Warum Datenverkehr als "Client- und Entschlüsselungsprofil nicht übereinstimmend" gelöscht wird
17632
Created On 10/09/20 23:27 PM - Last Modified 03/26/21 18:41 PM
Question
Der Datenverkehr wird mit einem Fehler als "Client- und Entschlüsselungsprofil nicht übereinstimmend" gelöscht. Was ist dieser Fehler, und wie kann I er behoben werden?
Environment
Alle PAN-OS
Answer
Antwort: Der Hauptgrund für "Client and Decryption profile mismatch" ist die Missverhältnis der Verschlüsselungssuite." Sie können solche Protokolle mithilfe des Abfragefehlers mit "Client- und Entschlüsselungsprofilkonflikt" in Monitor -> Logs->Decryption herausfiltern. Die Protokolle sehen wie folgt aus:
Client and Decryption profile mismatched, supported client version bitmask is 0x08 and supported decryption profile bit mask is 0x70
Dieser Fehler tritt auf, wenn die vom Server angebotene Verschlüsselung nicht mit dem Client übereinstimmt.Die hexadezimalen Codes identifizieren die genaue Version, die der Client unterstützt, und die genaue Version, die das Entschlüsselungsprofil unterstützt.
Identifizieren Sie den Wert von Bitmaske:
- Melden Sie sich CLI an, um die Bitmaskenwerte nachzuschlagen.
admin@PA> debug dataplane show ssl-decrypt bitmask-version 0x70 TLSv1.1 TLSv1.2 TLSv1.3 admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x08 TLSv1.0 admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x10 TLSv1.1Frage: Wie können wir es beheben?
Antwort: Nachdem Sie die Nichtübereinstimmung gefunden haben, können Sie den Client aktualisieren, damit er den Abgleich akzeptieren und die Version sichern TLS kann. Wenn der Client nicht aktualisiert werden kann, können Sie das Entschlüsselungsprofil bearbeiten.
Weitere Informationen finden Sie unter https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/decryption/troubleshoot-and-monitor-decryption/decryption-troubleshooting-workflow-examples/troubleshoot-unsupported-cipher-suites.html