No se puede hacer que SSL la descifrado funcione en Azure con AZ App Gateway

No se puede hacer que SSL la descifrado funcione en Azure con AZ App Gateway

15020
Created On 06/05/19 21:55 PM - Last Modified 03/26/21 17:41 PM


Symptom


  • Cuando SSL se configura el descifrado, los sitios web no se pueden cargar y se muestra el siguiente mensaje.
This page can’t be displayed
Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings and try connecting to https://<url name> again.
If this error persists, it is possible that this site uses an unsupported protocol or cipher suite such as
RC4 (link for the details),   which is not considered secure. Please contact your site administrator.
  • Al realizar las capturas de paquetes, se considera lo siguiente:
    • El saludo del cliente que se considera utiliza el ECDHE_RSA_WITH_AES_256_GCM_SHA384 que se soporta de hecho y es fino para el forward-proxy y la inspección entrante.
    • Cuando llega al servidor hola, no ve suficientes datos y el intercambio de claves falla debido a la curva no admitida con el mensaje"no admitido curve_name 29" & "parse_server_key_exchange_msg(ecdhe) falló".
  • Al tomar contadores globales se ve lo siguiente:
    proxy_process 1 0 info proxy pktproc Number of flows go through proxy
proxy_client_hello_failed 1 0 warn proxy pktproc Number of ssl sessions bypassed proxy because client hello can't be parsed
proxy_reverse_unsupported_protocol 1 0 warn proxy pktproc The number of sessions failed for reverse proxy because of ssl protocol
proxy_decrypt_unsupport_param_overall 1 0 info proxy pktproc Overall number of decrypted packet unsupport param failure
proxy_decrypt_error_overall 1 0 info proxy pktproc Overall number of decrypt error(not including cert validation and unsupport param)
proxy_sessions 1 0 info proxy pktproc Current number of proxy sessions
proxy_sessions_inbound 1 0 info proxy pktproc Current number of SSL-Inbound decrypted sessions (minus DHE/ECDHE)
ssl_client_sess_ticket 1 0 info ssl pktproc Number of ssl session with client sess ticket ext
ssl_extended_master_secret 1 0 info ssl pktproc Number of ssl session created using extended master extension
  • Al investigar los detalles de la sesión:
    test@AZEUS2SVOPFW01.IEDGE> show session id 122012
.....
tracker stage firewall : proxy decrypt failure
end-reason : decrypt-error

Environment


  • Puerta de enlace de Microsoft Azure
  • PAN-OS 8.1 y superior.

Cause


Palo Alto Solo admite NIST- curvas elípticas aprobadas para SSL /Decryption de la lista siguiente.
  • * P-192 (secp192r1)
  • * P-224 (secp224r1)
  • * P-256 (secp256r1)
  • * P-384 (secp384r1)
  • * P-521 (secp521r1)
Consulte: PAN-OS 8.1 Descifrado Cipher Suites

 

Resolution


  • Esto no es un problema con Palo Alto. Funciona según lo esperado dentro de los límites de diseño.
  • x25519 necesita ser desactivado y cualquier otra curva con nombre de su servidor para que pueda funcionar correctamente sin ningún problema de descifrado.
  • si necesitamos usar x25519, póngase en contacto con su SE solicitud de función.

Cómo deshabilitar el intercambio de claves curve25519 / x25519 en Windows Server 2016
 

Additional Information



Cómo comprobar los contadores globales para A Dirección de IP origen y destino específica
cómo ver la información de sesión activa mediante el archivo CLI .


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PM6TCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language