AnyDesk应用程序间歇性地被解密和丢弃,尽管它在SSL解密排除列表中
13529
Created On 03/15/22 07:56 AM - Last Modified 02/02/24 06:03 AM
Symptom
- “*.net.anydesktop.com”将添加到自定义 URL 列表中,并使用“*.net.anydesktop.com”的操作“不解密”配置解密策略。
- CA 证书已导入并在防火墙上标记为受信任的根 CA,尽管此配置正确,但数据包被视为已解密。
- 在解密日志中可以观察到错误“收到来自客户端的致命警报 UnknownCA”。
- 解密日志中没有 SNI,这意味着从客户端发送的客户端 Hello 没有 SNI。
Environment
- 帕洛阿尔托防火墙
- 支持的 PAN-OS
- SSL 解密
Cause
- 防火墙正在接收没有服务器名称指示 (SNI) 的客户端问候。
- 发生这种情况时,防火墙使用目标 IP 地址来解析 URL 类别。
- 由于 IP 地址不在排除列表中,因此防火墙开始解密会话。
- 同时,IP 被解析,防火墙确定 URL 已从解密中排除。
- 它将从第二次开始跳过解密,因为 IP 地址将存在于排除列表中。
Resolution
使用以下方法之一。
- 更改客户端行为以添加服务器名称指示 (SNI)。
- 请与AnyDesk提供商联系,并获取所有FQDN,以形成FQDN而不是URL的无解密策略。