Dieser Artikel beschreibt, wie PAN-OS Feld SNI (Server Name Anzeige) zum Erstellen einer benutzerdefinierten Anwendung nutzen können.
Was ist SNI (Server Name-Indikation)?
SNI ist eine Erweiterung des SSL/TLS-Protokolls, die anzeigt, mit welchem Hostnamen der Client zu verbinden versucht.
SNI fügt den angeforderten Hostnamen (Website-Adresse) innerhalb des TLS-Handshakes ein (der Browser sendet ihn als Teil von ' Client Hello '), so dass der Server das GEEIGNETSTE SSL-Zertifikat bestimmen könnte, das dem Browser präsentiert wird.
Wenn SNI verwenden, um benutzerdefinierte Anwendungen zu erstellen
In Fällen wo der SNI-Feld entspricht, kann es zuverlässig verwendet werden, um die Anwendung zu identifizieren.
Eine benutzerdefinierte Anwendung kann definiert und zur Steuerung von SSL-Datenverkehr ohne die Notwendigkeit für die SSL-Entschlüsselung verwendet werden.
Beispiel für das Erstellen einer benutzerdefinierten Anwendung
Das folgende Beispiel zeigt, wie man eine eigene Anwendung für YouTube erstellt, bei der das SNI-Feld als www.YouTube.com (nur als Beispiel) angesehen wird.
Analysieren Sie den Verkehr für die Konsistenz des Feldes SNI in Client Hallo:
Navigieren Sie zu Objekten > Anwendung > hinzufügen.
1. Definieren Sie die allgemeinen Eigenschaften der Anwendung:
2. Definiere den Port und das Protokoll als TCP und 443 bzw., da SSL Protokoll TCP und Port 443 für die Kommunikation verwendet.
Definieren Sie die Timeout-Einstellungen nach Bedarf:
3. Der letzte und wichtigste Teil der Anwendungs Definition ist es, den Kontext als "SSL-req-Client-Hello" auszuwählen und
das erforderliche Muster zu definieren, wie es im Client Hello SNI Field zu sehen ist:
Hinweis:
- Es wird empfohlen, analysiert den Datenverkehr gründlich vor dem Erstellen einer Signatur der Anwendung um die Zuverlässigkeit der benutzerdefinierten Anwendung sicherzustellen.
- Es ist möglich, dass die gleichen Webdienst, verschiedene SNIs zu verschiedenen Anlässen zu verwenden, damit alle Möglichkeiten berücksichtigen, die.
- Das SNI-Feld verwendet den Hostnamen, die, den der Client versucht, eine Verbindung zum Server, damit jede Änderung in der Anforderung vom Client nicht mehr benutzerdefinierte Anwendung zu entsprechen.