So erkennen Sie, dass ein sicherer Cloud-Proxy versucht, die sichere Verbindung zum Wildfire Cloud-Dienst zu entschlüsseln SSL

So erkennen Sie, dass ein sicherer Cloud-Proxy versucht, die sichere Verbindung zum Wildfire Cloud-Dienst zu entschlüsseln SSL

9219
Created On 03/15/22 03:27 AM - Last Modified 05/15/23 09:16 AM


Objective


Schritte zur Fehlerbehebung und Identifizierung potenzieller Probleme mit 3rd Party Secure cloud services , die die Kommunikation mit dem Wildfire Cloud-Dienst stören können.

 

Environment


  • Palo Alto Firewall
  • Unterstützt PAN-OS
  • Wildfire Cloud

Procedure


  1. Überprüfen Sie, ob Systemprotokolle (Protokollsystem anzeigen) fehlgeschlagene Verbindungen zur Wildfire Cloud anzeigen
Beschreibung.jpeg
 
  1. Überprüfen Sie in ähnlicher Weise, ob "Status anzeigen" Probleme mit der Zertifikatsauthentifizierung anzeigenwildfire.

Screenshot 2022-03-14 bei 9.32.10 PM Kopie.jpeg

 

  1. Überprüfen Sie die Datei "varrcvr.log" (> weniger mp-log varrcvr.log) auf Zertifikatsfehler für den sicheren Web-Proxy.
  • PanOS registriert sich bei der Wildfire Cloud mit einer HTTPS Anforderung, die das PanOS-Clientzertifikat enthält und firewall das Cloud-Zertifikat überprüft.
  • Wenn ein sicherer Web-Proxy-Dienst ausgeführt wird, der die Entschlüsselung durchführen SSL kann, ist es möglich, dass ein sicherer Proxy versucht, die sichere Kommunikation von den Palo Alto-Netzwerken firewall zum Wildfire Cloud-Dienst zu entschlüsseln.
  • Überprüfen Sie die Datei "varrcvr.log", um festzustellen, ob der sichere Web-Proxy des Kunden versucht, die Entschlüsselung für die sichere Sitzung mit der Wildfire Cloud durchzuführenSSL.
  • Die Datei "varrcvr.log" protokolliert die Kommunikation zwischen der und der firewall Wildfire Cloud.
> less mp-log varrcvr.log
2022-02-19 08:17:42.430 -0500
*******************************************************************************
************************* STARTING VARDATA RECEIVER ***************************
*******************************************************************************
2022-02-19 08:17:42.736 -0500 sysd worker[0]: 7fb7e28d3700: starting up...
2022-02-19 08:17:42.736 -0500 sysd worker[1]: 7fb7e24d2700: starting up...
2022-02-19 08:17:42.736 -0500 sysd worker[2]: 7fb7e20d1700: starting up... 
2022-02-19 08:17:42.737 -0500 sysd worker[3]: 7fb7e1cd0700: starting up...
2022-02-19 08:17:42.739 -0500 set curl memory functions 
2022-02-19 08:17:42.739 -0500 set openssl memory functions
2022-02-19 08:17:42.818 -0500 check disk /opt/panlogs/session/pan/dlp/ usage max 20971520
loading dlp key ... 
…
/Cisco
  • Wenn Sie den Befehl less verwenden, können Sie das Zeichen "/" eingeben und dann eine Reihe übereinstimmender Zeichen eingeben, um die spezifischen Zeilen zu finden, die mit den Zeichen übereinstimmen.
  • In diesem Fall verfügt der Kunde über einen Cisco Umbrella Proxy, der versucht, die sichere Sitzung in der Wildfire Cloud zu entschlüsseln

Screenshot 2022-03-14 um 10.01.49 PM kopieren.jpeg

 

  1. Setzen Sie nach der Bestätigung die Domains, die der Cloud zugeordnet sind, auf die Wildfire Whitelist von SSL Inspection im sicheren Proxy. Die folgenden URLs müssen von SSL der Entschlüsselung über ihren Cloud-Proxy-Dienst auf die "Whitelist" gesetzt werden.
  • Panos..wildfire paloaltonetworks.com
  • wildfire.paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNNSCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language