Erreur de validation « aesgcm doit choisir la valeur NON-AUTHde hachage » ou « kmp_hash_alg n’est NON-AUTH pas pris en charge »

Erreur de validation « aesgcm doit choisir la valeur NON-AUTHde hachage » ou « kmp_hash_alg n’est NON-AUTH pas pris en charge »

66260
Created On 01/29/22 01:37 AM - Last Modified 05/15/23 09:21 AM


Symptom


  • La validation échoue sur le Palo Alto Firewall ou avec une erreur comme « aesgcm doit choisir la valeur NON-AUTHde hachage » ou Prisma Access « kmp_hash_alg n’est NON-AUTH pas pris en charge »
  • L’échec de validation est spécifique à la configuration de chiffrement des IPSEC tunnels IKE .
  • Cela peut se produire pour les tunnels de type IKEv1 et IKEv1.
  • Les erreurs suivantes sont observées pour un tunnel IKEv1.
IKE gateway site_1 ikev1 section, kmp_enc_alg AES128-GCM16 is not supported
(Module: ikemgr)
IKE gateway site_1 ikev1 section, kmp_hash_alg NON-AUTH is not supported
(Module: ikemgr)
  • Les erreurs suivantes sont observées pour un tunnel IKEv2.
IKE gateway site_1 ikev2 section, aesgcm should choose  hash value NON-AUTH
(Module: ikemgr)


Environment


  • Palo Alto Firewall avec tunnel IPsec.
  • PAN-OS 10.0.0 et versions ultérieures
  • Prisma Access pour remote networks
  • Prisma Access Connexions de service

Cause


  • Les erreurs sont le résultat d’une configuration non valide.
  • aes-gcm a été introduit dans le cadre de la version 10.0 uniquement pour les passerelles/tunnels de PAN-OS type IKEv2.
  • Si vous utilisez aes-gcm avec IKEv1, la validation échoue.
  • Avec IKEv2 également, la configuration nécessite que l’authentification soit définie sur Aucun si le chiffrement est défini sur le type aes-gcm.
Vous trouverez plus de détails sur les types de crypto pris en charge dans le document ci-dessous.

Définir des IKE profils cryptographiques

Resolution


  1. Si vous utilisez IKEv1 crypto, n’utilisez pas aes-gcm dans le chiffrement. il n’est pas pris en charge.
  2. Si vous utilisez IKEv2 crypto et utilisez le cryptage en tant que aes-gcm , l’authentification doit être définie sur Aucun.
  3. Le hachage est automatiquement sélectionné en fonction du DH groupe sélectionné. Les détails sont présents dans le document ci-dessus.

Additional Information


Certaines des mises en garde à noter:
  • Si une version 9.1 est gérée en exécutant la version 10.0 et que la configuration fonctionnait jusqu’à ce que la soit également mise à niveau vers la version 10.0, le comportement est attendu puisque le a été ajouté en Panorama tant que nouvelle fonctionnalité dans la version 10.0 et que la version 9.1 firewall firewall ignorerait simplement ce chiffrement et sélectionnerait aes-cbc-256 à la firewall AES-GCM place.
  • Pour utiliser le meilleur chiffrement et le meilleur hachage possible, utilisez DH le groupe 20 qui entraînera l’utilisation de sha384 par la IKE passerelle
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N1uCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language