受限制互聯網下訪問F5(BigIP)防火墻之SSLVPN分析
責編:admin |2014-12-26 11:14:28當處于有限訪問互聯網的情況下(只允許訪問F5(BigIP)防火墻公網IP地址的時候),訪問BigIP防火墻使用瀏覽器如IE,首先需要下載安裝F5的BIG-IP插件,可以在安裝程序管理器里找到安裝的該程序。
當訪問BigIP防火墻的時候,瀏覽器首先調用IE插件,對客戶機的安全性進行查證,通過安裝檢查之后才會啟用SSLVPN進而激活虛擬網卡,開啟VPN隧道。
可以在C:WindowsDownloadedProgram Files找到這些插件的存放目錄。
首先分析一下在無限制互聯網的情況下的訪問情況:
1 解析BigIP防火墻域名,獲取IP地址。
2 發出對該IP地址的https請求。
3 交互TLSv1信息,驗證網址電子證書,交互協商秘鑰。
4 傳輸,從防火墻下載安全驗證相關數據。
5 IE調用插件,啟動對PC的安全驗證。
6 驗證插件的合法性。
7 啟動插件,檢測病毒庫是否合乎要求。
8 合格之后,出現登錄畫面。
通過抓包可以看到,訪問過BigIP防火墻IP地址之后,會出現了一個DNS請求,ocsp.verisign.com,接著就開始訪問該域名IP地址的HTTP請求,之后緊接著又出現了一個DNS請求,crl.verisign.com,同樣接著就開始訪問該域名IP地址的HTTP請求。
在有限訪問互聯網的情況下,由于這兩個地址的訪問都被禁止,獲取不到信息。對這兩個地址的訪問就不停的翻滾進行,直到超時卡死。
通過分析程序運行發現,這兩個訪問和64bitProxy.exe文件有因果關系,該文件存放于C:WindowsDownloadedProgram Files目錄,是下載的插件文件之一。這個插件程序是驗證PC病毒庫的關鍵,瀏覽器一次又一次的調用了64bitProxy.exe,一次調用耗時1分鐘,超時之后接著下一次的調用,不停往復。IE瀏覽器就一直停在那兒等待。
為什么一定要訪問這兩個地址呢?就是上面分析流程中的第6步,驗證插件的合法性。查看了該程序,發現該程序有電子簽名,該電子證書頒發機構的在線狀態正是ocsp.verisign.com,吊銷列表是crl.verisign.com,該電子證書失效狀態的驗證期間間隔是7天,也就是說7天內需要重新獲取失效效驗狀態情況,否則就可能出問題。
那么提出的禁用DNS方案為什么可以混過去,通過跟蹤分析發現,禁用DNS之后,對這兩個域名的解析當然就沒了,當IE瀏覽器調用了64bitProxy.exe多次失敗之后,就改用CMD去調用該程序,結果就成功了,看來CMD調用時不用驗證該程序的電子證書,應該是認可為本地程序,安全要求大大降低的原因。
甚至可以去驗證一下,正好所有的機器都安裝了mcafee,該防病毒軟件有禁用程序的功能。打開macfee的控制面板,訪問保護的屬性,一般最大里有一個選項,Downloaded Program Files目錄不啟動,把前面的block開啟,讓mcafee去關閉IE對64bitProxy.exe的調用,會發現出現登錄畫面的速度變得快了很多。原因是mcafee關閉IE對64bitProxy.exe的調用后,會啟用CMD去調用,不用等待IE多次調用失敗,然后才用CMD調用了。不過該法謹慎使用,因為DownloadedProgram Files還有其它插件,可能會影響登錄之后的其它插件運行。
文章來源:http://xushen.blog.51cto.com/1673219/1595949
下一篇:DDoS攻擊防御方案