Die URL-Kategorie in Entschlüsselung zu lösen, wenn mehrere URLs die gleiche IP verwenden
Resolution
PAN-OS 6.0
Problem
Ein Problem tritt auf, wenn mehrere Webdienste hinter die gleiche IP wie bei Google, die hinter der gleichen Gruppe von IP-Adressen aller Dienstleistungen (z. B. fahren, Translate, Suche Motor, Google +, Karten, Spiel, Google Mail, Kalender und So weiter) beherbergt.
In Fällen, in denen DNS www.google.com und www.drive.google.com in der gleichen IP-Adresse (z.B. 173.194.78.189) löst, verwenden Hosts die gleiche IP für google.com und drive.google.com. Also, wenn die erste Sitzung Verkehr auf www.google.com, Karten der lokale Cache 173.194.78.189 "Suchmaschinen." Dann, wenn der nächste Gastgeber an www.drive.google.com mit dem gleichen Ziel-IP geht, wird die URL-Kategorie in "Suchmaschinen" statt "-persönliche-Onlinespeicher." behoben
Eine Entschlüsselung Maßnahmengruppe zu entschlüsseln, nur die Kategorie "-persönlich-Onlinespeicher" vermisst diese Kombination von Verkehr und echte drive.google.com Daten nicht entschlüsselt werden.
Details
Bei der Problembehandlung im Zusammenhang mit SSL-Entschlüsselung, ist ein guter Ausgangspunkt zu verstehen, wie funktioniert ein Entschlüsselungsmechanismus mit URL-Kategorisierung. Um einen sicheren SSL-Tunnel herstellen, führen Sie Client und Server eine Methode der Authentifizierung. Der Client authentifiziert in der Regel die Identität des Servers anhand des Zertifikats. HTTPS-Verbindung wird immer vom Client initiiert, die zuerst löst die Server-URL, dann sendet ein Client Hallo an die aufgelöste IP-Adresse. Der Client wartet dann auf eine Antwort von der Server-Seite, die das Zertifikat enthalten sollte.
Lösen die richtige URL-Kategorie zu bestimmen, ob bestimmte SSL-Datenverkehr zu entschlüsseln, stützt sich die Palo Alto Networks Firewall auf dem gemeinsamen Namen (CN) das Zertifikat vom Server empfangen. URL-Kategorisierung basiert also auf was im Feld CN gefunden wird. Die aufgelöste URL-Kategorie wird dann auf die Ziel-IP des abgefangenen gesendetes auf Clientseite zugeordnet. Um den Prozess zur Lösung des URL-Kategorie zu beschleunigen, speichert die Firewall jede URL, die Ziel-IP-Zuordnung in seinem lokalen Cache-Speicher. Also wird die nächste Instanz des SSL-Datenverkehr an das gleiche Ziel in die URL-Kategorie bereits im lokalen Cache-Datei gespeicherten behoben. Der Mechanismus der URL-Kategorisierung für Zwecke der Entschlüsselung sieht:
- Client-Hello-Nachricht wird von der Firewall abgefangen.
- Firewall bestimmt des Pakets Ziel-IP-
- Firewall vergleicht die Ziel-IP mit der Liste der IP-URL Kategorie Zuordnung von seinen lokalen Cache-Speicher
- Wenn die gleiche IP-Adresse in der Liste befindet, wird die URL-Kategorie dann aus dem lokalen Cache-Speicher genommen.
- Wenn keine Übereinstimmung im lokalen Cache ist, wartet die Firewall auf eine Antwort vom Server, einen Blick in die Server des Zertifikats CN Feld
- URL-Auflösung basiert auf dem CN-Feld, und dieser Kategorie ist die Server-IP zugeordnet und im lokalen Cache-Speicher für die zukünftige Verwendung der Liste hinzugefügt
Lösung
PAN-OS 6.0 stellt eine neue Methode zum Auflösen von URL-Kategorie für Zwecke der Entschlüsselung. Diese neue Methode basiert nicht auf dem Server Zertifikat CN Feld, sondern auf der SNI (Server Name Anzeige) Wert der SSL-ClientHello Nachricht. Mit dieser Methode wird sichergestellt, dass auf jeden Fall die Palo Alto Networks Firewall richtig die URL-Kategorie des upstream-Verkehr lösen und, mit diesen Informationen die richtigen Entschlüsselung Politik zu engagieren.
Hinweis: das SNI-Feld wird nicht von älteren Versionen von Browsern unterstützt, wie z.b. IE 8,0, die die neueste Version in Win XP ist. So funktioniert die Lösung mit SNI nicht für WinXP-endrechner oder andere Clients, die eine alte Browser-Version verwenden. In diesem Fall oder für Firewalls mit PAN-Betriebssystem früher als 6.0 ist die Lösung zum Erstellen eines breiteren Entschlüsselung Profils um die URL-Kategorie des jeweiligen Dienstes befindet sich hinter der gleichen IP Adresse umfassen.
Besitzer: Djoksimovic