どのようにパロアルトネットワークは、復号化せずに HTTPS アプリケーションを識別する
Resolution
詳細
パロアルトネットワークファイアウォールは、復号化を実行せずに SSL/TLS または HTTPS 経由で HTTP を使用するアプリケーションを識別することができます。SSL 暗号化セッション中、ファイアウォールは、証明書の詳細を持つサーバー "hello パケット" を受信するか、サーバーが別の証明書パケットを送信できます。ファイアウォールは、サーバーから受信した x.509 デジタル証明書を検索し、SSL ハンドシェイクプロトコルの [共通名] フィールドを検査します。
たとえば、ユーザーが https://www.linkedin.com にアクセスすると、サーバー証明書の共通名が www.linkedin.com になり、ファイアウォールによってアプリケーションが "linkedin ベース" として識別されます。次の Wireshark スニペットを参照してください、太字の項目に注意してください。
違います。タイムソース送信先プロトコルの長さ宛先ポート情報
581 2014-07-09 04:49: 11.642886 216.52.242.80 10.66.24.90 TLSv1 94 サーバーこんにちは、証明書、サーバーこんにちは行わ
セキュアソケットレイヤー
TLSv1 レコードレイヤ: ハンドシェイクプロトコル: 複数のハンドシェイクメッセージ
コンテンツタイプ: ハンドシェイク (22)
バージョン: TLS 1.0 (0x0301)
長さ: 2955
ハンドシェイクプロトコル: サーバーこんにちは
ハンドシェイクの種類: サーバーこんにちは (2)
長さ:70
バージョン: TLS 1.0 (0x0301)
ランダムです
gmt_unix_time: Jul 8, 2014 23:49: 11.000000000 中部夏時間
random_bytes: 435006774d041fcc1c8a9f609e36263e393c774208d11a0c...
セッション ID の長さ:32
セッション ID: c8cb87d3951e03919c5144d2eec8a6ee296ff0a0060becd7...
暗号組曲: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
圧縮方法: null (0)
ハンドシェイクプロトコル: 証明書
ハンドシェイクの種類: 証明書 (11)
長さ: 2873
証明書の長さ: 2870
証明書 (2870 バイト)
証明書の長さ: 1693
証明書 (id-commonName = organizationName = linkedin 株式会社、id-at-localityName = マウンテンビュー、id-at-stateOrProvinceName = カリフォルニア州、id-at-countryName = 米国)
signedCertificate
バージョン: v3 の (2)
serialNumber: 0x0c4f4df5ea1b98e01d8aafa51e205da2
署名 (shaWithRSAEncryption)
発行体: rdnSequence (0)
妥当 性
件名: rdnSequence (0)
rdnSequence: 5 項目 (id-at-commonName = organizationName = linkedin 株式会社、id-at-localityName = マウンテンビュー、id-at-stateOrProvinceName = カリフォルニア州、id-at-countryName = 米国)
RDNSequence アイテム: 1 アイテム (id-countryName = 米国)
RDNSequence アイテム: 1 アイテム (id-stateOrProvinceName = カリフォルニア州)
RDNSequence アイテム: 1 アイテム (id-localityName = マウンテンビュー)
RDNSequence アイテム: 1 アイテム (id-organizationName = LinkedIn 株式会社)
RDNSequence アイテム: 1 アイテム (id-commonName = www. linkedin)
RelativeDistinguishedName アイテム (id-commonName = www.
id: 2.5.4.3 (id-commonName)
DirectoryString: printableString (1)
printableString: www.linkedin.com
subjectPublicKeyInfo
エクステンション: 9 アイテム
algorithmIdentifier (shaWithRSAEncryption)
パディング: 0
暗号化: 5d7d0a416cbfdde19ba0525a84eb866d0b9f14214e3e5d61...
証明書の長さ: 1171
証明書 (id-commonName = DigiCert セキュリティで保護されたサーバー CA、id-organizationName = DigiCert 株式会社、id-at-countryName = 米国)
ハンドシェイクプロトコル: サーバーこんにちは完了
注:共通名に * google.com などのワイルドカードが含まれている場合、アプリケーションは SSL として識別されます。したがって、サーバー証明書の共通名は、完全なホストドメイン形式であるか、または www.linkedin.com などにアクセスされる web アドレスの名前と同じである必要があります。
たとえば、ユーザーが https://www.youtube.com にアクセスすると、サーバー証明書の共通名に * google.com があり、ファイアウォールによってアプリケーションが "ssl" として識別されます。次の Wireshark スニペットを参照してください、太字の項目に注意してください。
違います。タイムソース送信先プロトコルの長さ宛先ポート情報
55 2014-07-09 05:15: 23.727751 74.125.227.129 10.66.24.90 tlsv 1.2 1065 証明書
セキュアソケットレイヤー
tlsv 1.2 記録層: ハンドシェイクプロトコル: 証明書
コンテンツタイプ: ハンドシェイク (22)
バージョン: TLS 1.2 (0x0303)
長さ: 3614
ハンドシェイクプロトコル: 証明書
ハンドシェイクの種類: 証明書 (11)
長さ: 3610
証明書の長さ: 3607
証明書 (3607 バイト)
証明書の長さ: 1669
証明書 (id-commonName = *. google .com、id-at-organizationName = google 社、id-at-localityName = マウンテンビュー、id-at-stateOrProvinceName = カリフォルニア、id-at-countryName = 米国)
signedCertificate
バージョン: v3 の (2)
serialNumber:-854736928
署名 (shaWithRSAEncryption)
発行体: rdnSequence (0)
妥当 性
件名: rdnSequence (0)
rdnSequence: 5 アイテム (id-at-commonName = *. google .com、id-at-organizationName = グーグル社、id-at-localityName = マウンテンビュー、id-at-stateOrProvinceName = カリフォルニア州、id-at-countryName = 米国)
RDNSequence アイテム: 1 アイテム (id-countryName = 米国)
RDNSequence アイテム: 1 アイテム (id-stateOrProvinceName = カリフォルニア州)
RDNSequence アイテム: 1 アイテム (id-localityName = マウンテンビュー)
RDNSequence アイテム: 1 アイテム (id-organizationName = Google 社)
RDNSequence アイテム: 1 アイテム (id-commonName = *.
RelativeDistinguishedName アイテム (id-commonName = *.
id: 2.5.4.3 (id-commonName)
DirectoryString: uTF8String (4)
uTF8String: *. google.com
subjectPublicKeyInfo
エクステンション: 9 アイテム
algorithmIdentifier (shaWithRSAEncryption)
パディング: 0
暗号化: 205567f13b2171e5a24dd3898a40d02d512aacee651922e5...
証明書の長さ: 1032
証明書 (id-commonName = google インターネットオーソリティ G2、id-at-organizationName = google 社、id-at-countryName = 米国)
証明書 (id-commonName = GeoTrust グローバル CA、id-organizationName = GeoTrust 株式会社、id-at-countryName = 米国)
セキュアソケットレイヤー
所有者: gchandrasekaran