Cómo determinar si la sesión se descifraba basándose en los indicadores de los registros exportados/syslog
Resolution
Resumen
Para determinar si la sesión fue descifrada por Forward proxy, cHeck el campo Flags en el registro de exportación.
Detalles
El campo flag es una suma de varios valores que describen la sesión con más detalle. Si la suma de un bit y operación en el campo flags y el valor 0x01000000 es mayor que 0 entonces la sesión fue desencriptada por Forward proxy.
Entradas de registro de ejemplo:
Jul 27 23:20:45 10.193.20.181 1, 2013/07/27 23:20:45, 007200001038, Traffic, end, 1, 2013/07/27 23:20:44, 192.168.181.188, 173.194.66.94, 10.193.16.181, 173.194.66.94, L3,,, Web-navegación, vsys1, L3-Trust, L3-Intrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/27 23:20:45, 22162, 1, 1690, 443, 26104, 443,0x1400000, TCP, allow, 10535, 1339, 9196, 21, 2013/07/27 23:18:43, 61, motores de búsqueda, 0, 11498, 0X0, 192.168.0.0-192.168.255.255, Estados Unidos, 0, 9, 12
Jul 27 23:22:52 10.193.20.181 1, 2013/07/27 23:22:52, 007200001038, Traffic, end, 1, 2013/07/27 23:22:52, 192.168.181.188, 23.65.181.80, 10.193.16.181, 23.65.181.80, L3,,, SSL, vsys1, L3-Trust, L3-Intrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/27 23:22:52, 22221, 1, 1699, 443, 54395, 443,0x400000, TCP, allow, 116882, 5721, 111161, 131, 2013/07/27 23:21:14, 68, Content-Delivery Networks, 0, 11523, 0X0, 192.168.0.0-192.168.255.255, Estados Unidos, 0, 48, 83
Jul 27 23:55:17 10.193.20.181 1, 2013/07/27 23:55:17, 007200001038, amenaza, virus, 1, 2013/07/27 23:55:11, 188.40.238.252, 192.168.181.188, 188.40.238.252, 10.193.16.181, L3,,, Web-navegación, vsys1, L3-Untrust, L3-Trust, ethernet1/3, ethernet1/4, ubuntu1, 2013/07/27 23:55:16, 22631, 1, 443, 1721, 443, 33657,0x81400000, TCP, deny, "EICAR. com", EICAR archivo de prueba (100.000), Any, medio, servidor a cliente, 1939, 0X0, Alemania, 192.168.0.0-192.168.255.255, 0,
Para este ejemplo, el descifrado en el cortafuegos de Palo Alto Networks está habilitado para las siguientes categorías: "motores de búsqueda" y "información de computadora y Internet".
Primer registro:
Categoría: motores de búsqueda-Bandera: 0x1400000
0x1400000 & 0x01000000 = 0x01000000 > 0 Esto significa que la sesión fue descifrada
0x1400000 & 0x00400000 = 0x00400000 esta sesión de medios fue natted
Segundo registro:
Category: Content-Delivery-Networks-Bandera: 0x400000
0x400000 & 0x01000000 = 0 Esto significa que la sesión no fue descifrada
0x400000 & 0x00400000 = 0x400000 esta sesión de medios fue natted
Tercer registro:
Category: Computer-and-Internet-info (no visible en este log)-bandera: 0x81400000
0x81400000 & 0x80000000 = 0x80000000 esto significa que hay una captura de paquetes para la sesión
0x81400000 & 0x01000000 = 0x01000000 Esto significa que la sesión fue descifrada
0x81400000 & 0x00400000 = 0x00400000 esta sesión de medios fue natted
Propietario: rweglarz