ブラウザのバージョンをv124へアップグレード後、ファイアウォールを何も変更していなくともWeb サイトがランダムにブロックされたり、許可されたりする

Description

2024 年 4 月 22 日の時点で、以前は正常にアクセスできたはずの多くの Web サイトがブロックされていると表示される、あるいは、ブロックされるはずだった Web サイトにアクセスできるようになります。

これらすべては、DPI SSL インスペクションの有無にかかわらず、ファイアウォール上のコンテンツ フィルター ポリシーを変更することなく発生しています。

これは主に、Chrome および Edge ブラウザが最新バージョン (Chrome v124.0.6367.61 および Edge v124.0.2478.51) にアップグレードされた後にのみ報告されます。

注意: この問題は全てのWEBサイトで発生する問題ではありません。一部のサイトでのみ発生する可能性があります。また、Chrome および Edge 以外のブラウザでは現在本問題は報告されていません。 


Cause

この問題は、下記の通り現在リリースされている全てのバージョンで発生します。

SonicOS6.5: 本日時点の最新版6.5.4.13を含む全てのバージョン

SonicOS7: 本日時点の最新版7.1.1-7051を含む全てのバージョン

注意: 日本語ファームウェアの最新バージョンは7.0.1-5151ですが、このバージョンでも問題が発生します。 

本問題はChromiumエンジンを使用したブラウザ(ChromeやMicrosoft Edge)バージョン124に追加されたTLS 1.3 hybridized Kyber Supportが原因で発生します。

この機能が有効な場合、HTTPSサイトのContents Filtering 機能(CFS)が意図しない動作をする問題となります。また、クライアントDPI-SSL機能にも問題が発生し、結果としてCFSのチェックに失敗する事象が発生します。


Resolution

<内容>

現在の調査状況

この問題に該当するか確認する方法

一時的な回避策

現在の調査状況

2024年5月2日 更新

本問題の解決方法は、クライアントDPI-SSLを使用している場合と、使用していない場合で異なります。

  • クライアントDPI-SSL機能を使用していない場合は、現在SonicOS6.5、SonicOS7両方のファームウェアについて修正版ファームウェアを準備しています。
  • クライアントDPI-SSL機能を使用している場合、CFSでブロックする/しないという問題だけに留まらず一部サイトへの接続に失敗します。
    SonicOS7を使用している機種に関しては、修正版ファームウェアを準備しています。SonicOS6.5の修正ファームウェアについても同様の修正を行ったファームウェアのリリースを計画しています。
  • 修正版ファームウェアの提供時期および入手方法については、SonicWallテクニカルサポートへお問い合わせください。

尚、ブラウザの設定を変更することにより本問題が発生しなくなる一時的な回避策についてはこちらを参照ください。

この問題に該当するか確認する方法

CFSによりブロックされている事を確認する為にブロックされた Web サイトの宛先 IP に基づいてパケット キャプチャを実行してください。

 

  1. 監視タブ|ツールと監視>パケット監視へ移動します。

  2. キャプチャされたパケットタブの画面上部にある「既定の監視」を押します。

  3. 画面上部の一般タブを開きます。

  4. 「監視フィルタ」タブへ移動し以下の設定をします。 
    イーサ種別:IP
    IP種別:TCP
    送信先 IP アドレス:該当WebサイトのIPアドレス

  5. 「詳細監視フィルタ」タブへ移動し、「ファイアウォールの生成パケットを監視する (これはインターフェース フィルタをバイパスします)。」を有効にし、OKを押します。

  6. キャプチャされたパケットタブへ移動して「開始パケットキャプチャ」を押します。

  7. 該当のWebサイトへブラウザからアクセスしてブロックされる事を確認します。

  8. 再読み込みボタンをクリックしてキャプチャされたパケットにパケットが表示されるか確認します。

  9. 監視タブ|ツールと監視>パケット監視へ移動して「キャプチャの停止」をクリックします。

コンテンツフィルタによりWebアクセスがブロックされた場合パケットキャプチャには次のドロップコードが表示されます。 "Drop code 107 ( Enforced Content Filter Policy )"

Image

回避策

回避策は一時的なもので、ファームウェアに関係なく、GEN6 と GEN7 の両方のデバイスで同じです。この記事は随時更新されます。

  • Chromeの場合は、新しいタブで chrome://flagsと入力します。
    CTRL+F を使用するか、指定された検索ボックスで Kyber を検索します。
    「 TLS 1.3 hybridized Kyber support」オプションを無効にします。 


Image

  • Edgeの場合は、新しいタブで chrome://flagsと入力します。
    CTRL+F を使用するか、指定された検索ボックスで Kyber を検索します。
    「TLS 1.3 hybridized Kyber support」オプションを無効にします。 

    Image

 

 

 

Related Articles

  • Firewall logs show frequent probe status changes after upgrade
    Read More
  • SSO Agent 4.0: Installation, Configurations, and troubleshooting
    Read More
  • CFS blocks valid sites due to incorrect 64: Not Rated tag
    Read More

Categories

Firewalls
NSa Series
Firewalls
TZ Series
not finding your answers?
Ask the Community
was this article helpful?
YesNo