Palo Alto Firewall は、PAN-OS を 10.2 にアップグレードした後、Panorama またはログ コレクターにログを送信できません。

Palo Alto Firewall は、PAN-OS を 10.2 にアップグレードした後、Panorama またはログ コレクターにログを送信できません。

3882
Created On 11/20/23 02:54 AM - Last Modified 06/19/25 03:14 AM


Symptom


  • ファイアウォールのPAN-OSが10.2+にアップグレードされました
  • ファイアウォールの>show logging-statusは、Panorama/LCへの接続が非アクティブであり、ログが転送されていないことを示します。
  • パケットキャプチャは、TCP 3ウェイハンドシェイクが完了し、クライアントHelloがFWによって送信され、パノラマで受信されたことを示しています。
  • ただし、Panorama によって送信された Server Hello はファイアウォールで受信されません。
  • その後、ファイアウォールは接続をリセットします。

Environment


  • PAN-OS 10.2+のパノラマ
  • ファイアウォールが PAN-OS 10.2+ にアップグレードされました
  • Panorama にログを送信するように設定されたファイアウォール
  • ファイアウォールとパノラマの間の中間ファイアウォールで、セキュリティルールのポート3978でアプリケーションパノラマを許可します。

Cause


  • PAN-OS を 10.2 にアップグレードすると、FW と Panorama 間の通信は TLSv1.3 を使用して開始されます。
  • したがって、この通信は、PAN-OS 10.1以前の「panorama/3978」ではなく、10.2+では「SSL/3978」として識別されます。
  • パス内の中間 PA-FW の既存のセキュリティ ルールでは、3978 のアプリケーション「SSL」ではなく、アプリケーション「パノラマ」が許可されます。
  • したがって、中間 FW は Server Hello でトラフィックをブロックします。

Resolution


  1. 中間ファイアウォールで、ポート 3978 でアプリケーション「SSL」を許可するようにセキュリティ規則を変更または構成します。
  2. 設定をコミットします

Additional Information


ポート 3978 のトラフィックが Panorama アプリケーションではなく SSL アプリケーションとして識別されるのはなぜですか?

参照のためのPcaps: 
FW pcaps :
13:58:09.954344 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,TS val 1871328907 ecr 0,nop,wscale 7], length 0
13:58:09.954737 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954760 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955314 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956098 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958796 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [R.], seq 1, ack 387, win 119, length 0
  
Panorama pcaps :
13:58:09.954601 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 7], length 0
13:58:09.954645 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954812 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955982 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956012 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958136 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [P.], seq 1:2545, ack 387, win 119, length 2544. <<<<<<<<<< Server Hello not reaching the FW
13:58:09.958811 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [R.], seq 387, ack 1461, win 119, length 0

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCiCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language