Cometer el error "aesgcm should choose hash value NON-AUTH" o "kmp_hash_alg NON-AUTH is not supported"

Cometer el error "aesgcm should choose hash value NON-AUTH" o "kmp_hash_alg NON-AUTH is not supported"

65992
Created On 01/29/22 01:37 AM - Last Modified 05/15/23 09:21 AM


Symptom


  • Commit falla en Palo Alto Firewall o con error como "aesgcm should choose hash valueNON-AUTH" o Prisma Access "kmp_hash_alg NON-AUTH is not supported"
  • El error de confirmación es específico de la configuración criptográfica de IPSEC los IKE túneles.
  • Esto puede suceder tanto para túneles de tipo IKEv1 como IKEv1.
  • Se observan los siguientes errores para un túnel IKEv1.
IKE gateway site_1 ikev1 section, kmp_enc_alg AES128-GCM16 is not supported
(Module: ikemgr)
IKE gateway site_1 ikev1 section, kmp_hash_alg NON-AUTH is not supported
(Module: ikemgr)
  • Se observan los siguientes errores para un túnel IKEv2.
IKE gateway site_1 ikev2 section, aesgcm should choose  hash value NON-AUTH
(Module: ikemgr)


Environment


  • Palo Alto Firewall con túnel IPsec.
  • PAN-OS 10.0.0 y superior
  • Prisma Access Para remote networks
  • Prisma Access Conexiones de servicio

Cause


  • Los errores son el resultado de una configuración no válida.
  • aes-gcm se introdujo como parte de la versión 10.0 solo para puertas de enlace / túneles de PAN-OS tipo IKEv2.
  • Si se utiliza aes-gcm con IKEv1, se producirá un error en la confirmación.
  • Con IKEv2 también, la configuración requiere que la autenticación se establezca en Ninguno si el cifrado se establece en el tipo aes-gcm.
Puede encontrar más detalles sobre los tipos de criptografía compatibles en el documento a continuación.

Definir IKE perfiles criptográficos

Resolution


  1. Si utiliza la criptografía IKEv1, no utilice aes-gcm en el cifrado. no es compatible.
  2. Si se utiliza la criptografía IKEv2 y se utiliza el cifrado como aes-gcm , la autenticación se establecerá en Ninguno.
  3. El hash se selecciona automáticamente en función del DH grupo seleccionado. Los detalles están presentes en el documento anterior.

Additional Information


Algunas de las advertencias a tener en cuenta:
  • Si se administra Panorama una versión 9.1 ejecutando 10.0 y la configuración funcionaba hasta firewall que también se actualizó a 10.0, se espera el comportamiento ya que se agregó como una nueva característica en la AES-GCM versión 10.0 y 9.1 firewall firewall simplemente ignoraría ese cifrado y seleccionaría aes-cbc-256 en su lugar.
  • Para usar el mejor cifrado y hash posibles, use el grupo 20, que hará que la IKE puerta de enlace use DH sha384
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N1uCAE&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language