SSL復号化除外キャッシュとサポートされない ECDHE 暗号スイート

※この記事は以下の記事の日本語訳です。
SSL decrypt exclude cache and unsupported ECDHE cipher suites
https://live.paloaltonetworks.com/t5/Management-Articles/SSL-decrypt-exclude-cache-and-unsupported-E...

ウェブサイトまたは宛先が ECDHE SSL 暗号のみをサポートしている場合は、 SSL 復号化フォワードプロキシは動作しません。
これは、サポートされていない ECDHE 暗号スイートのためであり、フォワードプロキシ機能にサポートされていないことに起因します。

それでは、SSL 復号化フォワードプロキシ機能がサポートされていない SSL ECDHE 暗号スイートをどのように処理するかを見てみましょう。

• クライアントは、ウェブサイトまたは宛先ホストに SSL hello を送信します。client hello には ECDHE 暗号スイートを含むサポートするすべてのSSL暗号スイートが含まれています。Palo Alto Networks のファイアウォールは、client hello パケットを傍受し、このリストからサポートされている暗号を選択し（ECDHEのものを削除）、SSL client hello を再作製しWebサイトへ中継します。
• ウェブサイトまたは宛先ホストは、もし非ECDHE暗号をサポートしていない場合、SSL HANDSHAKE failure： error code 40- unsupported ciphers を返します。
• この 'SSL HANDSHAKE failure: error code 40 - unsupported ciphers' を含むパケットは、ウェブサイトまたは宛先ホストが提案されているSSL暗号スイートをサポートしていないことを Palo Alto Networks ファイアウォールが知るためのトリガです。Palo Alto Networks のファイアウォールは、このウェブサイトのための復号化を断念し、SSL 復号化除外キャッシュへ追加します。
• 以降、Palo Alto Networks ファイアウォールではこの Web サイトまたは宛先ホスト宛の以降の接続をプロキシしません。
• SSL 復号化除外キャッシュのライフタイムは12時間です。それは復号化ポリシーに変化がない限り継続します。
• 受信と送信の段階でファイアウォール上の別のパケットキャプチャを収集しそれらを比較すると、Palo Alto Networks のファイアウォールの背後にある実際のクライアントの client hello が提案しているSSL 暗号と、ファイアウォールによって転送されたパケットのそれが同じであることを見ることができます。つまり、 SSL 復号化フォワードプロキシがバイパスされています。

PAN-OS 7.0.1からとそれ以降

SSLv3 はサポートされている SSL プロトコルの最小バージョンです。ただし、これはFIPS モードではサポートされません。
SSL 復号化除外キャッシュは設定されたパラメータと協調して機能します。

サーバーのURL/IP、アプリケーションおよび復号化プロファイルが除外キャッシュに入れられるのは:
復号化モードが "Block sessions with unsupported version" または "Block sessions with unsupported cipher suites" のチェックがない場合です。
この失敗はクライアント側よりもサーバ側に起因するものです。

これは、server hello またはサーバからの alert のいずれかに含まれます。

例:
PA-VM> show system setting ssl-decrypt exclude-cache

VSYS    SERVER                     APP    TIMEOUT      REASON                             DECRYPTED_APP      PROFILE
1            91.185.164.129:443    ssl       43186            SSL_UNSUPPORTED        undecided                    Decrypt Stream

Palo Alto Networks ファイアウォールのコマンドラインからの上記の出力では：
VSYS: 1は、デフォルトの仮想システム1 （ VSYS1 ）のIDです
SERVER: 91.185.164.129は、ウェブサイト/宛先ホストのIPアドレスです。

APP: sslは、 sslアプリケーションを反映しています

TIMEOUT: 43186は、キャッシュされたエントリのタイムアウト値の秒数です。最大キャッシュタイムアウトは12時間以上43200秒です
REASON--SSL_UNSUPPORTED: サポートされていないSSL暗号スイートを示唆しており、エントリが除外キャッシュ内にあることを意味します
DECRYPTED_APP: undecided はウェブサイトが復号されていなかったため、ファイアウォールは基本となるアプリケーションを知らない状態です

PROFILE: Decrypt Stream は、SSL復号化ポリシーで参照されている復号化プロファイルの名前です。

キャッシュは以下のCLIコマンドを使用して削除することができます：:
PA-VM> debug dataplane reset ssl-decrypt exclude-cache
+ application       application
+ server server   address and port
例: debug dataplane reset ssl-decrypt exclude-cache application ssl server 91.185.164.129:443

詳細については、 SSL 復号化機能の強化をするための PAN-OS の新機能ガイドを参照してください。
New Features Guide

サポートされていないSSL暗号スーツの詳細については、この記事を参照してください：

Unsupported SSL cipher suites for Decryption