Wie kann man feststellen, ob die Sitzung auf der Grundlage von Flaggen in exportierten/syslog-Protokollen entschlüsselt wurde
Resolution
Übersicht
Um festzustellen, ob die Sitzung durch vorwärts-Proxy entschlüsselt wurde, wird cdas Fahnen Feld im Export Protokoll.
Details
Das Fahnen Feld ist eine Summe von mehreren Werten, die die Sitzung genauer beschreiben. Wenn die Summe einer Bitwise und Operation auf dem Fahnen Feld und dem Wert 0x01000000 größer als 0 ist, dann wurde die Sitzung durch Forward Proxy entschlüsselt.
Beispiel Log-Einträge:
Jul 27 23:20:45 10.193.20.181 1, 2013/07/27 23:20:45, 007200001038, Verkehr, Ende, 1, 2013/07/27 23:20:44, 192.168.181.188, 173.194.66.94, 10.193.16.181, 173.194.66.94, L3,,, Web-Browsing, vsys1, L3-Trust, L3-Untrust, Ethernet1/4, Ethernet1/3, ubuntu1, 2013/07/27 23:20:45, 22162, 1, 1690, 443, 26104, 443,0x1400000, TCP, allow, 10535, 1339, 9196, 21, 2013/07/27 23:18:43, 61, Suchmaschinen, 0, 11498, 0x0, 192.168.0.0-192.168.255.255, Vereinigte Staaten, 0, 9, 12
Jul 27 23:22:52 10.193.20.181 1, 2013/07/27 23:22:52, 007200001038, Verkehr, Ende, 1, 2013/07/27 23:22:52, 192.168.181.188, 23.65.181.80, 10.193.16.181, 23.65.181.80, L3,,, SSL, vsys1, L3-Trust, L3-Untrust, Ethernet1/4, Ethernet1/3, ubuntu1, 2013/07/27 23:22:52, 22221, 1, 1699, 443, 54395, 443,0x400000, TCP, allow, 116882, 5721, 111161, 131, 2013/07/27 23:21:14, 68, Inhalt-Lieferung-Netze, 0, 11523, 0x0, 192.168.0.0-192.168.255.255, Vereinigte Staaten, 0, 48, 83
Jul 27 23:55:17 10.193.20.181 1, 2013/07/27 23:55:17, 007200001038, Bedrohung, Virus, 1, 2013/07/27 23:55:11, 188.40.238.252, 192.168.181.188, 188.40.238.252, 10.193.16.181, L3,,, Web-Browsing, vsys1, L3-Untrust, L3-Trust, Ethernet1/3, Ethernet1/4, ubuntu1, 2013/07/27 23:55:16, 22631, 1, 443, 1721, 443, 33657,0x81400000, TCP, Deny, "EICAR. com", EICAR-Testdatei (100000), Any, Medium, Server-to-Client, 1939, 0x0, Deutschland, 192.168.0.0-192.168.255.255 ,
Für dieses Beispiel ist die Entschlüsselung auf der Palo Alto Networks Firewall für die folgenden Kategorien aktiviert: "Suchmaschinen" und "Computer-und-Internet-Info".
Erster Log:
Kategorie: Suchmaschinen-Fahne: 0x1400000
0x1400000 & 0x01000000 = 0x01000000 > 0 das bedeutet, dass Session entschlüsselt wurde
0x1400000 & 0x00400000 = 0x00400000 das bedeutet , dass Session
Zweiter Log:
Kategorie: Inhalt-Lieferung-Netze-Flagge: 0x400000
0x400000 & 0x01000000 = 0 das bedeutet, dass Session nicht entschlüsselt wurde
0x400000 & 0x00400000 = 0x400000 das bedeutet , dass Session
Drittes Protokoll:
Kategorie: Computer-und-Internet-Info (nicht sichtbar in diesem Log)-Flag: 0x81400000
0x81400000 & 0x80000000 = 0x80000000 das bedeutet, dass es eine Paket Aufnahme für die Session gibt
0x81400000 & 0x01000000 = 0x01000000 das bedeutet, dass Session entschlüsselt wurde
0x81400000 & 0x00400000 = 0x00400000 das bedeutet , dass Session
Besitzer: Rweglarz