Entschlüsselte SSL-Session als Anwendung SSL markiert

Entschlüsselte SSL-Session als Anwendung SSL markiert

27898
Created On 09/25/18 19:48 PM - Last Modified 06/09/23 07:36 AM


Resolution


Problem

 

Wir wissen, dass die SSL-Entschlüsselung uns Sichtbarkeit des Datenverkehrs geben soll, der sonst verschlüsselt wäre. Daher würden wir erwarten, dass entschlüsselten Traffic als die zugrundeliegenden Anwendungen identifiziert wird, wie zum Beispiel Web-Browsing, Facebook-Base oder andere, aber nicht als SSL. In einigen Szenarien wird jedoch erwartet, dass die Anwendung SSL als entschlüsselte Verhalten zu sehen ist. Dieser Artikel deckt ein solches Szenario ab und erklärt, warum eine entschlüsselte SSL-Session, die als Anwendung SSL identifiziert wird, in diesem Fall als OK gilt. 

 

Im folgenden Beispiel haben wir versucht, auf die folgende Website zuzugreifen: 

https://My.VMware.com/Web/VMware/Login

 

Aus dem Sitzungstisch können wir sehen, dass die Session als entschlüsselt markiert ist (*)

admin @ Faith-PFW-X1 > Show-Session alle Filter SSL-entschlüsselt ja

--------------------------------------------------------------------------------
ID-Anwendung State Type Flag src [Sport]/Zone/Proto (übersetzt IP [Port])
Vsys DST [dport]/Zone (ÜBERsetzte IP [Port])
--------------------------- -----------------------------------------------------
25472 SSL aktiver Fluss *NS 192.168.16.48 [60668]/Zone-Trust2016/6 (10.193.90.32 [61785])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25475 SSL Active FLOW *NS 192.168.16.48 [60670]/Zone-Trust2016/6 (10.193.90.32 [37349])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25478 SSL Active Flow *NS 192.168.16.48 [60674]/Zone-Trust2016/6 (10.193.90.32 [ 43548])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25474 SSL Active Flow * NS 192.168.16.48 [60671]/Zone-Trust2016/6 (10.193.90.32 [31994])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25479 Google-Base-aktiv Fluss * NS 192.168.16.48 [60675]/Zone-Trust2016/6 (10.193.90.32 [15527])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25538 Web-Browsing Active Flow * NS 192.168.16.48 [60710]/Zone-Trust2016/6 ( 10.193.90.32 [17185])
vsys1 68.232.35.180 [443]/Zone-UnTrust (68.232.35.180 [443])
25473 SSL Active Flow *NS 192.168.16.48 [60669]/Zone-Trust2016/6 (10.193.90.32 [35255])
vsys1 216.58.212.163 [443]/Zone-UnTrust ( 216.58.212.163 [443])

 

EIN tieferer Blick in die Session zeigt, dass wir Application Type als SSL identifiziert haben.

 

admin @ Faith-PFW-X1 > Show Session ID 25473

Session 25473

C2S Flow:
Quelle: 192.168.16.48 [Zone-Trust2016]
DST: 216.58.212.163
Proto: 6
Sport: 60669 dport: 443
Zustand: init-Typ: Flow
src-Nutzer: Unbekannter
DST-Nutzer: unbekannt

S2C Flow:
Quelle: 216.58.212.163 [Zone-Untrust]
DST: 10.193.90.32
Proto: 6
Sport: 443 dport: 35255
Zustand: init-Typ: Flow
src-Nutzer: Unbekannter
DST-Nutzer: unbekannt

Startzeit: Di Jun 21 11:37:52 2016
Timeout: 15 sec
Gesamt-Byte-Zählung (C2S): 796
Gesamt-Byte-Zählung (S2C): 4759
layer7 Paket Zahl (C2S): 8
layer7 Paket Zählung (S2C): 8
Vsys: vsys1-
Anwendung: SSL-
Regel: Trust 2016 zur Internet-
Session protokolliert werden am Ende: true
Session in Session Ager: falsche
Session aktualisiert von ha Peer: falsche
Adresse/Port-Übersetzung: Quelle
NAT-Regel: NAT Trust 2016 to Internet (vsys1)
layer7 Verarbeitung: fertige
URL-Filterung aktiviert: falsche
Sitzung Via SYN-Cookies: falsche
Sitzung auf Host beendet: falsche
Session-Traversen-Tunnel: falsche
Captive-Portal-Session: falsche
Eindringen-Schnittstelle: Ethernet1/3
Egress-Schnittstelle: Ethernet1/6
Session QoS rule: N/A (Klasse 4)
Tracker Stage Firewall: TCP FIN
Tracker Stage l7proc: Proxy Timer abgelaufenes
Ende-Grund: TCP-FIN

 

Erklärung

Wenn die Sitzung entschlüsselt ist, wird die APP-ID-Suche auf dem entschlüsselten Fluss ausgelöst, um die Session-Anwendung zu identifizieren. Die Firewall muss genügend Datenpakete lesen, um die Anwendung zu identifizieren. Nachdem der SSL-Handshake abgeschlossen ist, müssen wir maximal 2000 Bytes an Daten lesen, um festzustellen, ob die Anwendung unbekannt ist oder nicht. Wenn der Decoder erkannt wird, z.b. das Surfen im Internet, kann es mehr als 5 Pakete dauern, um die tatsächliche Anwendung zu bestimmen. In den meisten Fällen wird die Anwendung erkannt, bevor Sie diese Datenmenge erhält.

 

Wenn man sich die unten stehende Paket Aufzeichnungs Ausgabe anschaut, sieht man, dass die Kommunikation vor dem Austausch von Anwendungsdaten endete, die es der Firewall ermöglicht hätten, die Anwendung zu identifizieren. 

 

2016_06_28_09_36_40_60669. png2016_06_28_09_27_19_. png

 

Das würde auch gelten, wenn reguläres TLS/SSL um eine eigene APP gewickelt wird: die zugrundeliegende App wäre "Unknown-TCP", wenn Sie nicht verschlüsselt wäre, aber wegen der Verschlüsselung hat APP-ID bereits SSL identifiziert und wird das als App behalten. 

 

Wir hoffen, dass Sie diese Informationen nützlich finden. Bitte hinterlassen Sie einen Daumen nach oben oder einen Kommentar im Abschnitt unten.

 

Siehe auch

Wie viele Daten notwendig sind, um eine Anwendung zu erkennen

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cle8CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language