Comment identifier un proxy cloud sécurisé tente d’effectuer SSL un déchiffrement sur la connexion sécurisée au Wildfire service cloud

Comment identifier un proxy cloud sécurisé tente d’effectuer SSL un déchiffrement sur la connexion sécurisée au Wildfire service cloud

9223
Created On 03/15/22 03:27 AM - Last Modified 05/15/23 09:17 AM


Objective


Étapes pour dépanner et identifier les problèmes potentiels avec 3rd party secure cloud services qui peuvent perturber les communications avec le Wildfire service Cloud.

 

Environment


  • Palo Alto (Palo Alto) Firewall
  • Soutenu PAN-OS
  • Wildfire Nuage

Procedure


  1. Vérifier si les journaux système (afficher le système de journalisation) affichent les Wildfire connexions au Cloud ayant échoué
Descriptif .jpeg
 
  1. De même, vérifiez si « show wildfire status » affiche des problèmes avec l’authentification par certificat.

Capture d’écran 2022-03-14 à 9.32.10 PM copie.jpeg

 

  1. Vérifiez le « varrcvr.log » (> moins mp-log varrcvr.log) pour les erreurs de certificat au proxy Web sécurisé.
  • PanOS s’enregistre auprès du Cloud à l’aide Wildfire d’une HTTPS requête qui inclut le certificat client PanOS et vérifie firewall le certificat Cloud.
  • Si l’on exécute un service de proxy Web sécurisé capable d’effectuer SSL le décryptage, il est possible que le proxy sécurisé tente de déchiffrer la communication sécurisée entre Palo Alto Networks firewall et le Wildfire service Cloud.
  • Vérifiez le fichier « varrcvr.log » pour voir si le proxy Web sécurisé du client tente d’effectuer SSL le déchiffrement sur la session sécurisée vers le Wildfire cloud.
  • Le fichier « varrcvr.log » enregistre la communication entre le et le firewall Wildfire Cloud.
> less mp-log varrcvr.log
2022-02-19 08:17:42.430 -0500
*******************************************************************************
************************* STARTING VARDATA RECEIVER ***************************
*******************************************************************************
2022-02-19 08:17:42.736 -0500 sysd worker[0]: 7fb7e28d3700: starting up...
2022-02-19 08:17:42.736 -0500 sysd worker[1]: 7fb7e24d2700: starting up...
2022-02-19 08:17:42.736 -0500 sysd worker[2]: 7fb7e20d1700: starting up... 
2022-02-19 08:17:42.737 -0500 sysd worker[3]: 7fb7e1cd0700: starting up...
2022-02-19 08:17:42.739 -0500 set curl memory functions 
2022-02-19 08:17:42.739 -0500 set openssl memory functions
2022-02-19 08:17:42.818 -0500 check disk /opt/panlogs/session/pan/dlp/ usage max 20971520
loading dlp key ... 
…
/Cisco
  • Lorsque vous utilisez la commande less, on peut taper le caractère « / », puis taper un ensemble de caractères correspondants pour localiser les lignes spécifiques qui correspondent aux caractères.
  • Dans ce cas, le client dispose d’un Cisco Umbrella Proxy qui tente de déchiffrer la session sécurisée vers le Wildfire Cloud

Capture d’écran 2022-03-14 à 10.01.49 PM copie.jpeg

 

  1. Une fois confirmé, mettez en liste blanche les domaines associés au Cloud de l’inspection Wildfire SSL dans le proxy sécurisé. Les URL suivantes doivent être « mises sur liste blanche » contre le SSL déchiffrement via leur service proxy cloud.
  • panos..wildfire paloaltonetworks.com
  • wildfire.paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNNSCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language