Comment faire pour déterminer si la session a été décryptée basée sur les indicateurs dans les journaux exportés/syslog
Resolution
Vue d’ensemble
Pour déterminer si la session a été décryptée par proxy avant, cHeck le champ Flags dans le journal d'exportation.
Détails
Le champ Flag est une somme de plusieurs valeurs décrivant la session plus en détail. Si la somme d'une opération de bits and sur le champ Flags et la valeur 0x01000000 est supérieure à 0, alors la session a été décryptée par proxy avant.
Exemples d'entrées de journal:
Juil 27 23:20:45 10.193.20.181 1, 2013/07/27 23:20:45, 007200001038, Traffic, end, 1, 2013/07/27 23:20:44, 192.168.181.188, 173.194.66.94, 10.193.16.181, 173.194.66.94, L3,,, navigation sur le Web, vsys1, L3-Trust, L3-detrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/27 23:20:45, 22162, 1, 1690, 443, 26104, 443,0x1400000, TCP, autoriser, 10535, 1339, 9196, 21, 2013/07/27 23:18:43, 61, Search-Engines, 0, 11498, 0x0, 192.168.0.0-192.168.255.255, Etats-Unis, 0, 9, 12
Juil 27 23:22:52 10.193.20.181 1, 2013/07/27 23:22:52, 007200001038, Traffic, fin, 1, 2013/07/27 23:22:52, 192.168.181.188, 23.65.181.80, 10.193.16.181, 23.65.181.80, L3,,, SSL, vsys1, L3-Trust, L3-detrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/27 23:22:52, 22221, 1, 1699, 443, 54395, 443,0x400000, TCP, Allow, 116882, 5721, 111161, 131, 2013/07/27 23:21:14, 68, Content-Delivery-Networks, 0, 11523, 0x0, 192.168.0.0-192.168.255.255, Etats-Unis, 0, 48, 83
Juil 27 23:55:17 10.193.20.181 1, 2013/07/27 23:55:17, 007200001038, Threat, virus, 1, 2013/07/27 23:55:11, 188.40.238.252, 192.168.181.188, 188.40.238.252, 10.193.16.181, L3,,, navigation sur le Web, vsys1, L3-méfiance, L3-Trust, ethernet1/3, ethernet1/4, ubuntu1, 2013/07/27 23:55:16, 22631, 1, 443, 1721, 443, 33657,0x81400000, TCP, Deny, "EICAR. com", EICAR Test File (100,000), any, Medium, Server-to-client, 1939, 0x0, Allemagne, 192.168.0.0-192.168.255.255, 0,
Pour cet exemple, le décryptage sur le pare-feu de Palo Alto Networks est activé pour les catégories suivantes: "moteurs de recherche" et "ordinateur-et-Internet-Info".
Premier log:
Catégorie: moteurs de recherche-Flag: 0x1400000
0x1400000 & 0x01000000 = 0x01000000 > 0 cela signifie que la session a été décryptée
0x1400000 & 0x00400000 = 0x00400000 cela signifie que la session a été natted
Deuxième log:
Catégorie: Content-Delivery-Networks-Flag: 0x400000
0x400000 & 0x01000000 = 0 cela signifie que la session n'a pas été décryptée
0x400000 & 0x00400000 = 0x400000 cela signifie que la session a été natted
Troisième log:
Catégorie: ordinateur-et-Internet-Info (non visible dans ce journal)-Flag: 0x81400000
0x81400000 & 0x80000000 = 0x80000000 cela signifie qu'il y a une capture de paquets pour la session
0x81400000 & 0x01000000 = 0x01000000 cela signifie que la session a été décryptée
0x81400000 & 0x00400000 = 0x00400000 cela signifie que la session a été natted
propriétaire : rweglarz