Verhalten der PA Firewall SSL eingehenden Inspektion für PFS Cipher
36562
Created On 12/12/18 06:56 AM - Last Modified 03/26/21 17:28 PM
Symptom
Ab 8.0 PA unterstützt Die inbound decryption for PFS Ciphers: SSL Inbound Inspection
Wie das obige Dokument erklärt, muss der als Proxy zwischen dem externen Client und dem internen Server PA Firewall fungieren. Dieser Artikel erklärt die Arbeit und einige Vorbehalte.
Im Folgenden finden Sie den Verkehrsfluss:
- Nach TCP-3 -way-handshake sendet der Client Client Hello
- Zu diesem Zeitpunkt firewall weiß nicht, ob Server Cipher wählen wird, so dass PFS die Client Hello unverändert übertragen wird, ohne dass eine Proxy-Funktion aufgerufen wird. Dies kann mithilfe von Empfangs- und Übertragungserfassungen auf bestätigt firewall werden.
- Wenn Server mit Server Hello antwortet, Firewall wird es anhand der Decryption Profile -> SSL Protokolleinstellungen für zulässige Chiffren überprüft.
- Wenn die Ausgewählte Protokollversion/-verschlüsselung/-algorithmen in Server Hello NOT in den Protokolleinstellungen mit der aktivierten Protokollversion/-verschlüsselung/-algorithmen SSL übereinstimmt, sollte die Sitzung basierend auf den firewall unter eingehender Inspektion ausgewählten Optionen blockiert oder zugelassen SSL werden.
- Wenn die Ausgewählte Protokollversion/-verschlüsselung/-algorithmen in Server Hello mit der aktivierten Protokollversion/-verschlüsselung/-algorithmen in SSL protokolliver Einstellungen übereinstimmen, ist dies basierend auf dem ausgewählten Verschlüsselungsverhalten wie unter:
- RSA Cipher : Der firewall wird keinen Proxy-Modus benötigen und wird nur den Server hallo den Client übergeben. In diesem Fall firewall können Sie die Schlüssel aus dem Serverzertifikat verwenden, um den Rest der Kommunikation zu überprüfen.
- PFSCipher d.h. DHE oder ECDHE Cipher: PA Firewall ruft das Proxymodul auf und führt Folgendes aus:
- Erstellen Sie einen Server Hello mit eigenen unterstützten Erweiterungen und DH ECDH /Key Paramatern. Überprüfen Sie, ob unterstützte Schlüsselgrößen, Kurven und Erweiterungen vorhanden sind, da SSL andere Verbindungen möglicherweise fehlschlagen.
- Wenn Sitzung ID (für die Sitzungswiederaufnahme verwendet) in Server Hello vorhanden ist, firewall wird die Sitzung auf 0 ID gesetzt. Dies liegt firewall daran, dass die Schlüssel, die in der wiederaufgenommenen Sitzung verwendet wurden, nicht verwendet wurden.
- Firewall sendet das Zertifikat als importiert in die firewall und nicht als das, was vom Server kommt. Daher ist es erforderlich, die gesamte HOW TO INSTALL A CHAINED CERTIFICATE SIGNED BY A PUBLICCA Kette als ein Bündel zu importieren:
- Firewall generiert eigene Serverschlüsselaustauschnachrichten und Clientschlüsselaustauschnachrichten, wodurch der Handshake abgeschlossen wird
- Buchen Sie dies, die Transaktion wird als Forward-Proxy fortgesetzt
Additional Information
NOTE:
- Bei der eingehenden Inspektion für PFS werden wir OCSP keine CRL Suchungen wie bei Forward Proxy durchführen.
- Für DHE / Keys verwenden wir mindestens ECDHE 256 Byte oder 2048 Bit-Schlüssel, so dass es Clients nicht unterstützen 2048 Bit DH Keys, der Client wird die Verbindung zurücksetzen. SSL Überprüfen Sie, ob Plugins nur eingeschränkt eisern sind und die nur eingeschränkte Unterstützung für SSL Chiffren/Schlüssel/Algorithmen haben
- Für PFS Chiffren unterstützen wir derzeit keine Clientzertifikate, sodass SSL die Verbindung fehlschlägt.
Gehen Sie wie folgt vor, um Probleme zu beheben:
1. Aktivieren Sie Paketerfassungen mit Filtern wie "Client -> Server (Pre NAT IP if there is Destination NAT )" und "Server (Private IP ) -> Client". Ports können bei Bedarf zusätzlich verwendet werden.
2. Zusätzlich können Pcaps auf Client und Server nach Möglichkeit mehr helfen.
3. Packet-diags können mit flow basic, proxy all, ssl all, tcp all flags genommen werden.
2. Zusätzlich können Pcaps auf Client und Server nach Möglichkeit mehr helfen.
3. Packet-diags können mit flow basic, proxy all, ssl all, tcp all flags genommen werden.
4. Testen Sie mit mehreren Client-Browsern oder openssl-Client:
Fenster:
openssl.exe s_client -debug -cipher <Cipher> -connect www.example.com:443 -tls[1|2]</Cipher>