受限制互联网下访问F5(BigIP)防火墙之SSLVPN分析

当处于有限访问互联网的情况下(只允许访问F5BigIP)防火墙公网IP地址的时候),访问BigIP防火墙使用浏览器如IE,首先需要下载安装F5BIG-IP插件,可以在安装程序管理器里找到安装的该程序。

当访问BigIP防火墙的时候,浏览器首先调用IE插件,对客户机的安全性进行查证,通过安装检查之后才会启用SSLVPN进而激活虚拟网卡,开启VPN隧道。

可以在C:\Windows\DownloadedProgram Files找到这些插件的存放目录。

 

首先分析一下在无限制互联网的情况下的访问情况:

1 解析BigIP防火墙域名,获取IP地址。

2 发出对该IP地址的https请求。

3 交互TLSv1信息,验证网址电子证书,交互协商秘钥。

4 传输,从防火墙下载安全验证相关数据。

5 IE调用插件,启动对PC的安全验证。

6 验证插件的合法性。

7 启动插件,检测病毒库是否合乎要求。

8 合格之后,出现登录画面。

 

通过抓包可以看到,访问过BigIP防火墙IP地址之后,会出现了一个DNS请求,ocsp.verisign.com,接着就开始访问该域名IP地址的HTTP请求,之后紧接着又出现了一个DNS请求,crl.verisign.com,同样接着就开始访问该域名IP地址的HTTP请求。

在有限访问互联网的情况下,由于这两个地址的访问都被禁止,获取不到信息。对这两个地址的访问就不停的翻滚进行,直到超时卡死。

通过分析程序运行发现,这两个访问和64bitProxy.exe文件有因果关系,该文件存放于C:\Windows\DownloadedProgram Files目录,是下载的插件文件之一。这个插件程序是验证PC病毒库的关键,浏览器一次又一次的调用了64bitProxy.exe,一次调用耗时1分钟,超时之后接着下一次的调用,不停往复。IE浏览器就一直停在那儿等待。

为什么一定要访问这两个地址呢?就是上面分析流程中的第6步,验证插件的合法性。查看了该程序,发现该程序有电子签名,该电子证书颁发机构的在线状态正是ocsp.verisign.com,吊销列表是crl.verisign.com,该电子证书失效状态的验证期间间隔是7天,也就是说7天内需要重新获取失效效验状态情况,否则就可能出问题。

那么提出的禁用DNS方案为什么可以混过去,通过跟踪分析发现,禁用DNS之后,对这两个域名的解析当然就没了,当IE浏览器调用了64bitProxy.exe多次失败之后,就改用CMD去调用该程序,结果就成功了,看来CMD调用时不用验证该程序的电子证书,应该是认可为本地程序,安全要求大大降低的原因。

甚至可以去验证一下,正好所有的机器都安装了mcafee,该防病毒软件有禁用程序的功能。打开macfee的控制面板,访问保护的属性,一般最大里有一个选项,Downloaded Program Files目录不启动,把前面的block开启,mcafee去关闭IE64bitProxy.exe的调用,会发现出现登录画面的速度变得快了很多。原因是mcafee关闭IE64bitProxy.exe的调用后,会启用CMD去调用,不用等待IE多次调用失败,然后才用CMD调用了。不过该法谨慎使用,因为DownloadedProgram Files还有其它插件,可能会影响登录之后的其它插件运行。


本文出自 “天才没有那1%是万万不行的” 博客,请务必保留此出处http://xushen.blog.51cto.com/1673219/1595949

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。