Impossible SSL de décrypter pour travailler sur Azure avec AZ App Gateway

Impossible SSL de décrypter pour travailler sur Azure avec AZ App Gateway

15013
Created On 06/05/19 21:55 PM - Last Modified 03/26/21 17:41 PM


Symptom


  • Lorsque SSL le décryptage est configuré, les sites Web ne se chargent pas et le message suivant est affiché.
This page can’t be displayed
Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings and try connecting to https://<url name> again.
If this error persists, it is possible that this site uses an unsupported protocol or cipher suite such as
RC4 (link for the details),   which is not considered secure. Please contact your site administrator.
  • Lorsque vous effectuez des captures de paquets, ce qui suit est vu :
    • Le client bonjour qui est vu utilise des ECDHE_RSA_WITH_AES_256_GCM_SHA384 qui est en effet pris en charge et très bien pour l’inspection forward-proxy et entrant.
    • Quand il arrive au serveur bonjour, il ne voit pas assez de données et l’échange de clés échoue en raison de la courbe non pris en charge avec le message« non pris en charge curve_name 29 » et « parse_server_key_exchange_msg (ecdhe) a échoué ».\
  • Lorsque vous prenez global counters ce qui suit est vu:
    proxy_process 1 0 info proxy pktproc Number of flows go through proxy
proxy_client_hello_failed 1 0 warn proxy pktproc Number of ssl sessions bypassed proxy because client hello can't be parsed
proxy_reverse_unsupported_protocol 1 0 warn proxy pktproc The number of sessions failed for reverse proxy because of ssl protocol
proxy_decrypt_unsupport_param_overall 1 0 info proxy pktproc Overall number of decrypted packet unsupport param failure
proxy_decrypt_error_overall 1 0 info proxy pktproc Overall number of decrypt error(not including cert validation and unsupport param)
proxy_sessions 1 0 info proxy pktproc Current number of proxy sessions
proxy_sessions_inbound 1 0 info proxy pktproc Current number of SSL-Inbound decrypted sessions (minus DHE/ECDHE)
ssl_client_sess_ticket 1 0 info ssl pktproc Number of ssl session with client sess ticket ext
ssl_extended_master_secret 1 0 info ssl pktproc Number of ssl session created using extended master extension
  • Lors de l’enquête sur les détails de la session:
    test@AZEUS2SVOPFW01.IEDGE> show session id 122012
.....
tracker stage firewall : proxy decrypt failure
end-reason : decrypt-error

Environment


  • Passerelle Microsoft Azure
  • PAN-OS 8,1 et plus.

Cause


Palo Alto prend en charge NIST- uniquement les courbes elliptiques approuvées pour SSL /Décryptage de la liste ci-dessous.
  • * P-192 (secp192r1)
  • * P-224 (secp224r1)
  • * P-256 (secp256r1)
  • * P-384 (secp384r1)
  • * P-521 (secp521r1)
Référence: PAN-OS 8.1 Decryption Cipher Suites

 

Resolution


  • Ce n’est pas un problème avec Palo Alto. Il fonctionne comme prévu dans les limites de conception.
  • x25519 doit être désactivé et toutes les autres courbes nommées à partir de votre serveur afin qu’il puisse fonctionner avec succès sans aucun problème de décryptage.
  • si nous avons besoin d’utiliser x25519, s’il vous plaît contacter votre SE pour une demande de fonctionnalité.

Comment désactiver la courbe25519 / x25519 échange de clés sur Windows Server 2016
 

Additional Information



Comment vérifier les compteurs mondiaux pour A Source et destination spécifiques adresse IP comment afficher
les informations de session active àl’aide de la CLI .


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PM6TCAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language