La aplicación AnyDesk se descifra y descarta de forma intermitente, aunque se encuentra en la lista de exclusión de descifrado SSL
13533
Created On 03/15/22 07:56 AM - Last Modified 02/02/24 06:03 AM
Symptom
- "*.net.anydesktop.com" se agrega a la lista de URL personalizadas y la política de descifrado se configura con la acción "Sin descifrar" para "*.net.anydesktop.com".
- El certificado de CA se importó y se marcó como CA raíz de confianza en el firewall, aunque esta configuración es correcta, los paquetes se ven como descifrados.
- El error "Received fatal alert UnknownCA from client" se puede observar en el registro de descifrado.
- No hay SNI en el registro de descifrado, lo que significa que el saludo del cliente enviado desde el cliente no tenía SNI.
Environment
- Palo Alto Firewall
- PAN-OS compatible
- Descifrado de SSL
Cause
- El firewall recibe el saludo del cliente sin indicación de nombre de servidor (SNI).
- Cuando esto sucede, el Firewall utiliza la dirección IP de destino para resolver la categoría de URL.
- Dado que la dirección IP no está en la lista de exclusión, el firewall comienza a descifrar la sesión.
- Mientras tanto, la IP se resuelve y el firewall determina que la URL está excluida del descifrado.
- Omitirá el descifrado a partir de la segunda vez porque la dirección IP existirá en la lista de exclusión.
Resolution
Utilice una de las siguientes opciones.
- Cambie el comportamiento del lado del cliente para agregar la indicación de nombre de servidor (SNI).
- Consulte con el proveedor de AnyDesk y obtenga todos los FQDN para formar una política de no descifrado con FQDN y no URL.