受限制互联网下访问F5(BigIP)防火墙之SSLVPN分析

当处于有限访问互联网的情况下(只允许访问F5(BigIP)防火墙公网IP地址的时候),访问BigIP防火墙使用浏览器如IE,首先需要下载安装F5的BIG-IP插件,可以在安装程序管理器里找到安装的该程序。

当访问BigIP防火墙的时候,浏览器首先调用IE插件,对客户机的安全性进行查证,通过安装检查之后才会启用SSLVPN进而激活虚拟网卡,开启VPN隧道。

可以在C:\Windows\DownloadedProgram Files找到这些插件的存放目录。

首先分析一下在无限制互联网的情况下的访问情况:

1 解析BigIP防火墙域名,获取IP地址。

2 发出对该IP地址的https请求。

3 交互TLSv1信息,验证网址电子证书,交互协商秘钥。

4 传输,从防火墙下载安全验证相关数据。

5 IE调用插件,启动对PC的安全验证。

6 验证插件的合法性。

7 启动插件,检测病毒库是否合乎要求。

8 合格之后,出现登录画面。

通过抓包可以看到,访问过BigIP防火墙IP地址之后,会出现了一个DNS请求,ocsp.verisign.com,接着就开始访问该域名IP地址的HTTP请求,之后紧接着又出现了一个DNS请求,crl.verisign.com,同样接着就开始访问该域名IP地址的HTTP请求。

在有限访问互联网的情况下,由于这两个地址的访问都被禁止,获取不到信息。对这两个地址的访问就不停的翻滚进行,直到超时卡死。

通过分析程序运行发现,这两个访问和64bitProxy.exe文件有因果关系,该文件存放于C:\Windows\DownloadedProgram Files目录,是下载的插件文件之一。这个插件程序是验证PC病毒库的关键,浏览器一次又一次的调用了64bitProxy.exe,一次调用耗时1分钟,超时之后接着下一次的调用,不停往复。IE浏览器就一直停在那儿等待。

为什么一定要访问这两个地址呢?就是上面分析流程中的第6步,验证插件的合法性。查看了该程序,发现该程序有电子签名,该电子证书颁发机构的在线状态正是ocsp.verisign.com,吊销列表是crl.verisign.com,该电子证书失效状态的验证期间间隔是7天,也就是说7天内需要重新获取失效效验状态情况,否则就可能出问题。

那么提出的禁用DNS方案为什么可以混过去,通过跟踪分析发现,禁用DNS之后,对这两个域名的解析当然就没了,当IE浏览器调用了64bitProxy.exe多次失败之后,就改用CMD去调用该程序,结果就成功了,看来CMD调用时不用验证该程序的电子证书,应该是认可为本地程序,安全要求大大降低的原因。

甚至可以去验证一下,正好所有的机器都安装了mcafee,该防病毒软件有禁用程序的功能。打开macfee的控制面板,访问保护的属性,一般最大里有一个选项,Downloaded Program Files目录不启动,把前面的block开启,让mcafee去关闭IE对64bitProxy.exe的调用,会发现出现登录画面的速度变得快了很多。原因是mcafee关闭IE对64bitProxy.exe的调用后,会启用CMD去调用,不用等待IE多次调用失败,然后才用CMD调用了。不过该法谨慎使用,因为DownloadedProgram Files还有其它插件,可能会影响登录之后的其它插件运行。

时间: 2024-11-09 00:04:21

受限制互联网下访问F5(BigIP)防火墙之SSLVPN分析的相关文章

F5 BIG-IP负载均衡器配置实例与Web管理界面体验

转载:http://www.zyan.cc/f5_big_ip/ 前言:最近一直在对比测试F5 BIG-IP和Citrix NetScaler负载均衡器的各项性能,于是写下此篇文章,记录F5 BIG-IP的常见应用配置方法. 目前,许多厂商推出了专用于平衡服务器负载的负载均衡器,如F5 Network公司的BIG-IP,Citrix公司的NetScaler.F5 BIG-IP LTM 的官方名称叫做本地流量管理器,可以做4-7层负载均衡,具有负载均衡.应用交换.会话交换.状态监控.智能网络地址转

F5 BIGIP激活

什么是big-ip BIGIP是F5的一个系列围绕软件和硬件组成的应用可用性的产品,接入控制和安全解决方案. BIGIP主软件模块: BIGIP本地交通管理器(LTM) F5的全流量代理功能,LTM提供了创建虚拟服务器.性能.服务.协议.身份验证和安全配置文件以定义和塑造应用程序流量的平台.BIGIP家族中的大多数其他模块都使用LTM作为增强服务的基础. BIGIP dns 以前的全球流量管理器,BIGIP DNS提供类似的安全和负载平衡功能,LTM提供,但在全球/多站点规模.BIGIP DNS

