SSL Proxy Logs
SSL Proxy Logs
SSL Proxy Logs
Quando o registro é habilitado em um SSalphaTable 1.
Descrição do tipo Syslog | |
---|---|
SSL_PROXY_SSL_SESSION_DROP |
Logs gerados quando uma sessão é retirada pelo proxy SSL. |
SSL_PROXY_SSL_SESSION_ALLOW |
Logs gerados quando uma sessão é processada pelo proxy SSL mesmo depois de encontrar alguns pequenos erros. |
SSL_PROXY_SESSION_IGNORE |
Logs gerados se sessões não SSL forem inicialmente confundidas como sessões de SSL. |
SSL_PROXY_SESSION_WHITELIST |
Logs gerados quando uma sessão é possibilitada. |
SSL_PROXY_ERROR |
Logs usados para relatar erros. |
SSL_PROXY_WARNING |
Logs usados para relatar avisos. |
SSL_PROXY_INFO |
Logs usados para relatar informações gerais. |
Você pode usar SSL_PROXY_SESSION_WHITELIST e SSL_PROXY_INFO logs para verificar os URLs logados. Exemplo:
For non-whitelisted session – SSL_PROXY_INFO [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="17" source-address="5.0.0.1" source-port="57558" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57558" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="NA" sni="www.facebook.com" url-category="NULL"]
For whitelisted session – SSL_PROXY_SESSION_WHITELIST [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="18" url="4.0.0.1" source-address="5.0.0.1" source-port="57560" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57560" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="session whitelisted url category match SNI www.youtube.com URL_CATEGORY CATEGORY-1"]
Verifique o System Log Explorer para obter mais detalhes.
Todos os registros contêm informações semelhantes conforme mostrado no exemplo a seguir (ordem real de aparição):
logical-system-name, session-id, source-ip-address, source-port, destination-ip-address,destination-port, nat-source-ip-address, nat-source-port, nat-destination-ip-address, nat-destination-port, proxy profile name, source-zone-name, source-interface-name, destination-zone-name,destination-interface-name, message
O message
campo contém o motivo da geração de log. Um dos três prefixos mostrados na Tabela 2 identifica a origem da mensagem. Outros campos são rotulados descritivamente.
Descrição | do prefixo |
---|---|
Sistema |
Logs gerados devido a erros relacionados ao dispositivo ou a uma ação tomada como parte do perfil de proxy SSL. A maioria dos logs se encaixa nessa categoria. |
erro de abertura |
Logs gerados durante o processo de handshaking se um erro for detectado pela biblioteca opensl. |
erro no certificado |
Logs gerados durante o processo de handshaking se um erro for detectado no certificado (erros relacionados x509). |
Registros de amostra:
Jun 1 05:11:13 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SSL_SESSION_DROP: lsys:root 23 < 203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443> ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:certificate error: self signed certificate
Esses logs capturam sessões que são retiradas pelo proxy SSL, e não por sessões marcadas por outros módulos que também usam serviços de proxy SSL.
Para SSL_PROXY_SESSION_WHITELIST mensagens, um campo adicional host
é incluído após o session-id
e contém o endereço IP do servidor ou domínio que foi permitido listado.
Jun 1 05:25:36 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SESSION_WHITELIST: lsys:root 24 host:192.0.2.1/443<203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443 > ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:system: session whitelisted
Habilitação de depuração e rastreamento para proxy SSL
O rastreamento de debug no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes pode ser habilitado para proxy SSL configurando a seguinte configuração:
user@host# set services ssl traceoptions file file-name
O proxy SSL é compatível com SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, dispositivos SRX5800 e instâncias vSRX. A Tabela 3 mostra os níveis suportados para opções de rastreamento.
Tipo de causa |
Descrição |
---|---|
Breve |
Apenas vestígios de erro no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes. |
Detalhe |
Mecanismo de encaminhamento de pacotes — somente os detalhes do evento até o aperto de mão devem ser rastreados. Mecanismo de roteamento — rastreamentos relacionados ao comprometimento. Nenhum vestígio periódico no mecanismo de roteamento estará disponível |
Extensa |
Mecanismo de encaminhamento de pacotes — resumo da transferência de dados disponível. Mecanismo de roteamento — rastreamentos relacionados ao comprometimento (mais extenso). Não haverá rastreamentos periódicos no mecanismo de roteamento. |
Verbose |
Todos os vestígios estão disponíveis. |
A Tabela 4 mostra as bandeiras que são apoiadas.
Tipo de causa |
Descrição |
---|---|
configuração de cli |
Somente rastreamentos relacionados à configuração. |
Iniciação |
Habilite o rastreamento no plug-in SSL-I. |
Proxy |
Habilite o rastreamento no plug-in SSL-Proxy-Policy. |
Terminação |
Habilite o rastreamento no plug-in SSL-T. |
perfil selecionado |
Habilite o rastreamento apenas para perfis que se definiram enable-flow-tracing . |
Você pode habilitar logs no perfil de proxy SSL para chegar à causa raiz da queda. Os erros a seguir são alguns dos mais comuns:
Erro de validação de certificação de servidor. Verifique a configuração de CA confiável para verificar sua configuração.
Falhas no sistema, como falhas de alocação de memória.
Cifras não batem.
As versões SSL não correspondem.
As opções de SSL não são compatíveis.
O CA raiz expirou. Você precisa carregar um novo CA raiz.
Você pode habilitar a opção ignore-server-auth-failure no perfil de proxy SSL para garantir que a validação do certificado, as datas de expiração do CA raiz e outros problemas desse tipo sejam ignorados. Se as sessões forem inspecionadas após a opção ignore-server-auth-failure ser ativada, o problema será localizado.