Comment les réseaux de Palo Alto identifie les applications HTTPS sans décryptage
Resolution
Détails
Les pare-feu de Palo Alto Networks peuvent identifier les applications qui utilisent http sur SSL/TLS ou HTTPS sans effectuer le décryptage. Au cours de la session cryptée SSL, le pare-feu reçoit le serveur "Hello paquets", qui a les détails du certificat ou le serveur peut envoyer un paquet de certificat séparé. Le pare-feu recherche le certificat numérique X. 509 reçu du serveur et inspecte le champ nom commun dans le protocole SSL Handshake.
Par exemple, si un utilisateur accède, https://www.LinkedIn.com, le nom commun dans le certificat de serveur a www.LinkedIn.com et le pare-feu identifie l'application comme "LinkedIn-base". Voir l'extrait de Wireshark suivant, notez les éléments en gras:
Lol Heure source protocole longueur destination port info
581 2014-07-09 04:49:11.642886 216.52.242.80 10.66.24.90 TLSv1 94 Server Bonjour, certificat, serveur Bonjour fait
Couche Secure Sockets
TLSv1 record Layer: Protocole de Handshake: plusieurs messages de poignée de main
Type de contenu: Handshake (22)
Version: TLS 1,0 (0x0301)
Longueur: 2955
Protocole de poignée de main: serveur Bonjour
Type de poignée de main: Server Hello (2)
Longueur: 70
Version: TLS 1,0 (0x0301)
Au hasard
gmt_unix_time: Jul 8, 2014 23:49:11.000000000 heure avancée du centre
random_bytes: 435006774d041fcc1c8a9f609e36263e393c774208d11a0c...
Longueur ID session: 32
ID de session: c8cb87d3951e03919c5144d2eec8a6ee296ff0a0060becd7...
Suite de chiffrement: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
Méthode de compression: null (0)
Protocole de Handshake: certificat
Type de poignée de main: certificat (11)
Longueur: 2873
Durée des certificats: 2870
Certificats (2870 octets)
Longueur de certificat: 1693
Certificat (ID-at-commonName = www. LinkedIn. com, ID-at-organizationName = LinkedIn Corporation, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
signedCertificate
version: v3 (2)
serialNumber: 0x0c4f4df5ea1b98e01d8aafa51e205da2
signature (shaWithRSAEncryption)
Emetteur: rdnSequence (0)
Validité
sujet: rdnSequence (0)
rdnSequence: 5 Items (ID-at-CommonName = www. LinkedIn. com, ID-at-OrganizationName = LinkedIn Corporation, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-CountryName = US)
RDNSequence article: 1 article (ID-at-countryName = US)
RDNSequence article: 1 article (ID-at-stateOrProvinceName = California)
RDNSequence article: 1 article (ID-at-localityName = Mountain View)
RDNSequence article: 1 article (ID-at-organizationName = LinkedIn Corporation)
RDNSequence article: 1 article (ID-at-commonName = www. LinkedIn. com)
RelativeDistinguishedName Item (ID-at-commonName = www. LinkedIn. com)
ID: 2.5.4.3 (ID-at-commonName)
DirectoryString: printableString (1)
printableString: www.LinkedIn.com
Élément subjectPublicKeyInfo
extensions: 9 Articles
algorithmIdentifier (shaWithRSAEncryption)
Rembourrage: 0
crypté: 5d7d0a416cbfdde19ba0525a84eb866d0b9f14214e3e5d61...
Longueur de certificat: 1171
Certificate (ID-at-CommonName = DigiCert Secure Server ca, ID-at-OrganizationName = DigiCert Inc, ID-at-CountryName = US)
Protocole de poignée de main: serveur Bonjour fait
Remarque: si le nom commun inclut un caractère générique tel que *. google.com, l'application est identifiée comme SSL. Par conséquent, le nom commun dans le certificat de serveur doit être dans un format de domaine hôte complet ou égal au nom de l'adresse Web à laquelle vous accédez, tel que www.LinkedIn.com.
Par exemple, si un utilisateur accède à https://www.youtube.com, le nom commun dans le certificat de serveur a *. google.com et le pare-feu identifie l'application comme «SSL». Voir l'Extrait de Wireshark suivant, notez les éléments en gras:
Lol Heure source protocole longueur destination port info
55 2014-07-09 05:15:23.727751 74.125.227.129 10.66.24.90 TLSv 1.2 1065 certificat
Couche Secure Sockets
Tlsv 1.2 record Layer: Protocole de poignée de main: certificat
Type de contenu: Handshake (22)
Version: TLS 1,2 (0x0303)
Longueur: 3614
Protocole de Handshake: certificat
Type de poignée de main: certificat (11)
Longueur: 3610
Durée des certificats: 3607
Certificats (3607 octets)
Longueur de certificat: 1669
Certificat (ID-at-commonName = *. google. com, ID-at-organizationName = Google Inc, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-countryName = US)
signedCertificate
version: v3 (2)
serialNumber:-854736928
signature (shaWithRSAEncryption)
Emetteur: rdnSequence (0)
Validité
sujet: rdnSequence (0)
rdnSequence: 5 Items (ID-at-CommonName = *. google. com, ID-at-OrganizationName = Google Inc, ID-at-localityName = Mountain View, ID-at-stateOrProvinceName = California, ID-at-CountryName = US)
RDNSequence article: 1 article (ID-at-countryName = US)
RDNSequence article: 1 article (ID-at-stateOrProvinceName = California)
RDNSequence article: 1 article (ID-at-localityName = Mountain View)
RDNSequence article: 1 article (ID-at-organizationName = Google Inc)
RDNSequence article: 1 article (ID-at-commonName = *. google. com)
RelativeDistinguishedName Item (ID-at-commonName = *. google. com)
ID: 2.5.4.3 (ID-at-commonName)
DirectoryString: uTF8String (4)
uTF8String: *. google.com
Élément subjectPublicKeyInfo
extensions: 9 Articles
algorithmIdentifier (shaWithRSAEncryption)
Rembourrage: 0
crypté: 205567f13b2171e5a24dd3898a40d02d512aacee651922e5...
Longueur de certificat: 1032
Certificat (ID-at-commonName = Google Internet Authority G2, ID-at-organizationName = Google Inc., ID-at-countryName = US)
Certificat (ID-at-commonName = GeoTrust Global CA, ID-at-organizationName = GeoTrust Inc., ID-at-countryName = US)
Couche Secure Sockets
propriétaire : gchandrasekaran