Registros de proxy SSL
Registros de proxy SSL
Registros de proxy SSL
Cuando se habilita el registro en unatabla SSalpha 1.
| Descripción | del tipo Syslog |
|---|---|
SSL_PROXY_SSL_SESSION_DROP |
Registros generados cuando el proxy SSL quita una sesión. |
SSL_PROXY_SSL_SESSION_ALLOW |
Registros generados cuando un proxy SSL procesa una sesión incluso después de encontrar algunos errores menores. |
SSL_PROXY_SESSION_IGNORE |
Los registros generados si las sesiones no SSL se confunden inicialmente con sesiones SSL. |
SSL_PROXY_SESSION_WHITELIST |
Registros generados cuando se permite la lista de sesiones. |
SSL_PROXY_ERROR |
Registros utilizados para informar errores. |
SSL_PROXY_WARNING |
Registros utilizados para informar advertencias. |
SSL_PROXY_INFO |
Registros utilizados para informar información general. |
Podemos usar registros de SSL_PROXY_SESSION_WHITELIST y SSL_PROXY_INFO para comprobar las URL que iniciaron sesión. Ejemplo:
For non-whitelisted session – SSL_PROXY_INFO [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="17" source-address="5.0.0.1" source-port="57558" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57558" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="NA" sni="www.facebook.com" url-category="NULL"]
For whitelisted session – SSL_PROXY_SESSION_WHITELIST [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="18" url="4.0.0.1" source-address="5.0.0.1" source-port="57560" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57560" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="session whitelisted url category match SNI www.youtube.com URL_CATEGORY CATEGORY-1"]
Consulte el Explorador de registros del sistema para obtener más detalles.
Todos los registros contienen información similar como se muestra en el ejemplo siguiente (orden real de aparición):
logical-system-name, session-id, source-ip-address, source-port, destination-ip-address,destination-port, nat-source-ip-address, nat-source-port, nat-destination-ip-address, nat-destination-port, proxy profile name, source-zone-name, source-interface-name, destination-zone-name,destination-interface-name, message
El message campo contiene el motivo de la generación de registro. Uno de los tres prefijos que se muestran en la tabla 2 identifica el origen del mensaje. Otros campos se etiquetan de forma descriptiva.
| Descripción | del prefijo |
|---|---|
Sistema |
Registros generados debido a errores relacionados con el dispositivo o una acción realizada como parte del perfil de proxy SSL. La mayoría de los registros pertenecen a esta categoría. |
error de apertura |
Registros generados durante el proceso de apretón de manos si la biblioteca de openssl detecta un error. |
error de certificado |
Registros generados durante el proceso de apretón de manos si se detecta un error en el certificado (errores relacionados con x509). |
Registros de ejemplo:
Jun 1 05:11:13 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SSL_SESSION_DROP: lsys:root 23 < 203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443> ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:certificate error: self signed certificate
Estos registros capturan las sesiones que pierde el proxy SSL, no las que están marcadas por otros módulos que también utilizan servicios de proxy SSL.
Para SSL_PROXY_SESSION_WHITELIST mensajes, se incluye un campo adicional host después de la session-id y contiene la dirección IP del servidor o dominio que se ha permitido la lista.
Jun 1 05:25:36 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SESSION_WHITELIST: lsys:root 24 host:192.0.2.1/443<203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443 > ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:system: session whitelisted
Habilitación de depuración y rastreo para proxy SSL
El seguimiento de depuración en el motor de enrutamiento y el motor de reenvío de paquetes se puede habilitar para el proxy SSL estableciendo la siguiente configuración:
user@host# set services ssl traceoptions file file-name
El proxy SSL se admite en las instancias de SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 e instancias vSRX. La tabla 3 muestra los niveles admitidos para las opciones de seguimiento.
Tipo de causa |
Descripción |
|---|---|
Breve |
Solo se rastrean errores tanto en el motor de enrutamiento como en el motor de reenvío de paquetes. |
Detalle |
Motor de reenvío de paquetes: solo se deben rastrear los detalles del evento hasta el apretón de manos. Motor de enrutamiento: seguimientos relacionados con la confirmación. No habrá rastreos periódicos en el motor de enrutamiento |
Extensa |
Motor de reenvío de paquetes: resumen de transferencia de datos disponible. Motor de enrutamiento: seguimientos relacionados con la confirmación (más amplio). No hay seguimientos periódicos en el motor de enrutamiento estarán disponibles. |
Detallado |
Todos los rastreos están disponibles. |
La tabla 4 muestra las marcas que se admiten.
Tipo de causa |
Descripción |
|---|---|
cli-configuration |
Solo seguimientos relacionados con la configuración. |
Iniciación |
Habilite el rastreo en el complemento SSL-I. |
Proxy |
Habilite el rastreo en el complemento SSL-Proxy-Policy. |
Terminación |
Habilite el rastreo en el complemento SSL-T. |
perfil seleccionado |
Habilite el rastreo solo para los perfiles que se han enable-flow-tracing establecido. |
Puede habilitar los registros en el perfil de proxy SSL para llegar a la causa raíz de la caída. Los siguientes errores son algunos de los más comunes:
Error de validación de certificación del servidor. Compruebe la configuración de CA de confianza para comprobar su configuración.
Fallas del sistema, como errores de asignación de memoria.
Los cifrados no coinciden.
Las versiones SSL no coinciden.
No se admiten opciones SSL.
Ca raíz ha expirado. Debe cargar una NUEVA CA raíz.
Puede habilitar la ignore-server-auth-failure opción en el perfil de proxy SSL para garantizar que se ignoren la validación del certificado, las fechas de vencimiento de la CA raíz y otros problemas de este tipo. Si se inspeccionan las sesiones después de habilitar la ignore-server-auth-failure opción, el problema se localiza.