy-Profilen wird unterstützt. Für eine bestimmte Firewall-Richtlinie kann jedoch nur ein Profil (entweder ein Forward- oder Reverse-Proxy-Profil) konfiguriert werden. Die Konfiguration von Forward- und Reverse-Proxy auf demselben Gerät wird ebenfalls unterstützt.
Sie können die vorherige Reverse-Proxy-Implementierung nicht mit der neuen Reverse-Proxy-Implementierung für eine bestimmte Firewall-Richtlinie konfigurieren. Wenn beide konfiguriert sind, erhalten Sie eine Meldung über einen Fehler bei der Commit-Prüfung.
Die folgenden Mindestschritte zur Konfiguration des Reverse-Proxys sind:
Für ssl-Weiterleitungs- und Reverse-Proxy muss ein Profil auf Firewall-Regelebene konfiguriert werden. Darüber hinaus müssen Sie Serverzertifikate mit privaten Schlüsseln für den Reverse-Proxy konfigurieren. Während eines SSL-Handshake führt der SSL-Proxy eine Suche nach einem passenden privaten Serverschlüssel in seiner Hash-Tabellendatenbank für den privaten Server aus. Wenn die Suche erfolgreich ist, wird der Handshake fortgesetzt. Andernfalls beendet der SSL-Proxy den Hand-Shake. Reverse Proxy verbietet Serverzertifikate nicht. Es leitet das tatsächliche Serverzertifikat/die tatsächliche Kette so weiter, wie es ist, an den Client, ohne es zu ändern. Das Abfangen des Serverzertifikats erfolgt nur mit Weiterleitungs-Proxy.
Im Folgenden werden die Konfigurationen von Forward- und Reverse-Proxy-Profilen veranschaulicht.
# show services ssl
...
proxy {
  profile ssl-inspect-profile-dut { # For forward proxy. No server cert/key is needed.
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-1 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
profile ssl-2 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-server-protection { # For reverse proxy. No root-ca is needed.
    server-certificate ssl-server-protection;
    actions {
      log {
        all;
      }
    }
  }
}
...
Konfigurieren des SSL Reverse Proxy
Dieses Beispiel zeigt, wie Sie den Reverse-Proxy konfigurieren, um den Serverschutz zu aktivieren. Zum Schutz des Servers müssen außerdem Serverzertifikate mit privaten Schlüsseln konfiguriert werden.
Ein Reverse-Proxy schützt Server, indem er die Details der Server vor den Clients versteckt und eine zusätzliche Sicherheitsebene hinzufügt.
Um einen SSL-Reverse-Proxy zu konfigurieren, müssen Sie:
Laden Sie die Serverzertifikate und ihre Schlüssel in das Zertifikats-Repository des Geräts der SRX-Serie.
Hängen Sie die(n) Serverzertifikat-Kennung(en) an das SSL-Proxyprofil an.
Wenden Sie das SSL-Proxyprofil als Anwendungsservices in einer Sicherheitsrichtlinie an.
So konfigurieren Sie den SSL-Reverse-Proxy:
Überprüfen der SSL Reverse Proxy-Konfiguration auf dem Gerät
Zweck
Anzeigen der SSL-Reverse-Proxy-Statistik auf dem Gerät der SRX-Serie.
Aktion
Sie können die SSL-Proxystatistiken mit dem show services ssl proxy statistics Befehl anzeigen.
root@host> show services ssl proxy statistics PIC:spu-1 fpc[0] pic[1] ------ sessions matched 0 sessions whitelisted 0 sessions bypassed:non-ssl 0 sessions bypassed:mem overflow 0 sessions bypassed:low memory 0 sessions created 0 sessions ignored 0 sessions active 0 sessions dropped 0
Konfigurieren von SSL-Proxy mit UTM
Geräte der SRX-Serie unterstützen Client-Schutz (Forward Proxy) und Serverschutz (Reverse Proxy). Sie können das SSL-Proxyprofil für Weiterleitungs- und Reverse-Proxy mit Unified Threat Management (UTM) konfigurieren.
Konfigurieren von SSL Forward Proxy mit UTM
In diesem Verfahren konfigurieren Sie ein SSL-Weiterleitungs-Proxyprofil mit UTM. Wenn Sie UTM konfigurieren, fungiert der SSL-Proxy als SSL-Server, indem er die SSL-Sitzung vom Client beendet und eine neue SSL-Sitzung für den Server aufbaut. Das Gerät der SRX-Serie entschlüsselt und verschlüsselt dann den gesamten SSL-Proxy-Datenverkehr. UTM kann die entschlüsselten Inhalte vom SSL-Proxy verwenden.
Generieren Sie ein lokales Zertifikat als root-ca.
Konfigurieren von SSL Reverse Proxy mit UTM
In diesem Verfahren konfigurieren Sie ein SSL-Reverse-Proxy-Profil mit UTM.
