De acuerdo

Comprobación de la coherencia de SNI y SAN/CN

Última respuesta jun. 20, 2022 12:20:40 61 1 0 0 0

Comprobación de la coherencia de SNI y SAN/CN


SNI es el identificador del nombre del servidor. El SNI transportado en el paquete Client Hello es el nombre de host DNS del servidor. Por ejemplo, cuando se introduce un nombre de dominio en un navegador para acceder a un servidor, el SNI en el paquete Client Hello enviado por el cliente es el nombre de dominio introducido. El nombre alternativo del sujeto o Subject Alternative Name (SAN) y el nombre común (CN) son campos del certificado del servidor. Cuando se solicita un certificado de servidor, se puede utilizar el nombre de host DNS del servidor como SAN y CN. Por lo tanto, el SNI y el SAN/CN utilizados para acceder al servidor son consistentes. El FW verifica la consistencia del SNI y SAN/CN para hacer frente a las excepciones.


Como se muestra en la Figura 1, cuando un usuario accede al sitio web ilegal www.example.com utilizando el navegador Internet Explorer en el sistema Windows, puede establecer políticas de detección de tráfico cifrado SSL en el FW para prohibir los accesos. Sin embargo, si el usuario se entera de que el FW permite el acceso al sitio web www.test.com, puede añadir la asignación entre el www.test.com y la dirección IP 1.1.1.1 al archivo del sistema Hosts. Entonces, el usuario accede al sitio web www.test.com. De acuerdo con la política2 que permite el acceso a www.test.com, el FW permite las solicitudes de acceso. De esta manera, el usuario accede con éxito al servidor ilegal con la dirección IP 1.1.1.1 modificando la regla de mapeo.


Para evitar la situación anterior, el FW añade la verificación de la consistencia entre el SNI y el SAN/CN a la detección de tráfico cifrado SSL. En el escenario de detección de tráfico encriptado SSL, después de que el usuario modifique el archivo de sistema Hosts, el SNI transportado en el paquete Client Hello se cambia en consecuencia. Sin embargo, el SAN/CN en el certificado del servidor permanece inalterado. De esta manera, el SNI en el paquete Client Hello es inconsistente con el SAN/CN en el certificado del servidor. Basándose en los resultados de la comprobación de consistencia, el FW identifica y bloquea el tráfico anormal (aunque el tráfico se libera según la política2, sigue bloqueado después de que la comprobación de consistencia del SNI y el SAN/CN coincida con la política de bloqueo).


Nota:

Al comprobar la coherencia del SNI y del SAN/CN, el FW compara preferentemente el SAN con el SNI. Si el SAN es nulo, el FW compara el CN con el SNI. El CN es obligatorio para solicitar el certificado. Por lo tanto, es imposible que tanto el SAN como el CN sean nulos.


La inconsistencia de SNI y SAN/CN no es causada definitivamente por la modificación del archivo del sistema Hosts. El escenario anterior es sólo un ejemplo. En situaciones reales, el SNI y el SAN/CN de algún tráfico son inconsistentes, pero el tráfico es normal. Por lo tanto, la comprobación de consistencia es sólo una opción para la gestión del tráfico cifrado con SSL. Puede configurar el FW para permitir o bloquear el tráfico cuando el SNI y el SAN/CN sean inconsistentes.


comprobación de consistencia de SNI y SAN/CN

 

Figura 1. Diagrama esquemático de la comprobación de consistencia de SNI y SAN/CN.


Saludos.


FIN.



También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

                                                

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

Foro de Internet de las Cosas

                                                         

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente



  • x
  • Opciones:

Gustavo.HdezF
Admin Publicado 2022-6-20 12:20:40
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.