SSL8.0 にアップグレードした後、インバウンド検査でエラーを復号化する PAN-OS
83656
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM
Symptom
SSL インバウンド ポリシーは 7.1 で設定した場合は機能 PAN-OS しましたが、8.0 にアップグレードした後、一部のセッションが失敗し、ログに復号化エラーが表示されます。 失敗したセッションの例を次に示します。
admin@firewall> show session id 318075 Session 318075 c2s flow: source: 200.0.0.1 [Untrust] dst: 100.0.0.1 proto: 6 sport: 56272 dport: 25 state: INIT type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.100 [Trust] dst: 200.0.0.1 proto: 6 sport: 25 dport: 56272 state: INIT type: FLOW src user: unknown dst user: unknown start time : Wed Apr 17 14:04:30 2019 timeout : 15 sec total byte count(c2s) : 3975 total byte count(s2c) : 5583 layer7 packet count(c2s) : 13 layer7 packet count(s2c) : 16 vsys : vsys1 application : smtp rule : Inbound-SMTP session to be logged at end : True session in session ager : False session updated by HA peer : False address/port translation : destination nat-rule : smtp(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : business-and-economy session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ae1 egress interface : ae2 session QoS rule : N/A (class 4) tracker stage firewall : proxy decrypt failure tracker stage l7proc : ctd proc changed end-reason : policy-deny
Environment
PAN-OS 8.0 以上。 SSL インバウンド検査が構成されました。
Cause
8.0 より前は PAN-OS 、インバウンド検査は完全に受動的でした。 firewallには証明書と秘密キーが含まれているため、プロキシを firewall 行う必要なく、その場で復号化できます。 PAN-OS8.0 以降、ディフィー・ヘルマン交換 ( DHE ) または楕円曲線 ディフィー・ヘルマン交換 ECDHE ( ) がサポートされています。
これら 2 つのプロトコルは完全な前方秘密 ( PFS ) を使用するため、 firewall 外部クライアントと内部サーバーの間で中間のプロキシとして機能します。 PFSセッションごとに新しいキーが生成されるため、 firewall 受信 SSL フローが通過する間に単にコピーおよび復号化することはできません firewall 。
firewallは現在プロキシとして機能しており、 firewall ハンドシェイクを完了できない場合 SSL 、復号化エラーのためにセッションが終了します。 復号化の失敗の一般的な理由は次のとおりです:
– サポートされていない暗号スイート
– サポートされていない EC 曲線 –
証明書チェーンを使用する
サーバー – サーバー送信クライアント証明書の検証
– クライアント証明書認証で構成されたサーバー
– SSL 不明な証明書または不正な証明書によるクライアント送信アラート
Resolution
Additional Information
受信検査の詳細については SSL 、この記事を参照してください:SSL 受信検査。