Die SSL Decryption der PaloAlto soll ermöglichen das ein- und ausgehender Traffic trotz vorhandener Verschlüsselung von der Firewall z.B. auf Schadcode überprüft werden kann.
Ein Hindernis war hier die Freigabe von Elster, nach etwas googlen fand ich die Auflistung der Elster Datentransferserver auf www.elster.de mit dem Suchbegriff "Betrieb im Netzwerk"
- https://datenannahme1.elster.de || 62.157.211.58
- https://datenannahme2.elster.de || 62.157.211.59
- https://datenannahme3.elster.de || 80.157.84.22
- https://datenannahme4.elster.de || 80.157.84.22
(Stand 04.04.2018)
In der PaloAlto unter "Device -> Certificate Management -> SSL Decryption Exclusion" kurzerhand *.elster.de eingetragen, commit und läuft. Wer möchte kann auch nur die einzelnen Server aufnehmen (siehe oben)
Es gibt hier und da auch Dienste, die lassen sich nicht durch einfache "SSL Decryption Exclusion" Regeln erlauben. Ein Beispiel ist der Datenservice der Bundesdruckerei. Hier muss unter "Policies -> Decryption" eine vorrangige Regel angelegt werden, welche unter "Options" als Action eine "No Decrypt" vom Type "SSL Forward Proxy" enthält. Die Source Zone wäre hier z.B. das Interne Netzwerk "Trust", als Service/URL Category sollte man hier eine eigene anlegen, z.b. "Ausnahme Decryption" (Anlegen kann man diese unter "Objects -> Custom Objects -> URL Category" - dort z.B. ems.bundesdruckerei oder gleich *.bundesdruckerei.de eintragen) schon überspringt die Paloalto für diese Ziele die Decryption.