Firewall Entschlüsseln von Datenverkehr im Zusammenhang mit A No-Decrypt Policy
15027
Created On 04/22/20 03:15 AM - Last Modified 03/26/21 18:17 PM
Symptom
- Verkehrsprotokolle, die SSL die Entschlüsselung für die Kategorie "Datenverkehrsabgleich" URL in nicht entschlüsseln anzeigen: policy
- Konfigurierte Entschlüsselungsrichtlinien ( GUI : Richtlinien > Entschlüsselung)
- Konfigurierte URL Kategorie ( : Objekte > GUI benutzerdefinierte Objekte > URL Kategorie)
- Der Webbrowser meldet wahrscheinlich einen Zertifikatsfehler. Chrome zeigt beispielsweise"Not Secure" neben der Suchleiste an
Environment
- PAN-OS 8.1 und höher.
- Palo Alto Firewall .
- SSL Vorwärtsproxy konfiguriert.
Cause
- Das Adressobjekt enthält eine FQDN (in diesem Beispiel: minemeld.thegreatwall.io)
- Weder das SNI (falls vorhanden) noch das im Handshake enthaltene Serverzertifikat CN verweisen auf das im SSL FQDN benutzerdefinierten URL Objekt.
Resolution
- Fügen Sie den Servernamen oder das Zertifikat CN (falls SNI nicht im Handshake enthalten) in das benutzerdefinierte URL Objekt ein. In diesem Beispiel wurde 10.20.0.76 dem "MineMeld" Objekt hinzugefügt.
( GUI : Objekte > benutzerdefinierte Objekte > Kategorie > URL (Name des konfigurierten Objekts) > Hinzufügen > geben Sie die IP Adresse in unter oder Sites URL Spalte)
- Übernehmen Sie die Änderungen. Die Entschlüsselung policy sollte gut funktionieren.
Additional Information
- Das gleiche Prinzip kann für Datenverkehr angewendet werden, der entschlüsselt werden soll, aber nicht entschlüsselt wird.
- In bestimmten Fällen, in denen der SNI nicht im Handshake enthalten SSL ist, kann es erforderlich sein, eine Paketerfassung ohne Entschlüsselung zu machen, um das echte Serverzertifikat zu CN erhalten.
- In Produktionsumgebungen kann ein Benutzer/Host zu diesem Zweck vorübergehend von der Entschlüsselung ausgeschlossen werden.