Cómo Palo Alto Networks identifica las aplicaciones https sin descifrar
Resolution
Detalles
Palo Alto Networks Firewall puede identificar aplicaciones que utilizan http sobre SSL/TLS o https sin realizar desencriptación. Durante la sesión encriptada SSL, el Firewall recibe el servidor "Hello paquetes", que tiene los detalles del certificado o el servidor puede enviar un paquete de certificado independiente. El cortafuegos busca el certificado digital X. 509 recibido del servidor e inspecciona el campo Nombre común en el protocolo de apretón de mano SSL.
Por ejemplo, si un usuario accede, https://www.LinkedIn.com, el nombre común en el certificado de servidor tiene www.LinkedIn.com y el Firewall identifica la aplicación como "LinkedIn-base". Consulte el fragmento de Wireshark siguiente, anote los elementos en negrita:
Jajaja Tiempo origen protocolo destino longitud destino puerto info
581 2014-07-09 04:49:11.642886 216.52.242.80 10.66.24.90 TLSv1 94 servidor Hola, certificado, servidor Hola hecho
Capa de sockets seguros
Capa de registro de TLSv1: Protocolo de apretón de mano: mensajes de saludo múltiple
Tipo de contenido: apretón de mano (22)
Versión: TLS 1,0 (0x0301)
Longitud: 2955
Protocolo de apretón de mano: servidor Hello
Tipo de apretón de mano: servidor Hello (2)
Longitud: 70
Versión: TLS 1,0 (0x0301)
Al azar
gmt_unix_time: Jul 8, 2014 23:49:11.000000000 horario central
random_bytes: 435006774d041fcc1c8a9f609e36263e393c774208d11a0c...
Duración de la ID de sesión: 32
Session ID: c8cb87d3951e03919c5144d2eec8a6ee296ff0a0060becd7...
Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
Método de compresión: null (0)
Protocolo de apretón de mano: certificado
Tipo de apretón de mano: certificado (11)
Longitud: 2873
Longitud de los certificados: 2870
Certificados (2870 bytes)
Longitud del certificado: 1693
Certificate (ID-at-CommonName = www. LinkedIn. com, ID-at-NombreDeOrganización = LinkedIn Corporation, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
signedCertificate
versión: V3 (2)
serialNumber: 0x0c4f4df5ea1b98e01d8aafa51e205da2
firma (shaWithRSAEncryption)
Autor: rdnSequence (0)
Validez
asunto: rdnSequence (0)
rdnSequence: 5 items (ID-at-CommonName = www. LinkedIn. com, ID-at-NombreDeOrganización = LinkedIn Corporation, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
RDNSequence artículo: 1 artículo (ID-at-countryName = US)
RDNSequence artículo: 1 artículo (ID-at-stateOrProvinceName = California)
RDNSequence artículo: 1 artículo (ID-at-localityName = Mountain View)
RDNSequence artículo: 1 artículo (ID-at-NombreDeOrganización = LinkedIn Corporation)
RDNSequence artículo: 1 artículo (ID-at-commonName = www. LinkedIn. com)
Nombrecompletorelativo Item (ID-at-commonName = www. LinkedIn. com)
ID: 2.5.4.3 (ID-at-commonName)
DirectoryString: printableString (1)
printableString: www.LinkedIn.com
subjectPublicKeyInfo
extensiones: 9 items
algorithmIdentifier (shaWithRSAEncryption)
Acolchado: 0
cifrado: 5d7d0a416cbfdde19ba0525a84eb866d0b9f14214e3e5d61...
Longitud del certificado: 1171
Certificate (ID-at-CommonName = DigiCert Secure Server CA, ID-at-NombreDeOrganización = DigiCert Inc, ID-at-countryName = US)
Protocolo de apretón de mano: servidor Hola hecho
Nota: si el nombre común incluye un comodín como *. Google.com, entonces la aplicación se identifica como SSL. Por lo tanto, el nombre común en el certificado del servidor debe estar en un formato completo de dominio de host o igual al nombre de la dirección web a la que se tiene acceso, como www.LinkedIn.com.
Por ejemplo, si un usuario accede a https://www.youtube.com, el nombre común del certificado de servidor tiene *. Google.com y el cortafuegos identifica la aplicación como "SSL". Consulte el fragmento de Wireshark siguiente, anote los elementos en negrita:
Jajaja Tiempo origen protocolo destino longitud destino puerto info
55 2014-07-09 05:15:23.727751 74.125.227.129 10.66.24.90 TLSv 1.2 1065 certificado
Capa de sockets seguros
Tlsv 1.2 capa de registro: Protocolo de apretón de mano: certificado
Tipo de contenido: apretón de mano (22)
Versión: TLS 1,2 (0x0303)
Longitud: 3614
Protocolo de apretón de mano: certificado
Tipo de apretón de mano: certificado (11)
Longitud: 3610
Longitud de los certificados: 3607
Certificados (3607 bytes)
Longitud del certificado: 1669
Certificate (ID-at-CommonName = *. Google. com, ID-at-NombreDeOrganización = Google Inc, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
signedCertificate
versión: V3 (2)
serialNumber:-854736928
firma (shaWithRSAEncryption)
Autor: rdnSequence (0)
Validez
asunto: rdnSequence (0)
rdnSequence: 5 items (ID-at-CommonName = *. Google. com, ID-at-NombreDeOrganización = Google Inc, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
RDNSequence artículo: 1 artículo (ID-at-countryName = US)
RDNSequence artículo: 1 artículo (ID-at-stateOrProvinceName = California)
RDNSequence artículo: 1 artículo (ID-at-localityName = Mountain View)
RDNSequence artículo: 1 artículo (ID-at-NombreDeOrganización = Google Inc)
RDNSequence artículo: 1 artículo (ID-at-commonName = *. Google. com)
Nombrecompletorelativo Item (ID-at-commonName = *. Google. com)
ID: 2.5.4.3 (ID-at-commonName)
DirectoryString: uTF8String (4)
uTF8String: *. Google.com
subjectPublicKeyInfo
extensiones: 9 items
algorithmIdentifier (shaWithRSAEncryption)
Acolchado: 0
cifrado: 205567f13b2171e5a24dd3898a40d02d512aacee651922e5...
Longitud del certificado: 1032
Certificate (ID-at-CommonName = Google Internet Authority G2, ID-at-NombreDeOrganización = Google Inc., ID-at-countryName = US)
Certificate (ID-at-CommonName = GeoTrust global CA, ID-at-NombreDeOrganización = GeoTrust Inc., ID-at-countryName = US)
Capa de sockets seguros
Propietario: gchandrasekaran