Comment créer une application personnalisée pour le trafic SSL en utilisant le champ de la SNI

Comment créer une application personnalisée pour le trafic SSL en utilisant le champ de la SNI

71749
Created On 09/25/18 19:43 PM - Last Modified 01/31/24 11:46 AM


Resolution


 

Cet article explique comment PAN-OS peuvent exploiter le champ de la SNI (Indication de nom de serveur) pour créer une application personnalisée.

 

Qu'est-ce que la SNI (indication du nom du serveur)?


SNI est une extension du protocole SSL/TLS qui indique le nom d'hôte auquel le client tente de se connecter.
SNI insère le nom d'hôte demandé (adresse du site Web) dans la poignée de main TLS (le navigateur l'envoie dans le cadre de «client Hello»), ce qui permet au serveur de déterminer le certificat SSL le plus approprié à présenter au navigateur.

 

 

Quand utiliser SNI pour créer des applications personnalisées


Dans les cas où le champ de la SNI est conforme, il peut servir de manière fiable pour identifier l’application.

Une application personnalisée peut être définie et utilisée pour contrôler le trafic SSL sans la nécessité pour le décryptage SSL.

 

 


Exemple de création d’une application personnalisée

 

L'exemple suivant montre comment créer une application personnalisée pour YouTube où le champ SNI est considéré comme www.youtube.com (comme un exemple uniquement).

 

Analyser le trafic pour assurer l’uniformité du champ SNI dans le Client Bonjour :

 

Snip20160118_28.png


Accédez aux objets > Application > ajouter.


1. Définir les propriétés générales de l’application :

 

SNI. png YouTube

 

 

 

2. Qualifier le port et le protocole TCP et 443 respectivement, car SSL utilise le protocole TCP et le port 443 pour les communications.


Définissez les autres paramètres de délai d’attente selon les besoins :

 

Snip20160117_24.png

 

 

3. La dernière et la partie la plus importante de la définition d'application est de sélectionner le contexte en tant que «SSL-req-client-Bonjour» et de
définir le modèle requis comme vu dans le champ client Hello SNI:

 

Snip20160117_25.png

Snip20160117_26.png

 

 

Remarque :

 

  • Il est recommandé d’analyser le trafic soigneusement avant de créer une signature d’application pour assurer la fiabilité de l’application personnalisée.
  • Il est possible pour le même service de web d’utiliser différents SNIs à différentes reprises, donc toutes les possibilités doivent en tenir compte.
  • Le champ de la SNI utilise le nom d’hôte, que le client tente de se connecter au serveur, donc tout changement dans la demande du client peut cesser correspondre à une application personnalisée.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clc7CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language