Entschlüsselung von Fehlern bei SSL eingehender Inspektion nach dem Upgrade auf PAN-OS 8.0
83668
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM
Symptom
SSL Eingehende Richtlinien funktionierten, wenn sie auf PAN-OS 7.1 konfiguriert wurden, aber nach dem Upgrade auf 8.0 schlagen einige Sitzungen fehl, und die Protokolle zeigen Entschlüsselungsfehler an. Im Folgenden finden Sie ein Beispiel für eine fehlgeschlagene Sitzung:
admin@firewall> show session id 318075 Session 318075 c2s flow: source: 200.0.0.1 [Untrust] dst: 100.0.0.1 proto: 6 sport: 56272 dport: 25 state: INIT type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.100 [Trust] dst: 200.0.0.1 proto: 6 sport: 25 dport: 56272 state: INIT type: FLOW src user: unknown dst user: unknown start time : Wed Apr 17 14:04:30 2019 timeout : 15 sec total byte count(c2s) : 3975 total byte count(s2c) : 5583 layer7 packet count(c2s) : 13 layer7 packet count(s2c) : 16 vsys : vsys1 application : smtp rule : Inbound-SMTP session to be logged at end : True session in session ager : False session updated by HA peer : False address/port translation : destination nat-rule : smtp(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : business-and-economy session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ae1 egress interface : ae2 session QoS rule : N/A (class 4) tracker stage firewall : proxy decrypt failure tracker stage l7proc : ctd proc changed end-reason : policy-deny
Environment
PAN-OS 8.0 und höher. SSL Eingangsprüfung konfiguriert.
Cause
Vor PAN-OS 8.0 war die eingehende Inspektion völlig passiv. Da der firewall über das Zertifikat und den privaten Schlüssel verfügt, kann der im firewall Fly-Bereich entschlüsselt werden, ohne dass ein Proxy erforderlich ist. Ab PAN-OS 8.0 werden Diffie-Hellman-Austausch ( DHE ) oder Elliptic Curve Diffie-Hellman Exchange ( ECDHE ) unterstützt.
Da diese beiden Protokolle Perfect Forward Secrecy ( PFS verwenden, fungiert der firewall als Man-in-the-Middle-Proxy zwischen dem externen Client und dem internen Server. Da PFS bei jeder Sitzung ein neuer Schlüssel generiert wird, kann der eingehende Flow nicht einfach kopieren und firewall entschlüsseln, SSL während er durchläuft, und muss firewall als Proxygerät fungieren.
Der firewall fungiert nun als Proxy, und wenn der den Handshake nicht abschließen firewall SSL kann, wird die Sitzung aufgrund von Entschlüsselungsfehlern beendet. Häufige Gründe für Entschlüsselungsfehler sind:
– Nicht unterstützte Verschlüsselungssammlungen
– Nicht unterstützte Kurven – Server verwendet EC
Zertifikatsketten
– Server sendet Clientzertifikat- überprüfen
– Server konfiguriert mit Clientzertifikatauthentifizierung
– Client sendet Warnung aufgrund eines unbekannten SSL Zertifikats oder eines fehlerhaften Zertifikats
Resolution
Additional Information
Weitere Informationen zur SSL eingehenden Inspektion finden Sie in diesem Artikel: SSL Inbound Inspection.