Cómo identificar un proxy de nube seguro está intentando realizar SSL el descifrado en la conexión segura al servicio en la Wildfire nube

Cómo identificar un proxy de nube seguro está intentando realizar SSL el descifrado en la conexión segura al servicio en la Wildfire nube

9219
Created On 03/15/22 03:27 AM - Last Modified 05/15/23 09:30 AM


Objective


Pasos para solucionar e identificar posibles problemas con 3rd party secure cloud services que pueden interrumpir las comunicaciones con el servicio en la Wildfire nube.

 

Environment


  • Palo Alto Firewall
  • Apoyado PAN-OS
  • Wildfire Nube

Procedure


  1. Verifique si los registros del sistema (mostrar registro del sistema) muestran conexiones fallidas a la Wildfire nube
Descripción.jpeg
 
  1. Del mismo modo, verifique si "mostrar wildfire estado" muestra problemas con la autenticación de certificados.

Captura de pantalla 2022-03-14 en 9.32.10 PM copia.jpeg

 

  1. Compruebe el "varrcvr.log" (> menos mp-log varrcvr.log) para ver si hay errores de certificado en el proxy web seguro.
  • PanOS se registra en la Wildfire nube mediante una HTTPS solicitud que incluye el certificado de cliente de PanOS y comprueba firewall el certificado de nube.
  • Si uno está ejecutando un servicio de proxy web seguro que puede realizar SSL el descifrado, entonces es posible que el proxy seguro esté intentando descifrar la comunicación segura de Palo Alto Networks firewall al servicio en la Wildfire nube.
  • Compruebe el archivo "varrcvr.log" para ver si el proxy web seguro del cliente está intentando realizar SSL el descifrado en la sesión segura en la Wildfire nube.
  • El archivo "varrcvr.log" registra la comunicación entre el y la firewall Wildfire nube.
> less mp-log varrcvr.log
2022-02-19 08:17:42.430 -0500
*******************************************************************************
************************* STARTING VARDATA RECEIVER ***************************
*******************************************************************************
2022-02-19 08:17:42.736 -0500 sysd worker[0]: 7fb7e28d3700: starting up...
2022-02-19 08:17:42.736 -0500 sysd worker[1]: 7fb7e24d2700: starting up...
2022-02-19 08:17:42.736 -0500 sysd worker[2]: 7fb7e20d1700: starting up... 
2022-02-19 08:17:42.737 -0500 sysd worker[3]: 7fb7e1cd0700: starting up...
2022-02-19 08:17:42.739 -0500 set curl memory functions 
2022-02-19 08:17:42.739 -0500 set openssl memory functions
2022-02-19 08:17:42.818 -0500 check disk /opt/panlogs/session/pan/dlp/ usage max 20971520
loading dlp key ... 
…
/Cisco
  • Cuando se usa el comando less, se puede escribir el carácter "/" y luego escribir un conjunto de caracteres coincidentes para localizar las líneas específicas que coinciden con los caracteres.
  • En este caso, el cliente tiene un Cisco Umbrella Proxy que está intentando descifrar la sesión segura en la Wildfire nube.

Captura de pantalla 2022-03-14 a las 10.01.49 PM copia.jpeg

 

  1. Una vez confirmado, incluya en la lista blanca los dominios asociados con la nube desde SSL la Wildfire inspección en el proxy seguro. Las siguientes URL deben estar en la "lista blanca" del descifrado a través de su servicio de SSL proxy en la nube.
  • panos..wildfire paloaltonetworks.com
  • wildfire.paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNNSCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language