Descifrar errores en la SSL inspección entrante después de actualizar a PAN-OS 8.0

Descifrar errores en la SSL inspección entrante después de actualizar a PAN-OS 8.0

91265
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM


Symptom


SSL Las directivas entrantes funcionaron cuando se configuran en PAN-OS 7.1, pero después de actualizar a 8.0, algunas de las sesiones fallan y los registros muestran errores de descifrado. A continuación se muestra un ejemplo de una sesión fallida:
admin@firewall> show session id 318075

Session          318075

        c2s flow:
                source:      200.0.0.1 [Untrust]
                dst:         100.0.0.1
                proto:       6
                sport:       56272           dport:      25
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      192.168.1.100 [Trust]
                dst:         200.0.0.1
                proto:       6
                sport:       25              dport:      56272
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Wed Apr 17 14:04:30 2019
        timeout                              : 15 sec
        total byte count(c2s)                : 3975
        total byte count(s2c)                : 5583
        layer7 packet count(c2s)             : 13
        layer7 packet count(s2c)             : 16
        vsys                                 : vsys1
        application                          : smtp  
        rule                                 : Inbound-SMTP
        session to be logged at end          : True
        session in session ager              : False
        session updated by HA peer           : False
        address/port translation             : destination
        nat-rule                             : smtp(vsys1)
        layer7 processing                    : enabled
        URL filtering enabled                : True
        URL category                         : business-and-economy
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ae1
        egress interface                     : ae2
        session QoS rule                     : N/A (class 4)
        tracker stage firewall               : proxy decrypt failure
        tracker stage l7proc                 : ctd proc changed
        end-reason                           : policy-deny

 

Environment


PAN-OS 8.0 y superior. SSL inspección de entrada configurada.

Cause


Antes de PAN-OS las 8.0, la inspección entrante era completamente pasiva. Puesto que el firewall tiene el certificado y la clave privada, el can descifrar sobre la marcha sin necesidad de firewall proxy. A partir de PAN-OS las 8.0, se admiten el intercambio Diffie-Hellman DHE () o el intercambio Elliptic Curve Diffie-Hellman ( ECDHE

). Dado que estos dos protocolos utilizan Perfect Forward Secrecy ( PFS ), el actúa como un proxy firewall man-in-the-middle entre el cliente externo y el servidor interno. Dado PFS que genera una nueva clave con cada sesión, no se puede simplemente copiar y descifrar el flujo de entrada a medida que firewall SSL pasa, el debe actuar como un dispositivo firewall proxy.

El firewall ahora actúa como un proxy, y si el no puede completar el firewall SSL apretón de manos, la sesión se termina debido a errores de descifrado. Las razones comunes para descifrar errores son:
– Conjuntos de cifrado no compatibles –
Curvas no admitidas EC – Servidor mediante cadenas de certificados – Verificación de certificado de cliente de envío de
servidor – Servidor configurado con autenticación de certificado de cliente – Alerta de envío de cliente
debido a certificado desconocido o certificado

SSL incorrecto
 

Resolution


El servidor tiene que configurarse para que coincida con el perfil de descifrado configurado en el firewall archivo . El servidor tiene que cumplir con los protocolos soportados por la firewall inspección de entrada para funcionar eficazmente.

Los siguientes artículos proporcionarán una lista de cifrados compatibles:
Conjuntos de cifrado compatibles en PAN-OS 8.0
Cipher Suites Compatibles en PAN-OS 9.0

En caso de cadenas de certificados utilizadas en el servidor, ya firewall que elimina el inter y CA root, los certificados deben encadenarse manualmente. Para obtener información al respecto, consulte este artículo: Cómo instalar un certificado encadenado firmado por un público CA.

El servidor tiene que configurarse para no enviar la verificación del cliente o la solicitud de autenticación de certificado de cliente, ya que esto no se admite actualmente. En caso de que los clientes SSL envíen alertas, usted tendrá que mirar las capturas de paquetes y marcar el motivo de las alertas y rectificar en consecuencia.

Additional Information


Para obtener información adicional sobre la SSL inspección entrante, revise este artículo: SSL Inspección entrante.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5iCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language