Descifrar errores en la SSL inspección entrante después de actualizar a PAN-OS 8.0
83658
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM
Symptom
SSL Las directivas entrantes funcionaron cuando se configuran en PAN-OS 7.1, pero después de actualizar a 8.0, algunas de las sesiones fallan y los registros muestran errores de descifrado. A continuación se muestra un ejemplo de una sesión fallida:
admin@firewall> show session id 318075 Session 318075 c2s flow: source: 200.0.0.1 [Untrust] dst: 100.0.0.1 proto: 6 sport: 56272 dport: 25 state: INIT type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.100 [Trust] dst: 200.0.0.1 proto: 6 sport: 25 dport: 56272 state: INIT type: FLOW src user: unknown dst user: unknown start time : Wed Apr 17 14:04:30 2019 timeout : 15 sec total byte count(c2s) : 3975 total byte count(s2c) : 5583 layer7 packet count(c2s) : 13 layer7 packet count(s2c) : 16 vsys : vsys1 application : smtp rule : Inbound-SMTP session to be logged at end : True session in session ager : False session updated by HA peer : False address/port translation : destination nat-rule : smtp(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : business-and-economy session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ae1 egress interface : ae2 session QoS rule : N/A (class 4) tracker stage firewall : proxy decrypt failure tracker stage l7proc : ctd proc changed end-reason : policy-deny
Environment
PAN-OS 8.0 y superior. SSL inspección de entrada configurada.
Cause
Antes de PAN-OS las 8.0, la inspección entrante era completamente pasiva. Puesto que el firewall tiene el certificado y la clave privada, el can descifrar sobre la marcha sin necesidad de firewall proxy. A partir de PAN-OS las 8.0, se admiten el intercambio Diffie-Hellman DHE () o el intercambio Elliptic Curve Diffie-Hellman ( ECDHE
). Dado que estos dos protocolos utilizan Perfect Forward Secrecy ( PFS ), el actúa como un proxy firewall man-in-the-middle entre el cliente externo y el servidor interno. Dado PFS que genera una nueva clave con cada sesión, no se puede simplemente copiar y descifrar el flujo de entrada a medida que firewall SSL pasa, el debe actuar como un dispositivo firewall proxy.
El firewall ahora actúa como un proxy, y si el no puede completar el firewall SSL apretón de manos, la sesión se termina debido a errores de descifrado. Las razones comunes para descifrar errores son:
– Conjuntos de cifrado no compatibles –
Curvas no admitidas EC – Servidor mediante cadenas de certificados – Verificación de certificado de cliente de envío de
servidor – Servidor configurado con autenticación de certificado de cliente – Alerta de envío de cliente
debido a certificado desconocido o certificado
SSL incorrecto
Resolution
Additional Information
Para obtener información adicional sobre la SSL inspección entrante, revise este artículo: SSL Inspección entrante.