Gewusst wie: Erstellen Sie eine benutzerdefinierte Anwendung für SSL-Datenverkehr über das SNI-Feld

Gewusst wie: Erstellen Sie eine benutzerdefinierte Anwendung für SSL-Datenverkehr über das SNI-Feld

71753
Created On 09/25/18 19:43 PM - Last Modified 01/31/24 11:46 AM


Resolution


 

Dieser Artikel beschreibt, wie PAN-OS Feld SNI (Server Name Anzeige) zum Erstellen einer benutzerdefinierten Anwendung nutzen können.

 

Was ist SNI (Server Name-Indikation)?


SNI ist eine Erweiterung des SSL/TLS-Protokolls, die anzeigt, mit welchem Hostnamen der Client zu verbinden versucht.
SNI fügt den angeforderten Hostnamen (Website-Adresse) innerhalb des TLS-Handshakes ein (der Browser sendet ihn als Teil von ' Client Hello '), so dass der Server das GEEIGNETSTE SSL-Zertifikat bestimmen könnte, das dem Browser präsentiert wird.

 

 

Wenn SNI verwenden, um benutzerdefinierte Anwendungen zu erstellen


In Fällen wo der SNI-Feld entspricht, kann es zuverlässig verwendet werden, um die Anwendung zu identifizieren.

Eine benutzerdefinierte Anwendung kann definiert und zur Steuerung von SSL-Datenverkehr ohne die Notwendigkeit für die SSL-Entschlüsselung verwendet werden.

 

 


Beispiel für das Erstellen einer benutzerdefinierten Anwendung

 

Das folgende Beispiel zeigt, wie man eine eigene Anwendung für YouTube erstellt, bei der das SNI-Feld als www.YouTube.com (nur als Beispiel) angesehen wird.

 

Analysieren Sie den Verkehr für die Konsistenz des Feldes SNI in Client Hallo:

 

Snip20160118_28.png


Navigieren Sie zu Objekten > Anwendung > hinzufügen.


1. Definieren Sie die allgemeinen Eigenschaften der Anwendung:

 

YouTube SNI. png

 

 

 

2. Definiere den Port und das Protokoll als TCP und 443 bzw., da SSL Protokoll TCP und Port 443 für die Kommunikation verwendet.


Definieren Sie die Timeout-Einstellungen nach Bedarf:

 

Snip20160117_24.png

 

 

3. Der letzte und wichtigste Teil der Anwendungs Definition ist es, den Kontext als "SSL-req-Client-Hello" auszuwählen und
das erforderliche Muster zu definieren, wie es im Client Hello SNI Field zu sehen ist:

 

Snip20160117_25.png

Snip20160117_26.png

 

 

Hinweis:

 

  • Es wird empfohlen, analysiert den Datenverkehr gründlich vor dem Erstellen einer Signatur der Anwendung um die Zuverlässigkeit der benutzerdefinierten Anwendung sicherzustellen.
  • Es ist möglich, dass die gleichen Webdienst, verschiedene SNIs zu verschiedenen Anlässen zu verwenden, damit alle Möglichkeiten berücksichtigen, die.
  • Das SNI-Feld verwendet den Hostnamen, die, den der Client versucht, eine Verbindung zum Server, damit jede Änderung in der Anforderung vom Client nicht mehr benutzerdefinierte Anwendung zu entsprechen.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clc7CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language