未サポートのCipher Suitesにより、SSL復号化が正常に機能しない

ymiyashita · ‎04-03-2016

※この記事は以下の記事の日本語訳です。

SSL Decryption Not Working due to Unsupported Cipher Suites

インバウンドSSL復号を行うために必要な設定と必要となる全ての証明書をインポートしたにも関わらず、インバウンドSSL復号がウェブサーバー上で正常に機能しません。

同様にSSL Forward Proxyを使った場合においても、セッションが復号化されずアプリケーションが"ssl"と表示され続けたり、アプリケーション"ssl"として許可されずにコネクションが中断されてしまったりします。

RSA-AES256-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
RSA-AES128-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
RSA-3DES-EDE-CBC-SHA Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
RSA-RC4-128-MD5 Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
RSA-RC4-128-SHA Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)

以下のCLIコマンドを使用することによって、dropメッセージのタイプを見つけることができます。

> show counter global filter delta yes | match ssl_sess_id_resume_drop

PAN-OS 6.0以降では、show counter globalコマンドでcipher suitesが未サポートかどうか確認できます。

PCAPフィルターを適用し、delta（差分）カウンタを使用：

> show counter global filter packet-filter yes delta yes

or

> show counter global filter delta yes | match "ssl_server_cipher_not_supported"

...

ssl_server_cipher_not_supported 2 0 warn ssl pktproc The cipher chosen by server is not supported

ウェブサーバー上で未サポートのcipher suitesを無効にします。

注：PAN-OS 6.0から以下のcipher suitesが追加されTLS 1.2をサポートするようになっています。

PAN-OS 6.0

PAN-OS 7.0