Sesión SSL desencriptada marcada como aplicación SSL

Sesión SSL desencriptada marcada como aplicación SSL

27896
Created On 09/25/18 19:48 PM - Last Modified 06/09/23 07:36 AM


Resolution


Incidencia

 

Sabemos que el descifrado SSL se supone que nos da visibilidad de tráfico que de otro modo sería encriptado. Por lo tanto, esperaríamos que el tráfico descifrado sea identificado como las aplicaciones subyacentes, como la navegación por Internet, la base de Facebook u otra, pero no como SSL. Sin embargo, en algunos escenarios, ver la aplicación SSL como descifrado es un comportamiento esperado. Este artículo cubre uno de estos escenarios y explica por qué una sesión SSL descifrada identificada como aplicación SSL es, en este caso, considerada aceptable. 

 

En el ejemplo siguiente, intentamos acceder al siguiente sitio web: 

https://My.VMware.com/web/VMware/login

 

Desde la tabla de sesión, podemos ver que la sesión está marcada como desencriptada (*)

admin @ Faith-PFW-x1 > Mostrar sesión todos los filtros SSL-descifrar sí

--------------------------------------------------------------------------------
ID de solicitud de estado de tipo de indicador src [Sport]/Zone/proto (traducido IP [puerto])
Vsys DST [dport]/Zone (traducido IP [puerto])
--------------------------- -----------------------------------------------------
25472 SSL activo flujo *NS 192.168.16.48 [60668]/Zone-Trust2016/6 (10.193.90.32 [61785])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25475 SSL activo FLOW *NS 192.168.16.48 [60670]/Zone-Trust2016/6 (10.193.90.32 [37349])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25478 SSL flujo activo *NS 192.168.16.48 [60674]/Zone-Trust2016/6 (10.193.90.32 [ 43548])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25474 SSL activo flujo * NS 192.168.16.48 [60671]/Zone-Trust2016/6 (10.193.90.32 [31994])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25479 Google-base flujo activo * NS 192.168.16.48 [60675]/Zone-Trust2016/6 (10.193.90.32 [15527])
vsys1 216.58.212.163 [443]/Zone-UnTrust (216.58.212.163 [443])
25538 navegación web flujo activo * NS 192.168.16.48 [60710]/Zone-Trust2016/6 ( 10.193.90.32 [17185])
vsys1 68.232.35.180 [443]/Zone-UnTrust (68.232.35.180 [443])
25473 SSL flujo activo *NS 192.168.16.48 [60669]/Zone-Trust2016/6 (10.193.90.32 [35255])
vsys1 216.58.212.163 [443]/Zone-UnTrust ( 216.58.212.163 [443])

 

Una mirada más profunda a la sesión muestra que tenemos el tipo de aplicación identificado como SSL.

 

admin @ Faith-PFW-X1 > Mostrar Session ID 25473

Sesión 25473

flujo de C2S:
Fuente: 192.168.16.48 [Zone-Trust2016]
DST: 216.58.212.163
proto: 6
deporte: 60669 dport: 443
Estado: init tipo: flujo
src usuario: desconocido
DST usuario: desconocido

s2c flujo:
Fuente: 216.58.212.163 [Zone-Untrust]
DST: 10.193.90.32
proto: 6
deporte: 443 dport: 35255
Estado: init tipo: flujo
src usuario: desconocido
DST usuario: desconocido

hora de Inicio: Tue Jun 21 11:37:52 2016
timeout: 15 sec número
total de bytes (C2S): 796
total de bytes (s2c): 4759
layer7 de paquetes (C2S): 8
layer7 de paquetes (s2c): 8
vsys: vsys1
aplicación: SSL
regla: confianza 2016 a
sesión de Internet para ser registrado al final: sesión verdadera
en sesión de edad:
sesión falsa actualizada por ha peer:
dirección falsa/traducción de puerto: origen
NAT-regla: NAT Trust 2016 a Internet (vsys1)
layer7 procesamiento:
filtrado de URL completado habilitado:
sesión falsa Via SYN-cookies:
sesión falsa terminada en host:
sesión falsa atraviesa túnel: falsa
sesión portal cautivo: falso
ingreso interfaz: ethernet1/3
salida interfaz: ethernet1/6
sesión QoS regla: N/A (clase 4)
Tracker Stage Firewall: TCP fin
Tracker etapa l7proc: temporizador de proxy final expirado
-motivo: TCP-fin

 

Explicación

Cuando se descifra la sesión, se activa la búsqueda de app-id en el flujo descifrado para ayudar a identificar la aplicación de sesión. El cortafuegos necesita leer suficientes paquetes de datos para identificar la aplicación. Una vez completado el protocolo SSL, necesitaríamos leer un máximo de 2000 bytes de datos para determinar si la aplicación es desconocida o no. Cuando se detecta el descodificador, por ejemplo, la navegación por la web, puede tomar más de 5 paquetes para determinar la aplicación real. En la mayoría de los casos, la aplicación será reconocida antes de recibir esa cantidad de datos.

 

Observando la salida de captura de paquetes a continuación, vemos que la comunicación terminó antes del intercambio de datos de aplicaciones que habría permitido al firewall identificar la aplicación. 

 

2016_06_28_09_36_40_60669. png2016_06_28_09_27_19_. png

 

Esto también se aplicaría si TLS/SSL regular se envuelve en alguna aplicación personalizada: la aplicación subyacente sería "desconocido-TCP" si no estuviera encriptada, pero debido a la encriptación, app-id ya ha identificado SSL y mantendrá que como la aplicación. 

 

Esperamos que esta información le resulte útil. Por favor, deje un pulgar hacia arriba o un Comentario en la sección de abajo.

 

Véase también

Cuántos datos son necesarios para reconocer una aplicación

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cle8CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language