Sophos Switch: inspekcja SSL/TLS powoduje problem z rejestracją w Sophos Central

Problem

Rejestracja w usłudze Sophos Central, to jedna z rzeczy, które przełączniki Sophos Switch automatycznie próbują wykonać podczas pierwszego uruchomienia. W tym celu nawiązują m.in. kontakt z następującymi serwerami, używając pełnej kwalifikowanej nazwy domenowej (FQDN):

• sophos.jfrog.io

• jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com

Jeśli połączenie z adresem sophos.jfrog.io jest zablokowane, przełącznik nie będzie mógł się zarejestrować w usłudze Sophos Central.

Jeśli połączenie z adresem jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com jest zablokowane, urządzenie nie będzie mogło zweryfikować, czy zainstalowany jest najnowszy firmware.

W systemie operacyjnym Sophos Firewall OS przyczyną jest uszkodzony łańcuch certyfikatów, ponieważ wymagane instytucje certyfikujące (CA) nie są zawarte w domyślnym magazynie certyfikatów organów CA. Na firewallu Sophos klienci zobaczą wpisy w dzienniku, takie jak:

2023-08-08 15:43:45SSL/TLS inspectionmessageid="19018" log_type="SSL" log_component="SSL" log_subtype="Error" severity="Information" user="" src_ip="10.0.0.101" dst_ip="52.216.8.115" user_group="" src_country="PL" dst_country="USA" src_port="53172" dst_port="443" app_name="" app_id="0" category="Information Technology" category_id="29" con_id="820023360" rule_id="2" profile_id="3" rule_name="Switche" profile_name="Strict compliance" bitmask="Valid" key_type="KEY_TYPE__RSA" key_param="RSA 2048 bits" fingerprint="6b:9c:d1:8e:83:3c:b0:4c:70:5d:ce:d7:7c:a4:46:ed:43:d6:ce:4b" resumed="0" cert_chain_served="TRUE" cipher_suite="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" sni="jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com" tls_version="TLS1.2" reason="TLS handshake fatal alert: unknown CA(48)." exception="" message=""

2023-08-08 15:43:30SSL/TLS inspectionmessageid="19018" log_type="SSL" log_component="SSL" log_subtype="Error" severity="Information" user="" src_ip="10.0.0.101" dst_ip="107.23.80.90" user_group="" src_country="PL" dst_country="USA" src_port="49164" dst_port="443" app_name="" app_id="0" category="General Business" category_id="6" con_id="594470464" rule_id="2" profile_id="3" rule_name="Switche" profile_name="Strict compliance" bitmask="Valid" key_type="KEY_TYPE__RSA" key_param="RSA 2048 bits" fingerprint="2d:32:36:90:c1:bf:52:3a:74:7b:94:06:a7:9f:0b:fd:b5:1f:49:e1" resumed="0" cert_chain_served="TRUE" cipher_suite="TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" sni="sophos.jfrog.io" tls_version="TLS1.2" reason="TLS handshake fatal alert: unknown CA(48)." exception="" message=""

Przełącznik zarejestruje następującą informację:

2023 Aug 08 15:45:06    DOWNLOADER    error    Failed to download the package. HTTP: 000

W przypadku urządzeń brzegowych innych niż Sophos Firewall, proszę zapoznać się z dokumentacją dotyczącą dzienników i zasad firewalla.

Produkt i środowisko

Sophos Switch

Rozwiązanie

Urządzenie brzegowe Sophos Firewall OS

Wykluczenie ruchu z inspekcji SSL/TLS

1. Podłącz się do swojego firewalla Sophos.
2. Otwórz Log Viewer.
3. Wybierz SSL/TLS inspection z rozwijalnego menu wyboru modułu.
   
4. Skorzystaj z pola wyszukiwania, aby znaleźć wspomniane wyżej 2 pełne nazwy domenowe (FQDN).
5. W kolumnie Manage Log Viewera (jeśli nie jest widoczna, użyj dolnego paska przewijania, aby przesunąć się w prawo), kliknij Exclude.
6. Wybierz Exclude dla każdej z nazw domenowych (FQDN).

Urządzenia innych producentów

Zapoznaj się proszę z dokumentacją swojego firewalla w celu dowiedzenia się, jak wyłączyć ruch z inspekcji.