SSL/TLS Inspection, Dropped due to TLS internal error

Mir scheint das ein Netzwerk Problem gewesen zu sein. Siehe: https://security.stackexchange.com/questions/160922/ssl-error-inappropriate-fallback-and-tls-fallback-scsv

Gesehen habe ich das noch nie. Aber es muss keine DPI Problem per se sein, da die DPI Engine nur diese Fallbacks sieht, jedoch nicht das darunterliegende Problem. Wenn man die DPI Engine deaktiviert, startet man so gesehen auch die Engine und die Architektur neu. Wenn die Engine wieder aktiviert wird, geht es dann wieder? 

Mir scheint das ein Netzwerk Problem gewesen zu sein. Siehe: https://security.stackexchange.com/questions/160922/ssl-error-inappropriate-fallback-and-tls-fallback-scsv

Gesehen habe ich das noch nie. Aber es muss keine DPI Problem per se sein, da die DPI Engine nur diese Fallbacks sieht, jedoch nicht das darunterliegende Problem. Wenn man die DPI Engine deaktiviert, startet man so gesehen auch die Engine und die Architektur neu. Wenn die Engine wieder aktiviert wird, geht es dann wieder? 

Hi LuCar Toni,
ja, ein aktivieren der DPI half hier.
Aber ist dieses Verhalten den korrekt, kann man dies nicht besser abfangen so das sich nicht die ganze DPI aufhängt, bzw. neu gestartet werden muss ?

Hallo LuCar Toni,
aktuell bekommen wir 50% bei TLS Verbindungen diese Fehlermeldung wieder "Dropped due to TLS internal error".
Auch ein Neustart der DPI hilft nicht.

Irgend ein Idee ?

Ich würde behaupten, dass ist ein Netzwerk Problem. Daher die Infrastuktur betrachten. Welche interfaces werden outbound genutzt. Wenn MultiWAN existiert, Failover via WAN Link Manager machen und dabei schauen, ob es plötzlich weg ist. 

Hi, weder MultiWAN noch Failover, simple eine WAN IF zum ISP.
Wir habe auch keine Problem via VoIP oder ähnliche Latenz behaftete Applikationen.

Welche Policy für TLS verwendest du denn und wie ist diese Policy konfiguriert? Wenn du auf eine Default Policy wechselst, funktioniert es dann? 

Hallo,
nach dem wir alle TLS Regeln gelöscht und wieder erneut erstellt haben (wie vorher), verhält sich das DPI aktuell ruhig.
Mal sehen wie lange es hält.

Hattest du denn eine eigene Profile (nicht Regel, sondern diese Profile)?

Wir hatten das Profile "Strict compliance" kopiert und die Option "Invalid for other reasons" daktiviert.
Aber wir hatten das Profile gelassen und wirklich nur die Regeln gelöscht und erneut angelegt.
Aktuell ist noch Ruhe.

Die Kollegen sind an diesem Thema interessiert, was genau dort passiert, weil eigentlich sollte das nicht passieren, wenn man mit eigenen Policies / Profiles arbeitet. 

Wenn das erneut auftreten sollte, bitte einen Support Case eröffnen mit den Details. Man geht derzeit davon aus, dass das Profil vielleicht Korrupt sein könnte. 

Zu früh gefreut, wir hatten testweise DPI deaktiviert und nach 1h wieder aktiviert.
Nun sehen wir wieder "Dropped due to TLS internal error".
Auch die Nutzung der originalen Profile hilft da nicht.

Manchmal sieht man so was, erster Versuch schlägt fehl jedoch der zweite gelingt.

Ebenfalls bringt der Webbrowser solche Fehlermeldungen "PR_END_OF_FILE_ERROR"

Dazu wurde schon am 26.10 dieses Ticket 04555398 eröffnet, jedoch bisher keine Antwort erhalten .....