PAN-OS 7.1 nouvelles raisons de « fin de session »

PAN-OS 7.1 nouvelles raisons de « fin de session »

55094
Created On 09/25/18 17:39 PM - Last Modified 06/02/23 09:04 AM


Resolution


La fonctionnalité existante de la raison du fin session est rehaussée par de nouvelles raisons pour que l’administrateur puisse déterminer la raison pour les raccordements de session SSL pendant le déchiffrement SSL. Les informations de motif fin de la session SSL sera visible et utilisable dans les requêtes de journal de trafic par le biais de toutes les interfaces disponibles. La raison de fin de session sera également exportable par tous les moyens disponibles sur le pare-feu de Palo Alto Networks.

 

La nouvelle liste des motifs de fin de session, selon leur priorité. Les nouveaux ajouts sont en gras.

  • menace
  • politique-nier
  • cert-décrypter-validation
  • décrypter-unsupport-param
  • décrypter-erreur
  • TCP-rst-de-client
  • rst-du-serveur TCP
  • ressources-indisponible
  • TCP-fin
  • TCP-réutilisation
  • décodeur
  • obsolète
  • inconnu

 

cert-décrypter-validation

a) préciser tous les lieux pour gérer les erreurs certification.

Code d’erreur connexes :

  • PAN_SSL_ERROR_INVALID_CERT-(3)
  • PAN_SSL_ERROR_UNTRUSTED_ISSUER-(9)
  • PAN_SSL_ERROR_EXPIRED_CERT-(10)
  • PAN_SSL_ERROR_CLIENT_CERT-(11)
  • PAN_SSL_ERROR_CERT_ON_HSM-(13)

b) traiter les alertes fatales sur la certification. (voir RFC5246)

  • bad_certificate
  • unsupported_certificate
  • certificate_revoked
  • ACCESS_DENIED
  • no_certificate_RESERVED (seulement pour SSLv3)

c) SSH ne supporte pas de validation de certificat

 

décrypter-non pris en charge-param

a) préciser tous les endroits pour vérification de version/chiffrement.

Code d’erreur connexes :

  • PAN_SSL_ERROR_UNSUPPORTED-(2)
  • PAN_SSL_ERROR_HANDSHAKE_FAILURE-(4)
  • PAN_SSL_ERROR_UNSUPPORTED_VER-(7)
  • PAN_SSL_ERROR_UNSUPPORTED_CIPHER-(12)

b) traiter les alertes fatales sur la version non prise en charge/chiffrement. (voir RFC5246)

  • unsupported_extension
  • unexpected_message (pour les types d’enregistrements inattendus)
  • handshake_failure

c) identifier toutes les version non prise en charge/algorithmes cryptographiques pour SSH

Code d’erreur connexes :

  • PAN_SSH_ERROR_VERSION_FROM_CLIENT_UNSUPPORTED-(30)
  • PAN_SSH_ERROR_VERSION_FROM_SERVER_UNSUPPORTED-(31)
  • PAN_SSH_ERROR_KEX_ALGORITHM_FROM_CLIENT_UNSUPPORTED (-40)
  • PAN_SSH_ERROR_KEX_ALGORITHM_FROM_SERVER_UNSUPPORTED-(41)

décrypter-erreur

a) tous les autres endroits nous n’a pas couvrir au-dessus.

Code d’erreur connexes :

  • PAN_SSL_ERROR_GENERAL-(1)
  • PAN_SSL_ERROR_UNMATCHED_KEY-(5)
  • PAN_SSL_ERROR_RESUME_SESSION-(6)
  • PAN_SSL_ERROR_NO_RESOURCE-(8)
  • PAN_SSL_ERROR_HSM_REQRESP-(14)    
  • PAN_SSL_ERROR_HSM_DOWN-(15)
  • PAN_SSL_ERROR_HSM_OTHER-(16)
  • PAN_SSL_HB_HEARTBLEED_DETECTED-(17)
  • PAN_SSL_ERROR_KEY_EXCHANGE-(18)

b) toutes les autres alertes fatales nous n’a pas couvrir au-dessus.

 

c) toutes les autres erreurs SSH,

Code d’erreur connexes :

  • PAN_SSH_ERROR_EXPECT_MORE-(10)
  • PAN_SSH_ERROR_MAC_INVALID-(20)
  • PAN_SSH_ERROR_DECRYPTION_FAILURE-(21)
  • PAN_SSH_ERROR_ENCRYPTION_FAILURE-(22)
  • PAN_SSH_ERROR_VERSION_TOO_LONG (-32)
  • PAN_SSH_ERROR_VERSION_MALFORMED-(33)
  • PAN_SSH_ERROR_KEX_UNEXPECTED_MESSAGE-(42)
  • PAN_SSH_ERROR_KEX_PACKET_TOO_LONG-(43)
  • PAN_SSH_ERROR_KEX_METHOD_SPECIFIC-(44)
  • PAN_SSH_ERROR_KEX_TOO_FREQUENT-(45)
  • PAN_SSH_ERROR_BUFFER_FULL-(50)
  • PAN_SSH_ERROR_BUFFER_READ_OUT-(51)
  • PAN_SSH_ERROR_BUFFER_DEST_TOO_SHORT-(52)
  • PAN_SSH_ERROR_BUFFER_BIGNUM_NEGATIVE-(53)
  • PAN_SSH_ERROR_BUFFER_BIGNUM_TOO_SMALL-(54)
  • PAN_SSH_ERROR_BUFFER_BIGNUM_TOO_BIG-(55)
  • PAN_SSH_ERROR_BUFFER_BIGNUM_FAILURE-(56)
  • PAN_SSH_ERROR_RESOURCE_UNAVAILABLE-(60)
  • PAN_SSH_ERROR_INTERNAL-(70)
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHGCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language