「クライアントと復号化プロファイルが一致しない」としてトラフィックがドロップされた理由
17622
Created On 10/09/20 23:27 PM - Last Modified 03/26/21 18:42 PM
Question
トラフィックは「クライアントと復号化プロファイルが一致しない」というエラーでドロップされます。このエラーは何ですか、どのように I それを修正することができますか?
Environment
すべての PAN-OS
Answer
答え:「クライアントと復号化プロファイルの不一致」の主な理由は、暗号スイートのバージョンの不一致です。 このようなログは、モニター -> Logs-Decryption の 「クライアントと復号プロファイルの不一致」 を含むクエリ エラー >を使用して除外できます。 ログは次のようになります。
Client and Decryption profile mismatched, supported client version bitmask is 0x08 and supported decryption profile bit mask is 0x70
このエラーは、サーバーによって提供される暗号がクライアントと一致しない場合に発生します。16 進コードは、クライアントがサポートする正確なバージョンと、Decryption プロファイルがサポートする正確なバージョンを識別します。
ビットマスクの値を識別します。
- にログイン CLI してビットマスクの値を検索します。
admin@PA> debug dataplane show ssl-decrypt bitmask-version 0x70 TLSv1.1 TLSv1.2 TLSv1.3 admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x08 TLSv1.0 admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x10 TLSv1.1質問:どのように我々はそれを修正することができますか?
答え:不一致が見つかったので、クライアントを更新して、一致を受け入れてバージョンを保護することができます TLS 。 クライアントを更新できない場合は、暗号化解除プロファイルを編集できます。
詳細については、https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/decryption/troubleshoot-and-monitor-decryption/decryption-troubleshooting-workflow-examples/troubleshoot-unsupported-cipher-suites.html