Palo Alto SSL Decryption Caveats.

Die Best Practice beim Einrichten klang zu schön um wahr zu sein. So einfach ist es dann auch tatsächlich nicht. Alleine die Tatsache, dass in den Screenshots drei Decryption Policies definiert sind, obwohl best Practice eigentlich zwei genügen, sollte stutzig machen.

Die Ausnahmen sind vielfältig und IMHO durchaus gängig. Da man nicht alle Internet Infrastruktur URLs frei geben will gehen schon die Microsoft Update Dienste auf die Bretter. Aber die einschlägigen Erfahrungen der Reihe nach: …

Continue reading

Palo Alto SSL Decryption

Nachdem die Kommentare zum Thema SSL Decryption eher allgemeiner Natur waren, jetzt einmal die konkrete Umsetzung. Zunächst gilt es dem System ein geeignetes Zertifikat aus zu stellen. Da es sich üblicherweise um kommerzielle Umgebungen mit einer Zertifizierungsstelle handelt, benötigt man zunächst einen “Certificate Signing Request” – CSR. Den kann man in den “Certificates” unter Device stellen. Die Details findet ihr hier.

Der Request – Dialog sieht dann in etwa wie folgt aus:

CSR

Gleich was hier eingetragen wird, auf jeden Fall NICHT Certificate Authority anwählen. Der CSR liegt dann in dem Zertifikat Store vor und kann durch Export abgespeichert werden. Den CSR nimmt man

 

Continue reading

How To get a Palo Alto Firewall started

Die Inbetriebnahme einer Palo Alto Firewall ist ein bisschen “old school” und da es ein paar Prinzip- bedingte Eigenarten gibt, wollte ich das Wichtigste einfach mal am Stück runter schreiben. Schwer ist das ganze ja nicht – wenn man mal weiß wie es geht.

k-PA-Dashboard

Zuallererst muss man das gute Stück am Management- Port auf einen untagged Switchport verbinden. Mit Strom versorgt springt irgendwann die Status LED von orange auf grün und man kann sich mit den Default Koordinaten über das System her machen.

Continue reading

Musings on ProCurve Management Security

Im selben Atemzug noch die Bereinigung der Management Security. In diesen Überwachungsschweren- Zeiten ist das Thema Security ja ein bisschen mehr im Focus. Auch aktive Komponenten sind da nicht unbeteiligt und bevor man zur Hackerfahrschule verkommt wenigstens die grundlegende Absicherung der Netzwerk- Infrastruktur.

Im Falle HP networking ehemals ProCurve heisst das zunächst mal Keys und Zertifikat bauen:


crypto key generate ssh rsa
crypto key generate cert rsa 1024

crypto host-cert generate self-signed 05/01/2014 05/01/2018 192.168.11.12 ITINFRA MEINVEREIN SIMMERN RHINELANDPALATINATE DE

Continue reading