问
IPS设备如何查看客户web使用的是哪种加密算法
5小时前提问
- 0关注
- 0收藏,37浏览
方法一:通过查看会话日志(Session Log) - 最直接的方法
这是首选方法,因为H3C设备的会话日志通常会直接记录建立连接的SSL/TLS版本和加密套件。
- 1.
开启日志记录功能:
- •确保设备的日志功能已开启,并且日志级别设置得足够详细(例如
debug或informational)。 - •使用以下命令确认:确保与
display info-center sourcesessionlog相关的源是开启的。
- •确保设备的日志功能已开启,并且日志级别设置得足够详细(例如
- 2.
查看实时日志:
- •当客户通过浏览器登录设备时,在设备的CLI(命令行界面)上执行以下命令,实时查看会话日志。
- •最关键的命令是:或者更精确地匹配:
display logbuffer | include SSL|TLS|Cipherdisplay logbuffer | include "SSL connection|Cipher suite" - •这条命令会过滤日志缓冲区,只显示包含SSL、TLS或Cipher关键词的日志条目。
- 3.
分析日志输出:
- •查找类似于下面的日志条目。不同版本软件格式可能略有差异,但关键信息一致:
%%% SSL session: Session(1): ClientIP(192.168.1.100)-ServerIP(192.168.1.1). The negotiated protocol version is TLSv1.2, and the cipher suite is ECDHE-RSA-AES256-GCM-SHA384. - •关键信息:
- •
TLSv1.2: 表示使用的TLS协议版本。 - •
ECDHE-RSA-AES256-GCM-SHA384: 这就是加密套件(Cipher Suite)的名称,它完整定义了本次连接所使用的算法组合。
- •
- •查找类似于下面的日志条目。不同版本软件格式可能略有差异,但关键信息一致:
- 4.
了解加密套件的含义:
- •一个加密套件名称通常包含4部分:
- •密钥交换算法:
ECDHE(椭圆曲线迪菲-赫尔曼密钥交换)。用于在客户端和设备之间安全地生成会话密钥。 - •身份验证算法:
RSA。用于验证服务器的身份(即确认是真正的H3C设备)。 - •对称加密算法:
AES256-GCM。用于加密实际传输数据的算法,这里是256位密钥的AES,GCM模式。 - •消息认证码(MAC)算法:
SHA384。用于确保数据的完整性。
- •密钥交换算法:
- •一个加密套件名称通常包含4部分:
方法二:使用Packet Capture功能进行抓包分析
如果日志中没有直接显示信息,或者您需要进行更深入的分析,可以使用设备内置的抓包功能。
- 1.
在IPS上配置抓包:
- •定义一个ACL来精确匹配客户端的IP地址和设备Web服务的端口(通常是443)。
acl advanced 3000 rule permit tcp source <client-ip> 0 destination <device-management-ip> 0 destination-port eq 443 - •创建抓包策略并应用上述ACL。
packet-capture ip interface <your-management-interface> acl 3000 - •让客户重现登录操作,然后停止抓包。
packet-capture stop
- •定义一个ACL来精确匹配客户端的IP地址和设备Web服务的端口(通常是443)。
- 2.
导出并分析数据包:
- •将抓取的
.pcap文件从设备上下载到本地。 - •使用 Wireshark 等工具打开该文件。
- •在Wireshark中过滤SSL/TLS流量:
tcp.port == 443。 - •找到
Client Hello 和 Server Hello 的数据包。 - •在
Server Hello数据包的详细信息中,会有一个字段叫 Cipher Suite,这里明确显示了服务器(IPS设备)最终选择的加密套件。
- •将抓取的
方法三:检查SSL策略或安全策略配置(间接方法)
您也可以查看设备上配置的SSL策略,这决定了设备允许使用哪些算法,从而可以推断出最终协商出的算法会是允许列表中最强的一个。
- 1.查看当前SSL策略:
display ssl server-policy - 2.在输出中,您会看到类似于
Cipher-Suite List的配置项,它列出了设备支持的所有加密套件。客户端会从列表中选择它支持的最强套件。
总结与操作流程建议
| 方法 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| 查看会话日志 | 最直接、最快,无需额外工具 | 需要日志级别设置正确 | 首选方法,用于快速排查和确认 |
| 抓包分析 | 最权威、最详细,能看到握手全过程 | 操作复杂,需要导出文件并用Wireshark分析 | 当日志信息不足或需要进行深度故障排查时 |
| 查看SSL策略 | 简单,可查看允许的算法范围 | 是间接推断,不能看到实际使用的算法 | 了解设备的安全配置,排查因算法不匹配导致的连接失败 |
给您的最直接操作建议:
- 1.让客户尝试登录设备。
- 2.立即在CLI中执行:
display logbuffer | include "Cipher suite" - 3.如果输出中有明确记录,您就得到了答案。如果没有记录,则需:
- •检查并调高日志级别。
- •或者使用方法二进行抓包分析。
通过以上方法,您一定可以在H3C IPS设备上成功查看到客户端与设备Web界面之间所使用的具体加密算法。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论