Firewall Décryptage du trafic associé au A non-décryptage Policy
15017
Created On 04/22/20 03:15 AM - Last Modified 03/26/21 18:17 PM
Symptom
- Journaux de trafic montrant le SSL décryptage pour la catégorie d’appariement URL du trafic en no-decrypt policy:
- Stratégies de décryptage configurées GUI ( : > décryptage)
- Catégorie URL configurée ( GUI : Objets > objets personnalisés > URL catégorie)
- Le navigateur Web est susceptible de signaler une erreur de certificat. Chrome, par exemple, affiche «Non sécurisé » àcôté de la barre de recherche
Environment
- PAN-OS 8,1 et plus.
- Palo Alto Firewall .
- SSL proxy avant configuré.
Cause
- L’objet d’adresse FQDN contient un (dans cet exemple: minemeld.thegreatwall.io)
- Ni le SNI certificat (s’il est présent) ni le certificat du serveur CN présenté dans la poignée de main ne font référence à SSL FQDN l’objet URL personnalisé.
Resolution
- Inclure le nom ou le certificat du serveur CN (s’il SNI n’est pas inclus dans la poignée de main) à URL l’objet personnalisé. Dans cet exemple, 10.20.0.76 a été ajouté àl’objet " MineMeld« .
( GUI : Objets > objets personnalisés > catégorie > URL (nom de l’objet configuré) > Ajouter > entrer IP l’adresse dans la colonne URL sous ou sites)
- Engagez les modifications. Le décryptage policy devrait fonctionner très bien.
Additional Information
- Le même principe peut être appliqué pour le trafic qui doit être décrypté mais qui n’est pas décrypté.
- Dans certains cas où le SNI n’est pas inclus dans SSL la poignée de main, il peut être nécessaire de prendre une capture de paquet sans décryptage afin d’obtenir le certificat de serveur réel CN .
- Dans les environnements de production, un utilisateur/hôte peut être temporairement exclu du décryptage à cette fin.