Cómo identificar la causa raíz SSL de los problemas de error de descifrado
154547
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM
Symptom
- Cómo identificar errores de descifrado debido a un conjunto de cifrado no compatible.
- Consulte la siguiente matriz de compatibilidad para confirmar las suites de cifrado compatibles actualmente
:
Environment
- PAN-OS
- SSL Descifrado
Cause
En este ejemplo, se produce un error en el SSL descifrado de proxy porque el servidor solo admite Diffie-Hellman ( DH ) y Elliptec Curve Ephemeral Diffie-Hellman ( ECDHE ).
Siga estos pasos para confirmar el problema:
- Ejecute una captura de paquetes desde el dispositivo Palo Alto Networks (consulte Cómo ejecutar una captura de paquetes). Examine los paquetes de cliente Hello enviados por el cliente y los paquetes de respuesta enviados por el servidor. Busque el "fallo del apretón de mano", que se muestra a continuación.
- Ver las suites de cifrado admitidas por el cliente o palo alto dispositivo de redes en el cliente Hola paquetes.
- Con la SSL herramienta de escaneo https://www.ssllabs.com/ssltest/index.html, averigüe qué conjuntos de cifrado son compatibles con el servidor. Vea este ejemplo:
La salida anterior confirma que el problema se debe a las suites de cifrado no compatibles.
Resolution
Crear un No Decrypt policy .
- Cree una categoría personalizada URL para ese sitio.
- Vaya a > Categoría de > de URL objetos.
- Haga clic en el botón Añadir.
- Asigne un nombre a la URL categoría personalizada.
- Haga clic en el botón Agregar y, a continuación, agregue el sitio del servidor y comprometalo.
- Cree un Descifrado Policy con una acción Sin descifrado de ese URL sitio.
- Ir a políticas > descifrado.
- Seleccione la regla de descifrado.
- Clonar la regla de desencriptación.
- Mueva el Descifrado clonado Policy por encima del descifrado Policy .
- Haga clic en la categoría Descifrado de clonación Policy URL >.
- Haga clic en el botón Añadir.
- Agregue el URL sitio y confirme.