Wie kann man feststellen, ob die Sitzung auf der Grundlage von Flaggen in exportierten/syslog-Protokollen entschlüsselt wurde

Übersicht

Um festzustellen, ob die Sitzung durch vorwärts-Proxy entschlüsselt wurde, wird cdas Fahnen Feld im Export Protokoll.

Details

Das Fahnen Feld ist eine Summe von mehreren Werten, die die Sitzung genauer beschreiben. Wenn die Summe einer Bitwise und Operation auf dem Fahnen Feld und dem Wert 0x01000000 größer als 0 ist, dann wurde die Sitzung durch Forward Proxy entschlüsselt.

Beispiel Log-Einträge:

Jul 27 23:20:45 10.193.20.181 1, 2013/07/27 23:20:45, 007200001038, Verkehr, Ende, 1, 2013/07/27 23:20:44, 192.168.181.188, 173.194.66.94, 10.193.16.181, 173.194.66.94, L3,,, Web-Browsing, vsys1, L3-Trust, L3-Untrust, Ethernet1/4, Ethernet1/3, ubuntu1, 2013/07/27 23:20:45, 22162, 1, 1690, 443, 26104, 443,0x1400000, TCP, allow, 10535, 1339, 9196, 21, 2013/07/27 23:18:43, 61, Suchmaschinen, 0, 11498, 0x0, 192.168.0.0-192.168.255.255, Vereinigte Staaten, 0, 9, 12

Jul 27 23:22:52 10.193.20.181 1, 2013/07/27 23:22:52, 007200001038, Verkehr, Ende, 1, 2013/07/27 23:22:52, 192.168.181.188, 23.65.181.80, 10.193.16.181, 23.65.181.80, L3,,, SSL, vsys1, L3-Trust, L3-Untrust, Ethernet1/4, Ethernet1/3, ubuntu1, 2013/07/27 23:22:52, 22221, 1, 1699, 443, 54395, 443,0x400000, TCP, allow, 116882, 5721, 111161, 131, 2013/07/27 23:21:14, 68, Inhalt-Lieferung-Netze, 0, 11523, 0x0, 192.168.0.0-192.168.255.255, Vereinigte Staaten, 0, 48, 83

Jul 27 23:55:17 10.193.20.181 1, 2013/07/27 23:55:17, 007200001038, Bedrohung, Virus, 1, 2013/07/27 23:55:11, 188.40.238.252, 192.168.181.188, 188.40.238.252, 10.193.16.181, L3,,, Web-Browsing, vsys1, L3-Untrust, L3-Trust, Ethernet1/3, Ethernet1/4, ubuntu1, 2013/07/27 23:55:16, 22631, 1, 443, 1721, 443, 33657,0x81400000, TCP, Deny, "EICAR. com", EICAR-Testdatei (100000), Any, Medium, Server-to-Client, 1939, 0x0, Deutschland, 192.168.0.0-192.168.255.255 ,

Für dieses Beispiel ist die Entschlüsselung auf der Palo Alto Networks Firewall für die folgenden Kategorien aktiviert: "Suchmaschinen" und "Computer-und-Internet-Info".

Erster Log:

Kategorie: Suchmaschinen-Fahne: 0x1400000

0x1400000 & 0x01000000 = 0x01000000 > 0 das bedeutet, dass Session entschlüsselt wurde

0x1400000 & 0x00400000 = 0x00400000 das bedeutet , dass Session

Zweiter Log:

Kategorie: Inhalt-Lieferung-Netze-Flagge: 0x400000

0x400000 & 0x01000000 = 0 das bedeutet, dass Session nicht entschlüsselt wurde

0x400000 & 0x00400000 = 0x400000 das bedeutet , dass Session

Drittes Protokoll:

Kategorie: Computer-und-Internet-Info (nicht sichtbar in diesem Log)-Flag: 0x81400000

0x81400000 & 0x80000000 = 0x80000000 das bedeutet, dass es eine Paket Aufnahme für die Session gibt

0x81400000 & 0x01000000 = 0x01000000 das bedeutet, dass Session entschlüsselt wurde

0x81400000 & 0x00400000 = 0x00400000 das bedeutet , dass Session

Besitzer: Rweglarz