Pourquoi le trafic est supprimé comme « Profil client et décryptage dépareillé »
17636
Created On 10/09/20 23:27 PM - Last Modified 03/26/21 18:41 PM
Question
Le trafic est supprimé avec une erreur comme « Profil client et décryptage dépareillé »; Qu’est-ce que cette erreur, et comment I peut la corriger?
Environment
Tous PAN-OS
Answer
Réponse: La principale raison de « Client et décryptage profil inadéquation » est l’inadéquation de la version de suite de chiffrement. Vous pouvez filtrer ces journaux à l’aide de l’erreur de requête contenant « Client et décrypter l’inadéquation du profil » dans Monitor -> Logs->Décryptage. Les journaux seront les suivants :
Client and Decryption profile mismatched, supported client version bitmask is 0x08 and supported decryption profile bit mask is 0x70
Cette erreur se produit lorsque le chiffrement offert par le serveur ne correspond pas au client.Les codes hexadecimal identifient la version exacte que le client prend en charge et la version exacte que le profil de décryptage prend en charge.
Identifiez la valeur du masque à bits :
- Connectez-vous CLI pour rechercher les valeurs bitmask.
admin@PA> debug dataplane show ssl-decrypt bitmask-version 0x70 TLSv1.1 TLSv1.2 TLSv1.3 admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x08 TLSv1.0 admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x10 TLSv1.1Question: Comment pouvons-nous le réparer?
Réponse: Après avoir trouvé l’inadéquation, vous pouvez mettre à jour le client afin qu’il puisse accepter l’appariement et sécuriser TLS la version. Si le client ne peut pas être mis à jour, vous pouvez modifier le profil de décryptage.
Plus d’informations peuvent être trouvées https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/decryption/troubleshoot-and-monitor-decryption/decryption-troubleshooting-workflow-examples/troubleshoot-unsupported-cipher-suites.html