Décrypter les erreurs lors SSL de l’inspection entrante après la mise PAN-OS à niveau vers 8.0

Décrypter les erreurs lors SSL de l’inspection entrante après la mise PAN-OS à niveau vers 8.0

91283
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM


Symptom


SSL les stratégies entrantes ont fonctionné lorsqu’elles sont PAN-OS configurées sur 7.1, mais après la mise à niveau vers 8,0, certaines sessions échouent, et les journaux affichent des erreurs de décryptage. Voici un exemple d’échec d’une session :
admin@firewall> show session id 318075

Session          318075

        c2s flow:
                source:      200.0.0.1 [Untrust]
                dst:         100.0.0.1
                proto:       6
                sport:       56272           dport:      25
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      192.168.1.100 [Trust]
                dst:         200.0.0.1
                proto:       6
                sport:       25              dport:      56272
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Wed Apr 17 14:04:30 2019
        timeout                              : 15 sec
        total byte count(c2s)                : 3975
        total byte count(s2c)                : 5583
        layer7 packet count(c2s)             : 13
        layer7 packet count(s2c)             : 16
        vsys                                 : vsys1
        application                          : smtp  
        rule                                 : Inbound-SMTP
        session to be logged at end          : True
        session in session ager              : False
        session updated by HA peer           : False
        address/port translation             : destination
        nat-rule                             : smtp(vsys1)
        layer7 processing                    : enabled
        URL filtering enabled                : True
        URL category                         : business-and-economy
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ae1
        egress interface                     : ae2
        session QoS rule                     : N/A (class 4)
        tracker stage firewall               : proxy decrypt failure
        tracker stage l7proc                 : ctd proc changed
        end-reason                           : policy-deny

 

Environment


PAN-OS 8,0 et plus. SSL inspection entrante configurée.

Cause


Avant PAN-OS 8h00, l’inspection entrante était complètement passive. Depuis le firewall a le certificat et la clé privée, le peut firewall décrypter à la volée sans avoir besoin de proxy. A partir PAN-OS de 8.0, l’échange Diffie-Hellman ( DHE ) ou elliptic Curve Diffie-Hellman exchange ( ECDHE ) sont pris en charge.

Depuis ces deux protocoles utilisent Perfect Forward Secrecy ( PFS ), les actes comme un firewall homme-dans-le-milieu proxy entre le client externe et le serveur interne. Parce PFS que génère une nouvelle clé à chaque session, le ne peut pas simplement copier et firewall décrypter le flux entrant comme il passe à travers, le doit agir comme un périphérique SSL firewall proxy.

Le firewall agit maintenant comme un proxy, et si le firewall n’est pas en mesure de terminer SSL la poignée de main, la session est terminée en raison de décryptage-erreurs. Les raisons courantes de décrypter les défaillances sont les suivantes : – Suites de chiffrement non prises en charge – Courbes non prises en charge – Serveur utilisant des chaînes de certificats – Serveur envoyant le
certificat client vérifier – Serveur
EC


configuré avec authentification du certificat client
– Alerte SSL d’envoi de clients en raison d’un certificat inconnu ou d’un mauvais certificat
 

Resolution


Le serveur doit être configuré pour correspondre au profil de décryptage configuré sur le firewall . Le serveur doit respecter les protocoles pris en charge par firewall l’inspection entrante pour fonctionner efficacement.

Les articles ci-dessous fourniront une liste de chiffrements pris en charge:
Cipher Suites pris en PAN-OS charge dans 8.0
Cipher Suites Pris en charge en PAN-OS 9.0

En cas de chaînes de certificats utilisés sur le serveur, depuis firewall les suppressions de l’inter et la CA racine , les certificats doivent être enchaînés manuellement. Pour plus d’informations à ce sujet, s’il vous plaît se référer à cet article: Comment installer un certificat enchaîné signé par un public CA.

Le serveur doit être configuré pour ne pas envoyer de vérification client ou de demande d’authentification du certificat client car il n’est actuellement pas pris en charge. En cas d’envoi SSL d’alertes par les clients, vous devrez consulter les captures de paquets et vérifier la raison des alertes et rectifier en conséquence.

Additional Information


Pour plus d’informations SSL sur l’inspection entrante, veuillez consulter cet article : SSL Inspection entrante.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5iCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language