비대칭 라우팅으로 SSL 세션 설정할 수 없는 클라이언트

비대칭 라우팅으로 SSL 세션 설정할 수 없는 클라이언트

13958
Created On 02/14/25 07:15 AM - Last Modified 10/30/25 06:12 AM


Symptom


  • 클라이언트가 비대칭 라우팅으로 SSL 세션 설정할 수 없습니다.
  • SSL 세션 만 영향을 받습니다. HTTP 세션 정상적으로 작동합니다.
  • 방화벽 클라이언트로부터 ACK 패킷을 전송하지 않습니다.

Environment


  • 플랫폼: 모든 PAN-OS 방화벽.
  • PAN-OS: 릴리스 PAN-247099가 수정되었습니다: 11.2.2, 11.1.5, 11.1.4-h4, 11.1.3-h2, 11.1.2-h9, 11.0.7, 10.2.11, 10.2.10-h2, 10.2.8-h10, 10.2.9-h9, 10.2.7-h11 이상.
  • 방화벽은 비대칭 라우팅을 통해 클라이언트에서 서버로 향하는 패킷만 수신합니다.
  • 클라이언트의 Hello가 여러 패킷으로 도착합니다.

Cause


  • PAN-247099 릴리스에서는 디폴트 으로 축적 프록시가 활성화되어 문제가 해결되었습니다.
  • 세션 에서 축적 프록시가 작동 중이면 방화벽 서버 Hello를 수신할 때까지 해제되지 않습니다.
  • 비대칭 라우팅을 사용하면 방화벽 축적 프록시가 해제될 때까지 클라이언트의 ACK 패킷을 전달하지 않습니다.
  • 해당 방화벽 에 복호화(decryption) 규칙 구성되어 있고 해당 세션 자체가 복호화되지 않은 경우에도 이런 문제가 발생합니다.

Resolution


  • 이 문제는 PAN-279500에서 다루어질 예정입니다.
  • 임시적인 회피 방법 방화벽 에서 축적 프록시를 비활성화하는 것입니다.
    > 디버그 데이터플레인 설정 ssl-decrypt accumulate-client-hello 비활성화 예
  • 또 다른 회피 방법 클라이언트 브라우저 에서 PQC를 비활성화하는 것입니다.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TperCAC&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language