Entschlüsselung von Fehlern bei SSL eingehender Inspektion nach dem Upgrade auf PAN-OS 8.0

Entschlüsselung von Fehlern bei SSL eingehender Inspektion nach dem Upgrade auf PAN-OS 8.0

91277
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM


Symptom


SSL Eingehende Richtlinien funktionierten, wenn sie auf PAN-OS 7.1 konfiguriert wurden, aber nach dem Upgrade auf 8.0 schlagen einige Sitzungen fehl, und die Protokolle zeigen Entschlüsselungsfehler an. Im Folgenden finden Sie ein Beispiel für eine fehlgeschlagene Sitzung:
admin@firewall> show session id 318075

Session          318075

        c2s flow:
                source:      200.0.0.1 [Untrust]
                dst:         100.0.0.1
                proto:       6
                sport:       56272           dport:      25
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      192.168.1.100 [Trust]
                dst:         200.0.0.1
                proto:       6
                sport:       25              dport:      56272
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Wed Apr 17 14:04:30 2019
        timeout                              : 15 sec
        total byte count(c2s)                : 3975
        total byte count(s2c)                : 5583
        layer7 packet count(c2s)             : 13
        layer7 packet count(s2c)             : 16
        vsys                                 : vsys1
        application                          : smtp  
        rule                                 : Inbound-SMTP
        session to be logged at end          : True
        session in session ager              : False
        session updated by HA peer           : False
        address/port translation             : destination
        nat-rule                             : smtp(vsys1)
        layer7 processing                    : enabled
        URL filtering enabled                : True
        URL category                         : business-and-economy
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ae1
        egress interface                     : ae2
        session QoS rule                     : N/A (class 4)
        tracker stage firewall               : proxy decrypt failure
        tracker stage l7proc                 : ctd proc changed
        end-reason                           : policy-deny

 

Environment


PAN-OS 8.0 und höher. SSL Eingangsprüfung konfiguriert.

Cause


Vor PAN-OS 8.0 war die eingehende Inspektion völlig passiv. Da der firewall über das Zertifikat und den privaten Schlüssel verfügt, kann der im firewall Fly-Bereich entschlüsselt werden, ohne dass ein Proxy erforderlich ist. Ab PAN-OS 8.0 werden Diffie-Hellman-Austausch ( DHE ) oder Elliptic Curve Diffie-Hellman Exchange ( ECDHE ) unterstützt.

Da diese beiden Protokolle Perfect Forward Secrecy ( PFS verwenden, fungiert der firewall als Man-in-the-Middle-Proxy zwischen dem externen Client und dem internen Server. Da PFS bei jeder Sitzung ein neuer Schlüssel generiert wird, kann der eingehende Flow nicht einfach kopieren und firewall entschlüsseln, SSL während er durchläuft, und muss firewall als Proxygerät fungieren.

Der firewall fungiert nun als Proxy, und wenn der den Handshake nicht abschließen firewall SSL kann, wird die Sitzung aufgrund von Entschlüsselungsfehlern beendet. Häufige Gründe für Entschlüsselungsfehler sind:
– Nicht unterstützte Verschlüsselungssammlungen
– Nicht unterstützte Kurven – Server verwendet EC
Zertifikatsketten
– Server sendet Clientzertifikat- überprüfen
– Server konfiguriert mit Clientzertifikatauthentifizierung
– Client sendet Warnung aufgrund eines unbekannten SSL Zertifikats oder eines fehlerhaften Zertifikats
 

Resolution


Der Server muss so konfiguriert werden, dass er mit dem Entschlüsselungsprofil übereinstimmt, das auf der konfiguriert firewall ist. Der Server muss Protokolle einhalten, die von der für eingehende Inspektion unterstützt firewall werden, um effektiv zu arbeiten.

Die folgenden Artikel enthalten eine Liste der unterstützten Verschlüsselungen:
Cipher Suites Supported in PAN-OS 8.0
Cipher Suites Supported in PAN-OS 9.0

Im Falle von Zertifikatsketten, die auf dem Server verwendet werden, da die firewall inter und root entfernt CA werden, müssen die Zertifikate manuell verkettet werden. Weitere Informationen hierzu finden Sie in diesem Artikel: So installieren Sie ein verkettetes Zertifikat, das von einem öffentlichen CAZertifikat signiert wurde.

Der Server muss so konfiguriert werden, dass er keine Clientüberprüfung oder Anforderung für die Clientzertifikatauthentifizierung sendet, da dies derzeit nicht unterstützt wird. Im Falle von Clients, die SSL Warnungen senden, müssen Sie sich die Paketerfassungen ansehen und den Grund für die Warnungen überprüfen und entsprechend korrigieren.

Additional Information


Weitere Informationen zur SSL eingehenden Inspektion finden Sie in diesem Artikel: SSL Inbound Inspection.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5iCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language