Cómo crear una aplicación personalizada para el tráfico SSL utilizando el campo de la SNI

Cómo crear una aplicación personalizada para el tráfico SSL utilizando el campo de la SNI

71753
Created On 09/25/18 19:43 PM - Last Modified 01/31/24 11:46 AM


Resolution


 

Este artículo discute cómo PAN OS pueden aprovechar el campo SNI (indicación del nombre del servidor) para crear una aplicación personalizada.

 

¿Qué es SNI (indicación del nombre del servidor)?


SNI es una extensión del protocolo SSL/TLS que indica a qué nombre de host está intentando conectarse el cliente.
SNI inserta el nombre de host solicitado (dirección del sitio web) dentro del protocolo TLS (el navegador lo envía como parte de ' cliente Hello '), lo que permite al servidor determinar el certificado SSL más apropiado para presentar al navegador.

 

 

Cuando utilizar SNI para crear aplicaciones personalizadas


En casos donde concuerda el campo de la SNI, puede ser confiablemente utilizado para identificar la aplicación.

Una aplicación personalizada puede ser definida y utilizada para controlar el tráfico SSL sin necesidad de descifrado de SSL.

 

 


Ejemplo de crear una aplicación personalizada

 

En el ejemplo siguiente se muestra cómo crear una aplicación personalizada para YouTube en la que el campo SNI se ve como www.youtube.com (sólo como ejemplo).

 

Analizar el tráfico para la consistencia del campo del SNI en el cliente Hola:

 

Snip20160118_28.png


Navegar a objetos > aplicación > Añadir.


1. Definir las propiedades generales de la aplicación:

 

YouTube SNI. png

 

 

 

2. Definir el puerto y el protocolo como TCP y 443 respectivamente, ya que SSL utiliza protocolo TCP y el puerto 443 para las comunicaciones.


Definir los otros valores de tiempo de espera según sea necesario:

 

Snip20160117_24.png

 

 

3. La última y más importante parte de la definición de aplicación es seleccionar el contexto como ' SSL-req-Client-Hello ' y
definir el patrón requerido como se ve en el campo cliente Hola SNI:

 

Snip20160117_25.png

Snip20160117_26.png

 

 

Nota:

 

  • Recomendamos analizar cuidadosamente el tráfico antes de crear una firma de aplicación para garantizar la fiabilidad de la aplicación personalizada.
  • Es posible que el mismo servicio web usar SNIs diferentes en diferentes ocasiones, por lo tanto, todas las posibilidades deben tener en cuenta.
  • El campo de la SNI utiliza el nombre del host que el cliente intenta conectarse al servidor, por lo tanto, cualquier cambio en la solicitud del cliente puede dejar de coincidir con aplicación personalizada.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clc7CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language