Décrypter les erreurs lors SSL de l’inspection entrante après la mise PAN-OS à niveau vers 8.0
83666
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM
Symptom
SSL les stratégies entrantes ont fonctionné lorsqu’elles sont PAN-OS configurées sur 7.1, mais après la mise à niveau vers 8,0, certaines sessions échouent, et les journaux affichent des erreurs de décryptage. Voici un exemple d’échec d’une session :
admin@firewall> show session id 318075 Session 318075 c2s flow: source: 200.0.0.1 [Untrust] dst: 100.0.0.1 proto: 6 sport: 56272 dport: 25 state: INIT type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.100 [Trust] dst: 200.0.0.1 proto: 6 sport: 25 dport: 56272 state: INIT type: FLOW src user: unknown dst user: unknown start time : Wed Apr 17 14:04:30 2019 timeout : 15 sec total byte count(c2s) : 3975 total byte count(s2c) : 5583 layer7 packet count(c2s) : 13 layer7 packet count(s2c) : 16 vsys : vsys1 application : smtp rule : Inbound-SMTP session to be logged at end : True session in session ager : False session updated by HA peer : False address/port translation : destination nat-rule : smtp(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : business-and-economy session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ae1 egress interface : ae2 session QoS rule : N/A (class 4) tracker stage firewall : proxy decrypt failure tracker stage l7proc : ctd proc changed end-reason : policy-deny
Environment
PAN-OS 8,0 et plus. SSL inspection entrante configurée.
Cause
Avant PAN-OS 8h00, l’inspection entrante était complètement passive. Depuis le firewall a le certificat et la clé privée, le peut firewall décrypter à la volée sans avoir besoin de proxy. A partir PAN-OS de 8.0, l’échange Diffie-Hellman ( DHE ) ou elliptic Curve Diffie-Hellman exchange ( ECDHE ) sont pris en charge.
Depuis ces deux protocoles utilisent Perfect Forward Secrecy ( PFS ), les actes comme un firewall homme-dans-le-milieu proxy entre le client externe et le serveur interne. Parce PFS que génère une nouvelle clé à chaque session, le ne peut pas simplement copier et firewall décrypter le flux entrant comme il passe à travers, le doit agir comme un périphérique SSL firewall proxy.
Le firewall agit maintenant comme un proxy, et si le firewall n’est pas en mesure de terminer SSL la poignée de main, la session est terminée en raison de décryptage-erreurs. Les raisons courantes de décrypter les défaillances sont les suivantes : – Suites de chiffrement non prises en charge – Courbes non prises en charge – Serveur utilisant des chaînes de certificats – Serveur envoyant le
certificat client vérifier – Serveur
EC
configuré avec authentification du certificat client
– Alerte SSL d’envoi de clients en raison d’un certificat inconnu ou d’un mauvais certificat
Resolution
Additional Information
Pour plus d’informations SSL sur l’inspection entrante, veuillez consulter cet article : SSL Inspection entrante.