AUF DIESER SEITE
SSL-Proxy-Protokolle
SSL-Proxy-Protokolle
SSL-Proxy-Protokolle
Wenn die Protokollierung in einer SSalpha-Tabelle1 aktiviert ist.
| Beschreibung des Syslog-Typs | |
|---|---|
SSL_PROXY_SSL_SESSION_DROP |
Protokolle, die generiert werden, wenn eine Sitzung vom SSL-Proxy unterbrochen wird. |
SSL_PROXY_SSL_SESSION_ALLOW |
Protokolle, die generiert werden, wenn eine Sitzung vom SSL-Proxy verarbeitet wird, auch wenn kleinere Fehler aufgetreten sind. |
SSL_PROXY_SESSION_IGNORE |
Protokolle, die generiert werden, wenn Nicht-SSL-Sitzungen zunächst als SSL-Sitzungen verwechselt werden. |
SSL_PROXY_SESSION_WHITELIST |
Protokolle, die generiert werden, wenn eine Sitzung zugelassen wird. |
SSL_PROXY_ERROR |
Protokolle, die für die Meldung von Fehlern verwendet werden. |
SSL_PROXY_WARNING |
Protokolle, die für die Meldung von Warnungen verwendet werden. |
SSL_PROXY_INFO |
Protokolle, die für die Meldung allgemeiner Informationen verwendet werden. |
Sie können SSL_PROXY_SESSION_WHITELIST verwenden und Protokolle SSL_PROXY_INFO, um die angemeldeten URLs zu überprüfen. Beispiel:
For non-whitelisted session – SSL_PROXY_INFO [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="17" source-address="5.0.0.1" source-port="57558" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57558" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="NA" sni="www.facebook.com" url-category="NULL"]
For whitelisted session – SSL_PROXY_SESSION_WHITELIST [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="18" url="4.0.0.1" source-address="5.0.0.1" source-port="57560" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57560" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="session whitelisted url category match SNI www.youtube.com URL_CATEGORY CATEGORY-1"]
Weitere Informationen finden Sie im Systemprotokoll-Explorer .
Alle Protokolle enthalten ähnliche Informationen, wie im folgenden Beispiel gezeigt (tatsächliche Reihenfolge der Darstellung):
logical-system-name, session-id, source-ip-address, source-port, destination-ip-address,destination-port, nat-source-ip-address, nat-source-port, nat-destination-ip-address, nat-destination-port, proxy profile name, source-zone-name, source-interface-name, destination-zone-name,destination-interface-name, message
Das message Feld enthält den Grund für die Protokollgenerierung. Eines der drei in Tabelle 2 dargestellten Präfixe identifiziert die Quelle der Nachricht. Andere Felder sind deskriptiv gekennzeichnet.
| Präfixbeschreibung | |
|---|---|
System |
Protokolle, die aufgrund von Fehlern im Zusammenhang mit dem Gerät oder einer Aktion im Rahmen des SSL-Proxyprofils generiert werden. Die meisten Protokolle fallen in diese Kategorie. |
Openssl-Fehler |
Protokolle, die während des Handshaking-Prozesses generiert werden, wenn ein Fehler von der openssl-Bibliothek erkannt wird. |
Zertifikatsfehler |
Protokolle, die während des Handshaking-Prozesses generiert werden, wenn ein Fehler im Zertifikat erkannt wird (x509-ähnliche Fehler). |
Beispielprotokolle:
Jun 1 05:11:13 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SSL_SESSION_DROP: lsys:root 23 < 203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443> ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:certificate error: self signed certificate
Diese Protokolle erfassen Sitzungen, die vom SSL-Proxy gelöscht werden, nicht Sitzungen, die von anderen Modulen markiert sind, die auch SSL-Proxy-Services verwenden.
Für SSL_PROXY_SESSION_WHITELIST Nachrichten wird nach der session-id Ip-Adresse des Servers oder der Domäne, die zugelassen wurde, ein zusätzliches host Feld eingefügt.
Jun 1 05:25:36 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SESSION_WHITELIST: lsys:root 24 host:192.0.2.1/443<203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443 > ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:system: session whitelisted
Aktivieren von Debugging und Tracing für SSL-Proxy
Die Debug-Ablaufverfolgung sowohl für die Routing-Engine als auch für die Packet Forwarding Engine kann für den SSL-Proxy aktiviert werden, indem Sie die folgende Konfiguration festlegen:
user@host# set services ssl traceoptions file file-name
SSL-Proxy wird auf SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800-Geräten und vSRX-Instanzen unterstützt. Tabelle 3 zeigt die unterstützten Ebenen für Trace-Optionen.
Ursachentyp |
Beschreibung |
|---|---|
Kurze |
Nur Fehlerverfolgungen auf der Routing-Engine und der Packet Forwarding Engine. |
Detail |
Packet Forwarding Engine: Nur Ereignisdetails bis zum Handshake sollten zurückverfolgt werden. Routing-Engine– Ablaufverfolgungen im Zusammenhang mit Commit. Es sind keine regelmäßigen Spuren auf der Routing-Engine verfügbar. |
Umfangreiche |
Packet Forwarding Engine – Zusammenfassung der Datenübertragung verfügbar. Routing-Engine– Ablaufverfolgungen im Zusammenhang mit Commit (ausführlicher). Es sind keine regelmäßigen Spuren auf der Routing-Engine verfügbar. |
Ausführliche |
Alle Spuren sind verfügbar. |
Tabelle 4 zeigt die unterstützten Flags.
Ursachentyp |
Beschreibung |
|---|---|
CLI-Konfiguration |
Nur konfigurationsbezogene Ablaufverfolgungen. |
Einleitung |
Aktivieren Sie die Ablaufverfolgung im SSL-I-Plug-In. |
Proxy |
Aktivieren Sie die Ablaufverfolgung im SSL-Proxy-Policy-Plug-In. |
Beendigung |
Aktivieren Sie die Ablaufverfolgung für das SSL-T-Plug-In. |
ausgewähltes Profil |
Aktivieren Sie die Ablaufverfolgung nur für Profile, die festgelegt sind enable-flow-tracing . |
Sie können Protokolle im SSL-Proxyprofil aktivieren, um die Ursache für den Ausfall zu erhalten. Die folgenden Fehler gehören zu den häufigsten:
Fehler bei der Serverzertifizierungsvalidierung. Überprüfen Sie die Konfiguration der vertrauenswürdigen Zertifizierungsstelle, um Ihre Konfiguration zu überprüfen.
Systemausfälle wie z. B. Fehler bei der Speicherzuweisung.
Ciphers stimmen nicht überein.
SSL-Versionen stimmen nicht überein.
SSL-Optionen werden nicht unterstützt.
Root CA ist abgelaufen. Sie müssen eine neue Root-CA laden.
Sie können die ignore-server-auth-failure Option im SSL-Proxyprofil aktivieren, um sicherzustellen, dass die Zertifikatsprüfung, das Ablaufdatum der Stammzertifizierungsstelle und andere solche Probleme ignoriert werden. Wenn Sitzungen überprüft werden, nachdem die ignore-server-auth-failure Option aktiviert wurde, wird das Problem lokalisiert.