複数の Url が同じ ip アドレスを使用したときの復号化 URL カテゴリを解決します。

複数の Url が同じ ip アドレスを使用したときの復号化 URL カテゴリを解決します。

42123
Created On 09/26/18 13:48 PM - Last Modified 05/31/23 20:53 PM


Resolution


パン-OS 6.0

問題

問題が Google と同じグループの IP アドレスの背後にあるすべてのサービス (のようなドライブ、翻訳、検索エンジン、グーグル、マップ、プレイ、Gmail、カレンダーなどなど) をホストしている場合は、同じ ip アドレスの背後にある複数の web サービスがある場合が発生します。


DNS 解決 www.google.com と同じ IP アドレス (たとえば、173.194.78.189) の www.drive.google.com の両方のケースでは、ホストは、google.com と drive.google.com の両方に同じ ip アドレスを使用します。だから、www.google.com を最初のセッション トラフィックの場合は、ローカル キャッシュにマップ「検索エンジン」に 173.194.78.189その後、次のホストは同じ宛先 ip アドレスを使用して www.drive.google.com に行き、URL カテゴリが解決されます「オンライン-個人-ストレージ」ではなく「検索エンジン」の

設定「オンライン個人的なストレージ」カテゴリのみを復号化復号化政策ミスこのトラフィック組み合わせと本物の drive.google.com データは解読できません。

詳細

SSL 復号化に関連する問題をトラブルシューティングするには、良い出発点は、URL の分類の復号化メカニズムのしくみを理解します。セキュリティで保護された SSL トンネルを確立して、クライアントとサーバーの認証方法を実行します。通常、クライアントはその証明書に基づくサーバーの id を認証します。HTTPS 接続は、常に、まずサーバーの URL を解決し、解決された IP アドレスを送信、クライアントこんにちはクライアントによって開始します。クライアントは、その証明書を含める必要がありますサーバー側からの応答を待ちます。

適切な URL カテゴリを解決し、特定の SSL トラフィックを復号化するかどうかを決定する、パロ ・ アルトのネットワーク ファイアウォールは、サーバーから受信した証明書の共通名 (CN) フィールドに依存します。だから、URL カテゴリは、CN のフィールドで見られるものに基づいています。解決 URL カテゴリはクライアント側から送られた傍受したパケットの宛先の ip アドレスにマップされます。URL カテゴリを解決するプロセスをスピードアップするには、ファイアウォールはローカル キャッシュ ・ メモリに各 URL には宛先 IP のマッピングを格納します。だから、同じ宛先への SSL トラフィックの次のインスタンスは既にローカル キャッシュ ファイルに格納されている URL のカテゴリで解決されます。  URL カテゴリの復号化のためのメカニズムはようになります。

  1. ファイアウォールによってクライアントこんにちはメッセージを傍受します。
  2. ファイアウォールには、パケットの宛先 IP を判断します
  3. ファイアウォールがローカル キャッシュ メモリから IP の URL マッピングのリストとその宛先 IP を比較します。
  4. URL カテゴリがローカル キャッシュ メモリから取得されます、同じ ip アドレスが一覧にある場合
  5. ファイアウォールが証明書の CN フィールド サーバーで見て、サーバーからの応答を待機するローカル キャッシュ内で一致が見つからない場合
  6. URL の解決は CN フィールドに基づいており、そのカテゴリはサーバーの ip アドレスにマップされ、将来使用するためのローカル キャッシュ メモリ内のリストに追加

解決方法

パン OS 6.0 は、復号化のため URL カテゴリを解決する新しい方法を紹介します。この新しいメソッドは、サーバーの証明書の CN フィールドではなく SSL ClientHello メッセージの SNI (サーバー名を示します) の値に基づいていません。このメソッドを使用してによって、各状況下でパロ ・ アルトのネットワーク ファイアウォールできます正しくアップ ストリーム トラフィックの URL カテゴリを解決する情報が、正しく復号化政策に従事します。

画面ショット 2014-12-29 5.04.43 PM copy.jpg


注: SNI フィールドは、Win XP の最新バージョンである IE 8.0 のような古いバージョンのブラウザではサポートされていません。したがって、SNI のソリューションは WinXP のエンドホストまたは古いブラウザのバージョンを使用して他のクライアントのために動作しません。この場合、または 6.0 より前パン OS を実行しているファイアウォールの回避策は、同じ IP アドレスの背後にある各サービスの URL カテゴリを構成する広範な復号化プロファイルを作成します。

所有者: djoksimovic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpUCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language