Cómo determinar si la sesión se descifraba basándose en los indicadores de los registros exportados/syslog

Cómo determinar si la sesión se descifraba basándose en los indicadores de los registros exportados/syslog

24000
Created On 09/26/18 13:55 PM - Last Modified 06/07/23 16:59 PM


Resolution


Resumen

Para determinar si la sesión fue descifrada por Forward proxy, cHeck el campo Flags en el registro de exportación.

Detalles

El campo flag es una suma de varios valores que describen la sesión con más detalle. Si la suma de un bit y operación en el campo flags y el valor 0x01000000 es mayor que 0 entonces la sesión fue desencriptada por Forward proxy.


Entradas de registro de ejemplo:

Jul 27 23:20:45 10.193.20.181 1, 2013/07/27 23:20:45, 007200001038, Traffic, end, 1, 2013/07/27 23:20:44, 192.168.181.188, 173.194.66.94, 10.193.16.181, 173.194.66.94, L3,,, Web-navegación, vsys1, L3-Trust, L3-Intrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/27 23:20:45, 22162, 1, 1690, 443, 26104, 443,0x1400000, TCP, allow, 10535, 1339, 9196, 21, 2013/07/27 23:18:43, 61, motores de búsqueda, 0, 11498, 0X0, 192.168.0.0-192.168.255.255, Estados Unidos, 0, 9, 12

Jul 27 23:22:52 10.193.20.181 1, 2013/07/27 23:22:52, 007200001038, Traffic, end, 1, 2013/07/27 23:22:52, 192.168.181.188, 23.65.181.80, 10.193.16.181, 23.65.181.80, L3,,, SSL, vsys1, L3-Trust, L3-Intrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/27 23:22:52, 22221, 1, 1699, 443, 54395, 443,0x400000, TCP, allow, 116882, 5721, 111161, 131, 2013/07/27 23:21:14, 68, Content-Delivery Networks, 0, 11523, 0X0, 192.168.0.0-192.168.255.255, Estados Unidos, 0, 48, 83

Jul 27 23:55:17 10.193.20.181 1, 2013/07/27 23:55:17, 007200001038, amenaza, virus, 1, 2013/07/27 23:55:11, 188.40.238.252, 192.168.181.188, 188.40.238.252, 10.193.16.181, L3,,, Web-navegación, vsys1, L3-Untrust, L3-Trust, ethernet1/3, ethernet1/4, ubuntu1, 2013/07/27 23:55:16, 22631, 1, 443, 1721, 443, 33657,0x81400000, TCP, deny, "EICAR. com", EICAR archivo de prueba (100.000), Any, medio, servidor a cliente, 1939, 0X0, Alemania, 192.168.0.0-192.168.255.255, 0,

Para este ejemplo, el descifrado en el cortafuegos de Palo Alto Networks está habilitado para las siguientes categorías: "motores de búsqueda" y "información de computadora y Internet".

Primer registro:

Categoría: motores de búsqueda-Bandera: 0x1400000

0x1400000 & 0x01000000 = 0x01000000 > 0 Esto significa que la sesión fue descifrada

0x1400000 & 0x00400000 = 0x00400000 esta sesión de medios fue natted

Segundo registro:

Category: Content-Delivery-Networks-Bandera: 0x400000

0x400000 & 0x01000000 = 0 Esto significa que la sesión no fue descifrada

0x400000 & 0x00400000 = 0x400000 esta sesión de medios fue natted

Tercer registro:

Category: Computer-and-Internet-info (no visible en este log)-bandera: 0x81400000

0x81400000 & 0x80000000 = 0x80000000 esto significa que hay una captura de paquetes para la sesión

0x81400000 & 0x01000000 = 0x01000000 Esto significa que la sesión fue descifrada

0x81400000 & 0x00400000 = 0x00400000 esta sesión de medios fue natted

Propietario: rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1JCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language