Wie Palo Alto Networks HTTPS-Anwendungen ohne Entschlüsselung identifiziert
Resolution
Details
Palo Alto Networks Firewall kann Anwendungen identifizieren, die HTTP über SSL/TLS oder HTTPS verwenden, ohne die Entschlüsselung durchzuführen. Während der SSL-verschlüsselten Sitzung empfängt die Firewall den Server "Hello-Pakete", der die Zertifikats Details hat oder der Server kann ein separates Zertifikats Paket senden. Die Firewall sucht nach dem X. 509 digitalen Zertifikat, das vom Server empfangen wird, und prüft das gemeinsame Namensfeld im SSL-Handshake-Protokoll.
Wenn zum Beispiel ein Benutzer https://www.LinkedIn.com zugreift ,hat der gemeinsame Name im Server-Zertifikat www.LinkedIn.com und die Firewall identifiziert die Anwendung als "LinkedIn-Base". Sehen Sie den folgenden wireshark Snippet, beachten Sie die Schraub Gegenstände:
Nein. Zeit Quelle Ziel Protokoll Länge Destination Port Info
581 2014-07-09 04:49:11.642886 216.52.242.80 10.66.24.90 TLSv1 94 Server Hello, Certificate, Server Hello done
Sichere SteckDosen-Schicht
TLSv1-Rekord Schicht: Handshake-Protokoll: mehrere Handshake-NachRichten
Content Type: HandSchlag (22)
Version: TLS 1,0 (0x0301)
Länge: 2955
Handshake-Protokoll: Server Hello
Handshake Type: Server Hello (2)
Länge: 70
Version: TLS 1,0 (0x0301)
Zufällige
Gmt_unix_time: 8. Juli, 2014 23:49:11.000000000 zentrale TagesLicht Zeit
random_bytes: 435006774d041fcc1c8a9f609e36263e393c774208d11a0c...
Session ID Länge: 32
Session ID: c8cb87d3951e03919c5144d2eec8a6ee296ff0a0060becd7...
Chiffrier Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
KompressionsMethode: NULL (0)
Handshake-Protokoll: Zertifikat
Handshake Type: Zertifikat (11)
Länge: 2873
Zertifikate Länge: 2870
Zertifikate (2870 Bytes)
Zertifikats Länge: 1693
Zertifikat (ID-at-commonName = www. LinkedIn. com, ID-at-Organisationname = LinkedIn Corporation, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
signedCertificate
Version: V3 (2)
Serialzahl: 0x0c4f4df5ea1b98e01d8aafa51e205da2
Signatur (shaWithRSAEncryption)
Emittent: rdnSequence (0)
Gültigkeit
Betreff: rdnSequence (0)
rdnSequence: 5 Einträge (ID-at-commonName = www. LinkedIn. com, ID-at-Organisationname = LinkedIn Corporation, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
RDNSequence-Artikel: 1 Artikel (ID-at-countryName = US)
RDNSequence-Artikel: 1 Artikel (ID-at-stateOrProvinceName = Kalifornien)
RDNSequence-Artikel: 1 Artikel (ID-at-localityName = Mountain View)
RDNSequence-Artikel: 1 Artikel (ID-at-Organisationname = LinkedIn Corporation)
RDNSequence-Artikel: 1 Artikel (ID-at-commonName = www. LinkedIn. com)
Relativeunterscheide Name Item (ID-at-commonName = www. LinkedIn. com)
ID: 2.5.4.3 (ID-at-commonName)
DirectoryString: printableString (1)
printableString: www.LinkedIn.com
Subjektpublickeyinfo
Erweiterungen: 9 Artikel
algorithmIdentifier (shaWithRSAEncryption)
Polsterung: 0
verschlüsselt: 5d7d0a416cbfdde19ba0525a84eb866d0b9f14214e3e5d61...
Zertifikats Länge: 1171
Zertifikat (ID-at-commonName = DigiCert Secure Server CA, ID-at-Organisationname = DigiCert Inc, ID-at-countryName = US)
Handshake-Protokoll: Server Hello done
Hinweis: Wenn der gemeinsame Name eine Wildcard wie *. Google.com enthält, wird die Anwendung als SSL identifiziert. Daher muss der gemeinsame Name im Server-Zertifikat in einem kompletten Host-Domain-Format sein oder dem Namen der Web-Adresse entsprechen, auf die zugegriffen wird, wie www.LinkedIn.com.
Zum Beispiel, wenn ein Benutzer Zugang https://www.YouTube.com, hat der gemeinsame Name im Server-Zertifikat *. Google.com und die Firewall identifiziert die Anwendung als "SSL". Sehen Sie den folgenden wireshark Snippet, beachten Sie die Artikel in Fett:
Nein. Zeit Quelle Ziel Protokoll Länge Destination Port Info
55 2014-07-09 05:15:23.727751 74.125.227.129 10.66.24.90 TLSv 1.2 1065 Zertifikat
Sichere SteckDosen-Schicht
TLSv 1.2 Rekord Schicht: Handshake-Protokoll: Zertifikat
Content Type: HandSchlag (22)
Version: TLS 1,2 (0x0303)
Länge: 3614
Handshake-Protokoll: Zertifikat
Handshake Type: Zertifikat (11)
Länge: 3610
Zertifikate Länge: 3607
Zertifikate (3607 Bytes)
Zertifikats Länge: 1669
Zertifikat (ID-at-commonName = *. Google. com, ID-at-Organisationname = Google Inc, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
signedCertificate
Version: V3 (2)
serienNummer:-854736928
Signatur (shaWithRSAEncryption)
Emittent: rdnSequence (0)
Gültigkeit
Betreff: rdnSequence (0)
rdnSequence: 5 Elemente (ID-at-commonName = *. Google. com, ID-at-Organisationname = Google Inc, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
RDNSequence-Artikel: 1 Artikel (ID-at-countryName = US)
RDNSequence-Artikel: 1 Artikel (ID-at-stateOrProvinceName = Kalifornien)
RDNSequence-Artikel: 1 Artikel (ID-at-localityName = Mountain View)
RDNSequence-Artikel: 1 Artikel (ID-at-Organisationname = Google Inc)
RDNSequence-Artikel: 1 Artikel (ID-at-commonName = *. Google. com)
Relativeunterscheide Name Item (ID-at-commonName = *. Google. com)
ID: 2.5.4.3 (ID-at-commonName)
DirectoryString: uTF8String (4)
uTF8String: *. Google.com
Subjektpublickeyinfo
Erweiterungen: 9 Artikel
algorithmIdentifier (shaWithRSAEncryption)
Polsterung: 0
verschlüsselt: 205567f13b2171e5a24dd3898a40d02d512aacee651922e5...
Zertifikats Länge: 1032
Zertifikat (ID-at-commonName = Google Internet Authority G2, ID-at-Organisationname = Google Inc, ID-at-countryName = US)
Zertifikat (ID-at-commonName = GeoTrust Global CA, ID-at-Organisationname = GeoTrust Inc., ID-at-countryName = US)
Sichere SteckDosen-Schicht
Besitzer: Gchandrasekaran