SSL8.0 にアップグレードした後、インバウンド検査でエラーを復号化する PAN-OS

91285

Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM

Symptom

SSL インバウンドポリシーは 7.1 で設定した場合は機能 PAN-OS しましたが、8.0 にアップグレードした後、一部のセッションが失敗し、ログに復号化エラーが表示されます。失敗したセッションの例を次に示します。

admin@firewall> show session id 318075

Session          318075

        c2s flow:
                source:      200.0.0.1 [Untrust]
                dst:         100.0.0.1
                proto:       6
                sport:       56272           dport:      25
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      192.168.1.100 [Trust]
                dst:         200.0.0.1
                proto:       6
                sport:       25              dport:      56272
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Wed Apr 17 14:04:30 2019
        timeout                              : 15 sec
        total byte count(c2s)                : 3975
        total byte count(s2c)                : 5583
        layer7 packet count(c2s)             : 13
        layer7 packet count(s2c)             : 16
        vsys                                 : vsys1
        application                          : smtp  
        rule                                 : Inbound-SMTP
        session to be logged at end          : True
        session in session ager              : False
        session updated by HA peer           : False
        address/port translation             : destination
        nat-rule                             : smtp(vsys1)
        layer7 processing                    : enabled
        URL filtering enabled                : True
        URL category                         : business-and-economy
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ae1
        egress interface                     : ae2
        session QoS rule                     : N/A (class 4)
        tracker stage firewall               : proxy decrypt failure
        tracker stage l7proc                 : ctd proc changed
        end-reason                           : policy-deny

Environment

PAN-OS 8.0 以上。 SSL インバウンド検査が構成されました。

Cause

8.0 より前は PAN-OS 、インバウンド検査は完全に受動的でした。 firewallには証明書と秘密キーが含まれているため、プロキシを firewall 行う必要なく、その場で復号化できます。 PAN-OS8.0 以降、ディフィー・ヘルマン交換 ( DHE ) または楕円曲線ディフィー・ヘルマン交換 ECDHE ( ) がサポートされています。

これら 2 つのプロトコルは完全な前方秘密 ( PFS ) を使用するため、 firewall 外部クライアントと内部サーバーの間で中間のプロキシとして機能します。 PFSセッションごとに新しいキーが生成されるため、 firewall 受信 SSL フローが通過する間に単にコピーおよび復号化することはできません firewall 。

firewallは現在プロキシとして機能しており、 firewall ハンドシェイクを完了できない場合 SSL 、復号化エラーのためにセッションが終了します。復号化の失敗の一般的な理由は次のとおりです:
– サポートされていない暗号スイート
– サポートされていない EC 曲線 –
証明書チェーンを使用する
サーバー – サーバー送信クライアント証明書の検証
– クライアント証明書認証で構成されたサーバー
– SSL 不明な証明書または不正な証明書によるクライアント送信アラート

Resolution

サーバーは、で構成されている暗号化解除プロファイルと一致するように構成する必要があります firewall 。サーバーは、インバウンド検査が効果的に機能するために、によってサポートされるプロトコルに従う firewall 必要があります。

以下の記事では、サポートされている暗号のリストを提供します:8.0 でサポートされている暗号スイート PAN-OS 9.0 でサポートされている暗号スイート

サーバーで使用される証明書チェーンの場合、
PAN-OS
firewall CA 証明書は、手動でチェーンする必要があります。詳細については、この資料「パブリックで署名されたチェーン証明書をインストールする方法 CA」を参照してください。

現在はサポートされていないので、クライアントの検証またはクライアント証明書認証の要求を送信しないようにサーバーを構成する必要があります。クライアントがアラートを送信する場合 SSL は、パケットキャプチャを確認し、アラートの理由を確認し、それに応じて修正する必要があります。

Additional Information