Comment identifier la cause profonde des problèmes SSL de défaillance du décryptage
154529
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM
Symptom
- Comment identifier les défaillances de décryptage dues à une suite de chiffrement non pris en charge.
- Consultez la matrice de compatibilité suivante pour confirmer les suites Cipher actuellement prises en charge
:
Environment
- PAN-OS
- SSL Décryptage
Cause
Dans cet exemple, le SSL décryptage proxy échoue parce que le serveur ne prend en charge que Diffie-Hellman ( DH ) et Elliptec Curve Éphémère Diffie-Hellman ( ECDHE ).
Suivez ces étapes pour confirmer le problème :
- Exécutez une capture de paquets à partir de l’appareil Palo Alto Networks (voir Comment exécuter une capture de paquets). Examinez les paquets Hello client envoyés par le client et les paquets de réponse envoyés par le serveur. Recherchez "échec de la poignée de main", qui est montré ci-dessous.
- Afficher les suites de chiffrement prises en charge par le client ou le périphérique Palo Alto Networks dans les paquets Hello client.
- À SSL l’aide de l https://www.ssllabs.com/ssltest/index.html denumérisation, découvrez quelles suites de chiffrement sont prises en charge par le serveur. Voir cet exemple:
La sortie ci-dessus confirme que le problème est dû à des suites de chiffrement non supportées.
Resolution
Créer un No Decrypt policy .
- Créez une catégorie URL personnalisée pour ce site.
- Aller à > objets > URL catégorie.
- Cliquez sur le bouton Ajouter.
- Nommez la catégorie URL personnalisée.
- Cliquez sur le bouton Ajouter, puis ajoutez le site du serveur et validez.
- Créez un décryptage Policy avec une action No Decrypt de ce URL site.
- Allez aux politiques > décryptage.
- Sélectionnez la règle de décryptage.
- Clone la règle de décryptage.
- Déplacez le décryptage clone Policy au-dessus du décryptage Policy .
- Cliquez sur le décryptage clone Policy > URL catégorie.
- Cliquez sur le bouton Ajouter.
- Ajouter le URL site et s’engager.