「クライアントと復号化プロファイルが一致しない」としてトラフィックがドロップされた理由

「クライアントと復号化プロファイルが一致しない」としてトラフィックがドロップされた理由

17622
Created On 10/09/20 23:27 PM - Last Modified 03/26/21 18:42 PM


Question


トラフィックは「クライアントと復号化プロファイルが一致しない」というエラーでドロップされます。このエラーは何ですか、どのように I それを修正することができますか?

Environment


すべての PAN-OS 

Answer


答え:「クライアントと復号化プロファイルの不一致」の主な理由は、暗号スイートのバージョンの不一致です。 このようなログは、モニター -> Logs-Decryption の 「クライアントと復号プロファイルの不一致」 を含むクエリ エラー >を使用して除外できます。 ログは次のようになります。

Client and Decryption profile mismatched, 
supported client version bitmask is 0x08 and supported decryption profile bit mask is 0x70

このエラーは、サーバーによって提供される暗号がクライアントと一致しない場合に発生します。16 進コードは、クライアントがサポートする正確なバージョンと、Decryption プロファイルがサポートする正確なバージョンを識別します。

ビットマスクの値を識別します。

  • にログイン CLI してビットマスクの値を検索します。
admin@PA> debug dataplane show ssl-decrypt bitmask-version 0x70
TLSv1.1
TLSv1.2
TLSv1.3

admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x08
TLSv1.0

admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x10
TLSv1.1
質問:どのように我々はそれを修正することができますか?
答え:不一致が見つかったので、クライアントを更新して、一致を受け入れてバージョンを保護することができます TLS 。 クライアントを更新できない場合は、暗号化解除プロファイルを編集できます。
詳細については、https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/decryption/troubleshoot-and-monitor-decryption/decryption-troubleshooting-workflow-examples/troubleshoot-unsupported-cipher-suites.html
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HB8bCAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language