SSL 予期しないメッセージ クライアント "hs_type 0" からの復号化が失敗する
21762
Created On 04/29/19 09:07 AM - Last Modified 07/22/25 01:07 AM
Symptom
この資料では、 SSL パロアルトネットワークでエラー"予期しないメッセージクライアントhs_type 0"で復号化が失敗するシナリオについて説明 firewall します。
Environment
SSL で構成された復号化 firewall 。
Cause
以下に示すように、 SSL 復号化が で構成され firewall 、ソースがサーバー 203.213.110.163 に接続されている 192.168.35.66 である場合の例を考えてみましょう。
> show session all filter destination 203.213.110.163 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 456823 web-browsing DISCARD FLOW NS 192.168.35.66[48282]/L3-Trust/6 (10.129.82.35[61442]) vsys1 203.213.110.163[443]/L3-Untrust (203.213.110.163[443])
> show session id 456823
Session 456823
c2s flow:
source: 192.168.35.66 [L3-Trust]
dst: 203.213.110.163
proto: 6
sport: 48282 dport: 443
state: INIT type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 203.213.110.163 [L3-Untrust]
dst: 10.129.82.35
proto: 6
sport: 443 dport: 61442
state: INIT type: FLOW
src user: unknown
dst user: unknown
start time : Wed Aug 16 16:45:54 2017
timeout : 15 sec
total byte count(c2s) : 2568
total byte count(s2c) : 3605
layer7 packet count(c2s) : 20
layer7 packet count(s2c) : 8
vsys : vsys1
application : web-browsing
rule : Trust-to-Untrust
session to be logged at end : True
session in session ager : False
session updated by HA peer : False
address/port translation : source
nat-rule : Trust-NAT(vsys1)
layer7 processing : enabled
URL filtering enabled : True
URL category : computer-and-internet-info
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/3
egress interface : ethernet1/1
session QoS rule : N/A (class 4)
tracker stage firewall : proxy decrypt failure
end-reason : decrypt-error
> debug dataplane packet-diag show setting
--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
Enabled: yes
Match pre-parsed packet: no
Index 1: 192.168.35.66[0]->203.213.110.163[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
ingress-interface any, egress-interface any, exclude non-IP
Index 2: 203.213.110.163[0]->10.129.82.35[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
ingress-interface any, egress-interface any, exclude non-IP
Index 3: 203.213.110.163[0]->192.168.35.66[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------
Logging
Enabled: no
Log-throttle: no
Sync-log-by-ticks: yes
Features:
flow : basic
proxy : basic timer detail
ssl : basicサーバーがセッションを終了する場合に、セッションを終了する "Hello 要求" を送信しているため、復号化 firewall は失敗します。 詳細なデバッグが有効になっている場合、以下のエラーはパケット diag ログに表示されます"hs_type 0"。
2017-08-16 16:45:55.392 +0800 Error: pan_ssl3_process_handshake_msg(pan_ssl3.c:1022): unexpected message client hs_type 0
2017-08-16 16:45:55.392 +0800 Error: pan_ssl_proxy_handle_rt_hs(pan_ssl_proxy.c:237): pan_ssl3_process_handshake_msg() failed -1
2017-08-16 16:45:55.392 +0800 Error: pan_ssl_proxy_parse_data(pan_ssl_proxy.c:591): pan_ssl_parse_record() failed
192.168.35.66[48282]-->203.213.110.163[443]
2017-08-16 16:45:55.392 +0800 pan_proxy_handle_error(pan_proxy.c:1878): handle error -1
2017-08-16 16:45:55.392 +0800 debug: pan_proxy_ssl_check_block_error(pan_proxy.c:1862): In session(456823), encounters error_id(-1 PAN_SSL_ERROR_GENERAL), action: skip
2017-08-16 16:45:55.392 +0800 debug: pan_proxy_ssl_proc_data(pan_proxy_ssl.c:1010): pan_ssl_proxy_parse_data() failed -1, not blockResolution
サーバーが "Hello 要求" を送信しているため、サーバーからの "Hello 要求" がサポートされていないため、この動作が予期されるため、これらのシナリオでは、復号化セッションが破棄されています。