Die AnyDesk-Anwendung wird zeitweise entschlüsselt und verworfen, obwohl sie sich in der SSL-Entschlüsselungs-Ausschlussliste befindet
13533
Created On 03/15/22 07:56 AM - Last Modified 02/02/24 06:03 AM
Symptom
- "*.net.anydesktop.com" wird der benutzerdefinierten URL-Liste hinzugefügt, und die Entschlüsselungsrichtlinie wird mit der Aktion "Keine Entschlüsselung" für "*.net.anydesktop.com" konfiguriert.
- Das CA-Zertifikat wurde importiert und in der Firewall als vertrauenswürdige Stammzertifizierungsstelle markiert. Obwohl diese Konfiguration korrekt ist, werden die Pakete als entschlüsselt angesehen.
- Der Fehler "Received fatal alert UnknownCA from client" kann im Entschlüsselungsprotokoll beobachtet werden.
- Das Entschlüsselungsprotokoll enthält keine SNIs, was bedeutet, dass die vom Client gesendete Client-Hello keine SNI hatte.
Environment
- Palo Alto Firewall
- Unterstütztes PAN-OS
- SSL-Entschlüsselung
Cause
- Die Firewall empfängt Client-Hallo ohne Server Name Indication (SNI).
- In diesem Fall verwendet die Firewall die Ziel-IP-Adresse, um die URL-Kategorie aufzulösen.
- Da die IP-Adresse nicht in der Ausschlussliste enthalten ist, beginnt die Firewall mit der Entschlüsselung der Sitzung.
- In der Zwischenzeit wird die IP-Adresse aufgelöst und die Firewall stellt fest, dass die URL von der Entschlüsselung ausgeschlossen ist.
- Die Entschlüsselung wird ab dem zweiten Mal übersprungen, da die IP-Adresse in der Ausschlussliste vorhanden ist.
Resolution
Verwenden Sie eine der folgenden Methoden.
- Ändern Sie das clientseitige Verhalten, um Server Name Indication (SNI) hinzuzufügen.
- Erkundigen Sie sich beim AnyDesk-Anbieter und rufen Sie alle FQDN ab, um eine Richtlinie ohne Entschlüsselung mit FQDN und nicht mit URL zu erstellen.