Erstellen einer Allowlist von befreiten Zielen für SSL-Proxy
Die SSL-Verschlüsselung und -Entschlüsselung kann Speicherressourcen auf den Geräten der SRX-Serie verbrauchen. Um dies einzuschränken, können Sie die SSL-Proxy-Verarbeitung für einige Sitzungen selektiv umgehen, z. B. Sitzungen, die mit vertrauten vertrauenswürdigen Servern oder Domänen transaktionen. Sie können die Sitzungen auch mit Finanz- und Bankseiten aufgrund gesetzlicher Vorschriften freistellen.
Um die Sitzungen vom SSL-Proxy auszunehmen, können Sie eine Allowlist erstellen, indem Sie IP-Adressen oder Domänennamen der Server hinzufügen. Zulässige Listen enthalten Adressen, die von der SSL-Proxyverarbeitung ausgenommen werden sollen.
Führen Sie die folgenden Schritte aus, um eine Allowlist zu erstellen:
Geben Sie IP-Adressen und Domänennamen in Ihrem globalen Adressbuch an.
Lesen Sie das globale Adressbuch im SSL-Proxyprofil.
Sie können die folgenden Typen der IP-Adressen im globalen Adressbuch konfigurieren.
IPv4-Adressen (Klartext). Zum Beispiel:
set security address-book global address address-4 192.0.2.117
IPv4-Adressbereich. Zum Beispiel:
set security address-book global address address-2 range-address 192.0.2.117 to 192.0.2.199
IPv4-Wildcard. Zum Beispiel:
set security address-book global address address-3 wildcard-address 203.0.113.0/24
DNS-Name. Zum Beispiel:
set security address-book global address address-1 dns-name www.abc.com
IPv6-Adresse. Zum Beispiel:
set security address-book global address address-5 FE80::/10
Zugelassene Listen unterstützen die folgenden ARTEN von IP-Adressen nicht:
Übersetzte IP-Adressen. Sitzungen werden basierend auf der tatsächlichen IP-Adresse und nicht auf der übersetzten IP-Adresse zugelassen. Aus diesem Grund sollte in der Allowlist-Konfiguration des SSL-Proxyprofils die tatsächliche IP-Adresse und nicht die übersetzte IP-Adresse angegeben werden.
Nicht-aufregende Netzmasken. Zum Beispiel:
IP-Adresse -203.0.113.0 und mask 255.255.255.0, 203.0.113.0/24 wird unterstützt.
IP-Adresse – 203.0.113.9 und mask 255.0.255.0 wird nicht unterstützt.
Das folgende Beispiel zeigt, wie Sie Zulässige Listen im SSL-Proxyprofil verwenden.
In diesem Beispiel befreien Sie alle Sitzungen von www.mycompany.com. Dazu geben Sie zunächst die Domäne im Adressbuch an und konfigurieren dann die Adresse im SSL-Proxyprofil.
Erstellen einer Allowlist für befreite URL-Kategorien für SSL-Proxy
Sie können die im UTM-Modul unterstützten URL-Kategorien so konfigurieren, dass sie auf Geräten der SRX-Serie von der SSL-Prüfung ausgenommen sind. Zur Verwendung von URL-Kategorien aus UTM integriert das Gerät der SRX-Serie das SSL-Proxyprofil in die EWF-Funktion. Damit können Sie jetzt eine Liste von URL-Kategorien unter einem SSL-Proxyprofil als Allowlist zusammen mit Adressbüchern konfigurieren. Sie können die Liste aus den vordefinierten URL-Kategorien oder benutzerdefinierten URL-Kategorien konfigurieren, die von UTM unterstützt werden.
Das Sicherheitsgerät verwendet das vom UTM-Modul extrahierte Feld "Server Name Indication" (SNI), um die URL-Kategorie zu bestimmen. Der SSL-Proxy verwendet diese Informationen, um zu bestimmen, ob die Sitzung akzeptiert und proxyt oder ignoriert wird.
Diese Funktion wird auf SRX340-, SRX345-, SRX5400-, SRX5600-, SRX5800- und vSRX-Instanzen unterstützt.
Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 umfasst die SSL-Proxy-Allowlisting-Funktion URL-Kategorien, die von UTM unterstützt werden.
Ab Junos OS Version 17.4R1 erweitert die SSL-Proxy-Allowlisting-Funktion die Unterstützung auf benutzerdefinierte URL-Kategorien, die von UTM unterstützt werden.
Die folgenden Beispiele zeigen, wie Sie die URL-Kategorien im SSL-Proxyprofil konfigurieren:
- Erstellen einer Zulassensliste von befreiten URL-Kategorien
- Erstellen einer Zulassensliste von befreiten benutzerdefinierten URL-Kategorien
Erstellen einer Zulassensliste von befreiten URL-Kategorien
Gehen Sie wie folgt vor, um die vordefinierten URL-Kategorien in einem SSL-Proxyprofil zu konfigurieren.
Erstellen einer Zulassensliste von befreiten benutzerdefinierten URL-Kategorien
Verwenden Sie die folgenden Schritte, um benutzerdefinierte URL-Kategorien in einem SSL-Proxyprofil zu konfigurieren.