瑞柏匡丞:移动互联网下的社区归途

随着移动互联网时代的到来,曾经在互联网时代喧嚣而热闹的SNS.社区似乎渐渐的被媒体遗忘,也慢慢淡出投资人和互联网创业者的视线,随之而来的是各种五花八门的工具,开发成本低.获取用户快,皆大欢喜. 移动互联网是座金矿!早在2010年的时候,已经有圈内人士发出这样的预言.随着这两年一大堆创业者一股脑涌进来,这个行业已经严重饱和.所获得的效益远远不及几年前一款新产品诞生所带来的影响力和收益. 因此,回归本源,只有重视用户需求才能够长久的生存下来.所以纵观移动互联网行业,基本上是工具性产品的天下,如墨迹天

瑞柏匡丞:移动互联网下手机模块化是否可行

各类五花八门的手机功能和品牌已经将市场分割的非常明确,而模块化手机的出现或许又将是打破现状的有力一击.模块化手机正在从生产厂商的流水线转向大众消费市场.但是,变革总是会伴随着质疑声和阻力的. 由上个世纪开始的电子消费品浪潮给大家的生活带来的冲击.用德生的收音机听广播,松下的随声听学英语,还有Sony的CD和MD听高质量的音乐,后来还有爱国者的MP3,进而在MP3里面能够看视频了,再后来手机的能力增强,广播.音乐.视频.照相,以及游戏都可以在手机里面完成了,手机成为了一个高度集成化的电子消费品.基

移动互联网下的社区归途

随着移动互联网时代的到来,曾经在互联网时代喧嚣而热闹的SNS.社区似乎渐渐的被媒体遗忘,也慢慢淡出投资人和互联网创业者的视线,随之而来的是各种五花八门的工具,开发成本低.获取用户快,皆大欢喜. 移动互联网是座金矿!早在2010年的时候,已经有圈内人士发出这样的预言.随着这两年一大堆创业者一股脑涌进来,这个行业已经严重饱和.所获得的效益远远不及几年前一款新产品诞生所带来的影响力和收益. 因此,回归本源,只有重视用户需求才能够长久的生存下来.所以纵观移动互联网行业,基本上是工具性产品的天下,如墨迹天

互联网下传统“智能电视”已死?

"只要站在风口,猪也能飞起来."这句话,相信很多人听说过.用雷军的原话讲就是"所谓命,就是在合适的时间做合适的事.创业者需要花大量时间去思考,如何找到能够让猪飞起来的台风口,只要在台风口,稍微长一个小的翅膀,就能飞得更高.".直白点说就是养精蓄税,抓住机遇,就能翻身!古代越王勾践卧薪尝胆终实现复国大梦,虽与雷军阐述的机遇含义不一样,但都是勤修内功,抓住机会,获得了成功.如今,随着智能终端的大量普及,移动互联网成为了创业者实现自我梦想的舞台.智能手环.智能电视.智能车

云授权重新定义互联网下的软件保护

对软件加密时,一般要考虑三个纬度,1.加密安全强度:2加密开发工作量:3.加密后维护便捷性.在选用软件加密方案的时候,要综合考虑这三点. 1.加密安全强度 安全强度几个衡量标准: 加密技术:都用了哪些加密技术? 加密算法:破解时间.破解成本 破解:反编译及动态.静态调试. 2.加密开发工作量 技术难度 传统加密锁开发技术用到代码移植技术,但在选择要移植的代码的时候,开发人员就犯难了.选择哪些代码,既能在保证加密的安全强度的情况下,又不影响软件运行性能.这对加密开发人员来说是很棘手的一件事情. 加

F5 BIGIP HA配置

F5 BIG-IP HA配置 配置准备 在做HA实验之前最好把网络拓扑和地址规划好,这样配置HA更简单明了,拓扑如下: IP信息:BIGIP-1管理ip:192.168.150.129BIGIP-2管理ip:192.168.150.130外部vlan13对应ip段:13.1.1.0/24内部vlan12对应ip段:12.1.1.0/24BIGIP HA ip段:11.1.1.1-2/30 注意:两台bigip,最好先配置第二台bigip,然后再配置第一台bigip.如果是一台bigip,那就配置

NXP Mifare S50标准IC卡- 访问位(Access Bits) 分析

Mifare S50 标准IC卡有1K 字节的EEPROM,主要用来存储数据和控制信息.1K 字节的EEPROM分成16 个区,每区又分成4 段,每1段中有16 个字节.每个区的最后一个段叫“尾部"(trailer),它包括两个密钥和这个区中每一个段的访问条件(可编程). 存储器组织(Memory Organization) 存储器访问(Memory Access) 在任何存储器操作前,卡需要先被选择,并经过认证(KEYA或KEYB).对于可寻址的数据块的可能的存储器操作取决于使用的key和存储