受限制互联网下访问F5(BigIP)防火墙之SSLVPN分析

  当处于有限访问互联网的情况下(只允许访问F5(BigIP)防火墙公网IP地址的时候),访问BigIP防火墙使用浏览器如IE,首先需要下载安装F5的BIG-IP插件,可以在安装程序管理器里找到安装的该程序。

  当访问BigIP防火墙的时候,浏览器首先调用IE插件,对客户机的安全性进行查证,通过安装检查之后才会启用SSLVPN进而激活虚拟网卡,开启VPN隧道。

  可以在C:WindowsDownloadedProgram Files找到这些插件的存放目录。

  首先分析一下在无限制互联网的情况下的访问情况:

  1 解析BigIP防火墙域名,获取IP地址。

  2 发出对该IP地址的https请求。

  3 交互TLSv1信息,验证网址电子证书,交互协商秘钥。

  4 传输,从防火墙下载安全验证相关数据。

  5 IE调用插件,启动对PC的安全验证。

  6 验证插件的合法性。

  7 启动插件,检测病毒库是否合乎要求。

  8 合格之后,出现登录画面。

  通过抓包可以看到,访问过BigIP防火墙IP地址之后,会出现了一个DNS请求,ocsp.verisign.com,接着就开始访问该域名IP地址的HTTP请求,之后紧接着又出现了一个DNS请求,crl.verisign.com,同样接着就开始访问该域名IP地址的HTTP请求。

  在有限访问互联网的情况下,由于这两个地址的访问都被禁止,获取不到信息。对这两个地址的访问就不停的翻滚进行,直到超时卡死。

  通过分析程序运行发现,这两个访问和64bitProxy.exe文件有因果关系,该文件存放于C:WindowsDownloadedProgram Files目录,是下载的插件文件之一。这个插件程序是验证PC病毒库的关键,浏览器一次又一次的调用了64bitProxy.exe,一次调用耗时1分钟,超时之后接着下一次的调用,不停往复。IE浏览器就一直停在那儿等待。

  为什么一定要访问这两个地址呢?就是上面分析流程中的第6步,验证插件的合法性。查看了该程序,发现该程序有电子签名,该电子证书颁发机构的在线状态正是ocsp.verisign.com,吊销列表是crl.verisign.com,该电子证书失效状态的验证期间间隔是7天,也就是说7天内需要重新获取失效效验状态情况,否则就可能出问题。

  那么提出的禁用DNS方案为什么可以混过去,通过跟踪分析发现,禁用DNS之后,对这两个域名的解析当然就没了,当IE浏览器调用了64bitProxy.exe多次失败之后,就改用CMD去调用该程序,结果就成功了,看来CMD调用时不用验证该程序的电子证书,应该是认可为本地程序,安全要求大大降低的原因。

  甚至可以去验证一下,正好所有的机器都安装了mcafee,该防病毒软件有禁用程序的功能。打开macfee的控制面板,访问保护的属性,一般最大里有一个选项,Downloaded Program Files目录不启动,把前面的block开启,让mcafee去关闭IE对64bitProxy.exe的调用,会发现出现登录画面的速度变得快了很多。原因是mcafee关闭IE对64bitProxy.exe的调用后,会启用CMD去调用,不用等待IE多次调用失败,然后才用CMD调用了。不过该法谨慎使用,因为DownloadedProgram Files还有其它插件,可能会影响登录之后的其它插件运行。
    
    文章来源:http://xushen.blog.51cto.com/1673219/1595949

上一篇:安卓防火墙 PS DroidWall

下一篇:DDoS攻击防御方案