El tráfico no se descifra para SSL las sesiones mediante certificados de cliente.
19687
Created On 07/16/20 19:01 PM - Last Modified 03/26/21 18:30 PM
Symptom
URL example.host.com no se descifra por el firewall .
- El firewall perfil de descifrado y los certificados utilizados para el descifrado parecen ser correctos.
- Esperamos que el tráfico de la zona de origen a la zona de destino debe coincidir con la regla de descifrado, pero los registros de tráfico no muestran que se descifró.
- Tampoco vemos que example.host.com de dominio agregados a la lista de exclusión de descifrado en GUI : Administración de certificados de > dispositivo > Exclusión de SSL descifrado
- Para solucionar problemas, consideramos lo siguiente firewall CLI en:
Mostrar configuración del sistema SSL-descifrar exclusión-caché
La exclusión-caché incluye las direcciones IP para example.host.com (98.115.16.231, 65.210.90.11) recuperadas de nslookup
VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No
- Después de configurar los filtros para el tráfico en el firewall también podemos mirar los contadores globales correspondientes:
show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache
Environment
- All PAN-OS
- Palo Alto firewall .
- SSL Descifrado configurado.
Cause
En la salida "show system setting ssl-decrypt exclude-cache", el "SSL_CLIENT_CERT" significa que el sitio está haciendo la autenticación de cliente basada en certificados.
A el certificado de cliente no se puede suplantar porque no se puede generar un certificado de cliente sobre la marcha que coincida con el CA solicitado por el servidor, por lo que lo firewall agrega a la caché de exclusión.
El contador global proxy_exclude_by_cache está incrementando porque el cliente envía un mensaje de verificación de certificado, que no soportamos
Resolution
El descifrado no es posible si un cliente que está iniciando una SSL conexión está utilizando certificados de cliente.
Additional Information
Discusión comunitaria en vivo: https://live.paloaltonetworks.com/t5/general-topics/ssl-decrypt-exclude-cache-ssl-client-cert/td-p/235152#