Trafic non décrypté pour les sessions à SSL l’aide de certificats clients.
19687
Created On 07/16/20 19:01 PM - Last Modified 03/26/21 18:30 PM
Symptom
URL example.host.com n’est pas décrypté par le firewall .
- Le firewall profil de décryptage et les certificats utilisés pour le décryptage semblent corrects.
- Nous nous attendons à ce que le trafic de la zone source à la zone de destination corresponde à la règle de décryptage, mais les journaux de trafic ne montrent pas qu’il a été décrypté.
- Nous ne voyons pas non plus ce domaine example.host.com ajouté à la liste d’exclusion de décryptage sur : Device > Certificate Management > Exclusion GUI de SSL décryptage
- Pour dépanner plus loin, nous regardons ce qui suit sur le firewall CLI :
afficher le paramètre système SSL-décrypter exclure-cache
Le cache exclu inclut les adresses IP pour example.host.com (98.115.16.231, 65.210.90.11) récupérées à partir de nslookup
VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE EXCLUSION_LIST_MATCH
1 65.210.90.11:443 ssl 9185 SSL_CLIENT_CERT undecided THD-Decryption-profile No
1 98.115.16.231:443 ssl 4002 SSL_CLIENT_CERT undecided THD-Decryption-profile No
- Après la mise en place des filtres pour le trafic sur firewall le nous pouvons également regarder les compteurs mondiaux correspondants:
show counter global | match proxy
proxy_exclude_by_cache 11009 0 info proxy pktproc Number of ssl sessions bypassed proxy because of exclusion cache
Environment
- Unll PAN-OS
- Palo Alto firewall .
- SSL Décryptage configuré.
Cause
Dans la sortie "afficher le système de réglage ssl-décrypte exclude-cache« , le" SSL_CLIENT_CERT" signifie que le site fait l’authentification client basée sur un certificat.
A certificat client ne peut pas être usurpé parce que vous ne pouvez pas générer un certificat client à la volée qui correspond à la demande du CA serveur, de sorte que firewall l’ajoute au cache exclure.
La contre-proxy_exclude_by_cache mondiale est incrémente parce que le client envoie un message de vérification de certificat, que nous ne soutenons pas
Resolution
Le décryptage n’est pas possible si un client qui lance une SSL connexion utilise des certificats clients.
Additional Information
Discussion communautaire en direct : https://live.paloaltonetworks.com/t5/general-topics/ssl-decrypt-exclude-cache-ssl-client-cert/td-p/235152#