07-13-2016 01:55 AM - 最終編集日: 04-23-2020 11:32 PM 、編集者: Hikaru
※この記事は以下の記事の日本語訳です。
SSL decrypt exclude cache and unsupported ECDHE cipher suites
https://live.paloaltonetworks.com/t5/Management-Articles/SSL-decrypt-exclude-cache-and-unsupported-E...
ウェブサイトまたは宛先が ECDHE SSL 暗号のみをサポートしている場合は、 SSL 復号化フォワードプロキシは動作しません。
これは、サポートされていない ECDHE 暗号スイートのためであり、フォワードプロキシ機能にサポートされていないことに起因します。
それでは、SSL 復号化フォワードプロキシ機能がサポートされていない SSL ECDHE 暗号スイートをどのように処理するかを見てみましょう。
SSLv3 はサポートされている SSL プロトコルの最小バージョンです。ただし、これはFIPS モードではサポートされません。
SSL 復号化除外キャッシュは設定されたパラメータと協調して機能します。
サーバーのURL/IP、アプリケーションおよび復号化プロファイルが除外キャッシュに入れられるのは:
復号化モードが "Block sessions with unsupported version" または "Block sessions with unsupported cipher suites" のチェックがない場合です。
この失敗はクライアント側よりもサーバ側に起因するものです。
これは、server hello またはサーバからの alert のいずれかに含まれます。
例:
PA-VM> show system setting ssl-decrypt exclude-cache
VSYS SERVER APP TIMEOUT REASON DECRYPTED_APP PROFILE
1 91.185.164.129:443 ssl 43186 SSL_UNSUPPORTED undecided Decrypt Stream
Palo Alto Networks ファイアウォールのコマンドラインからの上記の出力では:
VSYS: 1は、デフォルトの仮想システム1 ( VSYS1 )のIDです
SERVER: 91.185.164.129は、ウェブサイト/宛先ホストのIPアドレスです。
APP: sslは、 sslアプリケーションを反映しています
TIMEOUT: 43186は、キャッシュされたエントリのタイムアウト値の秒数です。最大キャッシュタイムアウトは12時間以上43200秒です
REASON--SSL_UNSUPPORTED: サポートされていないSSL暗号スイートを示唆しており、エントリが除外キャッシュ内にあることを意味します
DECRYPTED_APP: undecided はウェブサイトが復号されていなかったため、ファイアウォールは基本となるアプリケーションを知らない状態です
PROFILE: Decrypt Stream は、SSL復号化ポリシーで参照されている復号化プロファイルの名前です。
キャッシュは以下のCLIコマンドを使用して削除することができます::
PA-VM> debug dataplane reset ssl-decrypt exclude-cache
+ application application
+ server server address and port
例: debug dataplane reset ssl-decrypt exclude-cache application ssl server 91.185.164.129:443
詳細については、 SSL 復号化機能の強化をするための PAN-OS の新機能ガイドを参照してください。
New Features Guide
サポートされていないSSL暗号スーツの詳細については、この記事を参照してください: