Comportamiento de PA Firewall hacer la inspección entrante para SSL PFS cifrados
36562
Created On 12/12/18 06:56 AM - Last Modified 03/26/21 17:28 PM
Symptom
A partir de 8.0, PA soporta el descifrado entrante para PFS cifrados: SSL Inspección entrante
Como explica el documento anterior, el tiene que actuar como proxy entre el cliente externo y el servidor PA Firewall interno. Este artículo explica el trabajo y algunas advertencias.
A continuación se muestra el flujo de tráfico:
- Después TCP-3 del apretón de manos, el cliente envía Client Hello
- En este punto, firewall no sabe si el servidor elegirá el PFS cifrado, por lo que el saludo del cliente se transmite sin inmutarse sin que se invoque ninguna función de proxy. Esto se puede confirmar mediante capturas de recepción y transmisión en firewall .
- Cuando el servidor responde con el saludo del servidor, Firewall lo inspeccionará en la configuración de protocolo perfil de descifrado -> SSL para los cifrados permitidos.
- Si la versión/cifrado/algoritmos de protocolo seleccionados en El saludo del servidor NOT hace juego la versión de protocolo habilitada/Cifrados/algoritmos en la configuración del SSL protocolo, debe bloquear o permitir la sesión firewall en función de las opciones seleccionadas SSL en Inspección entrante.
- Si la versión/cifrado/algoritmos de protocolo seleccionados en El saludo del servidor coincide con la versión de protocolo habilitada/Cifrados/algoritmos en SSL la configuración del protocolo, en función del comportamiento de cifrado seleccionado es el siguiente:
- RSA Cifrado : El firewall no necesitará modo proxy y simplemente pasará el servidor hola el cliente. En este caso, firewall puede usar las claves del certificado de servidor para inspeccionar el resto de la comunicación.
- PFSCifrado es DHE decir, o ECDHE Cifrado: PA Firewall invocará el módulo proxy y realizará lo siguiente:
- Construya un Server Hello utilizando sus propias extensiones compatibles y DH / ECDH paramaters clave. Compruebe si hay tamaños de clave, curvas y extensiones compatibles, ya que SSL es posible que se produzca un error en las conexiones.
- Si session ID (utilizado para la reanudación de sesión) está presente en Server Hello, firewall establecerá la sesión ID en 0. Esto se debe a firewall que no tendrá las claves que se usaron en la sesión reanudada.
- Firewall enviará el Certificado importado al firewall servidor y no como lo que viene del Servidor. Por lo tanto, es necesario importar HOW TO INSTALL A CHAINED CERTIFICATE SIGNED BY A PUBLICCA toda la cadena como un solo paquete:
- Firewall generará sus propios mensajes de Server Key Exchange y Client Key Exchange completando así el apretón de manos
- Publique esto la transacción continuará como proxy de reenvío
Additional Information
NOTE:
- En la inspección entrante para PFS , no vamos a hacer / OCSP CRL búsquedas como en el caso de proxy de reenvío.
- Para DHE / Claves usamos claves ECDHE mínimas de 256 byte o 2048 bits, por lo que los clientes no admiten claves de 2048 DH bits, el cliente restablecerá la SSL conexión. Compruebe si hay plugins que tengan soporte limitado para SSL cifrados/claves/algoritmos
- Para PFS Cifrados, actualmente no soportamos certificados de cliente, por lo que SSL se producirá un error en la conexión.
Para solucionar cualquier problema, haga lo siguiente:
1. Habilite las capturas de paquetes con los filtros como "Cliente -> Servidor (Pre NAT IP si hay NAT destino)" y "Servidor IP (privado) -cliente >". Los puertos se pueden utilizar adicionalmente si es necesario.
2. Además, Pcaps en cliente y servidor si es posible puede ayudar más.
3. Los diags de paquetes se pueden tomar con el flujo básico, proxy all, ssl all, tcp todos los indicadores.
2. Además, Pcaps en cliente y servidor si es posible puede ayudar más.
3. Los diags de paquetes se pueden tomar con el flujo básico, proxy all, ssl all, tcp todos los indicadores.
4. Pruebe con varios navegadores de cliente o cliente openssl:
Windows:
openssl.exe s_client -debug -cipher <Cipher> -connect www.example.com:443 -tls[1|2]</Cipher>