AnyDeskアプリケーションは、SSL復号化除外リストに入っていますが、断続的に復号化および破棄されています
13521
Created On 03/15/22 07:56 AM - Last Modified 02/02/24 06:09 AM
Symptom
- 「*.net.anydesktop.com」がカスタム URL リストに追加され、復号化ポリシーが「*.net.anydesktop.com」のアクション「No Decrypt」で設定されます。
- CA 証明書がインポートされ、ファイアウォールで信頼されたルート CA としてマークされましたが、この設定は正しいですが、パケットは復号化されたと見なされます。
- 「クライアントから致命的なアラート UnknownCA を受信しました」というエラーが復号化ログに表示されます。
- 復号化ログに SNI がないため、クライアントから送信された Client Hello に SNI がなかったことを意味します。
Environment
- パロアルトファイアウォール
- サポートされている PAN-OS
- SSL の解読
Cause
- ファイアウォールは、Server Name Indication(SNI)なしでclient helloを受信しています。
- この場合、ファイアウォールは宛先 IP アドレスを使用して URL カテゴリを解決します。
- IPアドレスは除外リストに含まれていないため、ファイアウォールはセッションの復号化を開始します。
- その間、IP は解決され、ファイアウォールは URL が復号化から除外されていると判断します。
- 2回目以降は、IPアドレスが除外リストに存在するため、復号化はスキップされます。
Resolution
次のいずれかを使用します。
- クライアント側の動作を変更して、Server Name Indication (SNI) を追加します。
- AnyDeskプロバイダーに確認し、すべてのFQDNを取得して、URLではなくFQDNで復号化なしポリシーを形成します。