Firewall Descifrar el tráfico asociado con A No-Decrypt Policy
15027
Created On 04/22/20 03:15 AM - Last Modified 03/26/21 18:17 PM
Symptom
- Registros de tráfico que muestran SSL el descifrado para la categoría de coincidencia de tráfico URL en no-decrypt policy:
- Directivas de descifrado configuradas ( GUI : Directivas > descifrado)
- Categoría configurada URL ( : Objetos > objetos personalizados > GUI URL categoría)
- Es probable que el explorador web notifique un error de certificado. Chrome, por ejemplo, muestra"No seguro"junto a la barra de búsqueda
Environment
- PAN-OS 8.1 y superior.
- Palo Alto Firewall .
- SSL proxy de reenvío configurado.
Cause
- El objeto address contiene un FQDN (en este ejemplo: minemeld.thegreatwall.io)
- Ni el SNI (si está presente) ni el certificado del servidor presentado en el protocolo de CN enlace hacen referencia al objeto SSL FQDN URL personalizado.
Resolution
- Incluya el nombre o el certificado del servidor CN (si SNI no se incluye en el protocolo de enlace) en el objeto URL personalizado. En este ejemplo, se ha añadido 10.20.0.76 al objeto"MineMeld".
( GUI : Objetos > objetos personalizados > categoría > URL (nombre del objeto configurado) > Agregar > introduzca la IP dirección en la columna en menos o en la columna URL sitios)
- Confirme los cambios. El descifrado policy debería funcionar bien.
Additional Information
- El mismo principio se puede aplicar para el tráfico que se debe descifrar pero no se está descifrando.
- En ciertos casos donde el SNI no se incluye en el SSL apretón de manos, puede ser necesario tomar una captura de paquetes sin descifrado para obtener el certificado real del CN servidor.
- En entornos de producción, un usuario/host puede excluirse temporalmente del descifrado para este propósito.