Sesiones de juego inspección entrante descifrado regla no descifrados

Incidencia

Entrantes sesiones SSL que coincidan con una regla de descifrado (inspección de entrada) no sean descifrados y se consideran aplicaciones SSL por el equipo de Palo Alto Networks. Estas sesiones se pueden dejar si se configura un perfil de descifrado para sesiones con suites de cifrado no compatible de la gota.

Causa

El comportamiento es debido a una suite de cifrado elegida por el servidor en el protocolo de enlace SSL. Durante el protocolo SSL, el cliente y el servidor negocian una clave maestra de la cual se deriva una clave de sesión. Esta clave de sesión se utiliza para cifrar simétricamente los datos.

En un mecanismo de intercambio de claves basadas en RSA, la clave principal es encriptada y enviada por el cliente utilizando la clave pública del servidor (paradigma de cifrado asimétrico). Como el dispositivo de Palo Alto Networks tiene la clave privada del servidor, esta llave maestra puede descifrarse y examinado los datos.

Sin embargo, con el protocolo Diffie-Hellman el cliente y el servidor utilizan algoritmos matemáticos para generar la llave maestra sin intercambiarla directamente. El equipo de Palo Alto Networks no puede detectarlo y no puede descifrar la sesión subyacente. Por lo tanto, el sistema de Diffie-Hellman no es compatible con el mecanismo de descodificación utilizado por el equipo de Palo Alto Networks.

Resolución

Las suites de cifrado utilizando el protocolo Diffie-Hellman (DHE de Diffie-Hellman efímero) para intercambio de claves de sesión debe ser excluido de suites de cifrado disponibles en la configuración del servidor web objetivo.

Nota: la modificación de Cipher-Suites en el servidor Web debe ser realizada por un administrador de servidor Web.

Propietario: nbilly