I min presentasjon om tips og triks under Palo Alto Networks brukerforum 25. november, snakket jeg om hvordan man kan fjerne noen av utfordringene med SSL dekryptering når ting slutter å fungere.
Ved hjelp av Log Forwarding kan man filtrere ut sesjoner som feiler med følgende årsaker:
- session_end_reason eq decrypt-error
- session_end_reason eq decrypt-cert-validation
Disse kan behandles forskjellig, som jeg skal vise nedenfor.
Først lages Log Forwarding konfigurasjon:
På denne måten legger man automatisk IP adressene man prøver å kommunisere med, men som feiler, inn i en Dynamic Address Group, som kan brukes i regelsettet:
Og slik blir Decryption policies:
Her ser man et eksempel på hva som skjer. Først feiler en sesjon, så vil TAG og DAG fikse det slik at neste sesjon fungerer:
Vi håper dette er behjelpelig, og at enda flere vil starte med SSL Forward Proxy. Start med noe. Start med noen få brukere. Bygg stein for stein, og spør oss om hjelp ved behov.
