未サポートのCipher Suitesにより、SSL復号化が正常に機能しない

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

SSL Decryption Not Working due to Unsupported Cipher Suites

https://live.paloaltonetworks.com/t5/Management-Articles/SSL-Decryption-Not-Working-due-to-Unsupport...

 

 

問題

インバウンドSSL復号を行うために必要な設定と必要となる全ての証明書をインポートしたにも関わらず、インバウンドSSL復号がウェブ サーバー上で正常に機能しません。

同様にSSL Forward Proxyを使った場合においても、セッションが復号化されずアプリケーションが"ssl"と表示され続けたり、アプリケーション"ssl"として許可されずにコネクションが中断されてしまったりします。

 

 

詳細
Palo Alto Networks Deviceでは、以下の5つのcipher suitesをサポートし復号化が可能です。

  1. RSA-AES256-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
  2. RSA-AES128-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
  3. RSA-3DES-EDE-CBC-SHA Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
  4. RSA-RC4-128-MD5 Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
  5. RSA-RC4-128-SHA Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)

 

 

以下のCLIコマンドを使用することによって、dropメッセージのタイプを見つけることができます。

> show counter global filter delta yes | match ssl_sess_id_resume_drop

 

PAN-OS 6.0以降では、show counter globalコマンドでcipher suitesが未サポートかどうか確認できます。

PCAPフィルターを適用し、delta(差分)カウンタを使用:

> show counter global filter packet-filter yes delta yes

or

> show counter global filter delta yes | match "ssl_server_cipher_not_supported"

 

...

...

ssl_server_cipher_not_supported 2 0 warn ssl pktproc The cipher chosen by server is not supported

 

 

解決方法

ウェブ サーバー上で未サポートのcipher suitesを無効にします。

注:PAN-OS 6.0から以下のcipher suitesが追加されTLS 1.2をサポートするようになっています。

 

PAN-OS 6.0

  • TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
  • TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

 

PAN-OS 7.0

  • TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
  • TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)

 

See Also

Palo Alto Networks Supported SSL/TLS Version and Cipher Suites for Web UI