• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

https解密审计问题

2019-02-28提问
  • 1关注
  • 1收藏,2457浏览
wsc 零段
粉丝:0人 关注:0人

问题描述:

1、主机DNS流量必须经过ACG

2、ACG上的网桥接口必须与外网互通。

主机访问https时,经过ACG替换源地址,以网桥接口地址继续向外发送SSL请求。 外网向ACG网桥接口回应server hello时,里面携带的服务器证书信息被替换为ACG本地证书进行解析。

1、已按官网http://www.h3c.com/cn/d_201811/1131447_30005_0.htm#_Toc529437091配置,只是配置文档中1.3.5配置解密策略中的源地址只设置了一台PC为10.1.98.14。

2、按上述配置文档配置好CA根证书mm.p12,且mm.p12也导入到本地证书里。

3、访问https://www.baidu.com 可以看到证书颁发者为mm,可是访问***.***证书是TrustAsia TLS RSA CA颁发的。

4、在日志查询-访问网站日志里,只能看到https://www.baidu.com这一个https的网站,而且必须在搜索引擎日志里才能看到搜索了什么,打开凤凰网看不到https的URL。

5、抓包看到没有建立双向ssl,以ACG本机IP为源抓包,无http、https、等访问外网的流量,客户端访问https网站直接出去了。

6、请问各位大佬,我是哪里出错了?客户端需要DNS指向ACG设备吗?

拍照链接:https://pan.baidu.com/s/1Xe5W_p--gMt_ZC3XOlzz-g 提取码:cvm2

组网及组网描述:

产品:ACG1000-EE

系统版本:i-Ware software,Version 1.10,Ess 6411

拓扑: PC---S10508---ACG---ROUTER

ACG已经NAT出去,且可以ping通百度等网址。 透明模式,bypass


最佳答案

已采纳
铁柱 九段
粉丝:23人 关注:1人

当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。

可以参考官网典配使用限制:http://www.h3c.com/cn/d_201811/1131674_30005_0.htm  


现在ACG可以pinng通百度这些地址,我DNS指向了公网,DNS流量也是过ACG才到公网的啊。。但是不解密,用户流量还是直接与https网站建立的SSL连接。在ACG上抓包是可以看到DNS流量的,另外证书可以推送吗?我看官网都是必须自己安装。现在只是想在网站访问日志里看到https的网站记录,毕竟现在大多数网站都是https的。

wsc 发表时间:2019-02-28 更多>>

您好再问您下,当设备DNS设置成全局模式 这句话是怎么理解的?

wsc 发表时间:2019-02-28

透明模式 只有个管理地址的IP,设备DNS已配置,我只需要用户电脑DNS指向ACG这个管理地址IP就可以了吗?这个IP可以上网。之前配置解密策略后,DNS用的是公网DNS地址,没解密,也建立双向SSL。是因为DNS没指向AGC的地址的原因吗?

wsc 发表时间:2019-02-28

是的,DNS流量不过设备不能实现解密,直接把dns指导acg也行,还要保证设备能上网,即acg能ping通www.baidu.com这些地址。

铁柱 发表时间:2019-02-28

现在ACG可以pinng通百度这些地址,我DNS指向了公网,DNS流量也是过ACG才到公网的啊。。但是不解密,用户流量还是直接与https网站建立的SSL连接。在ACG上抓包是可以看到DNS流量的,另外证书可以推送吗?我看官网都是必须自己安装。现在只是想在网站访问日志里看到https的网站记录,毕竟现在大多数网站都是https的。

wsc 发表时间:2019-02-28
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明