Subir Archivo

Índice introdução problema - cisco · do roteadores do serviço (asr). o ssl é um protocolo de...

  • Home
  • Documents
  • Índice Introdução Problema - Cisco · do Roteadores do serviço (ASR). O SSL é um protocolo de rede do computador que controle a autenticação de servidor, a authenticação
3
Índice Introdução Problema Troubleshooting Solução Configuração de exemplo Cisco relacionado apoia discussões da comunidade Introdução Este documento descreve uma encenação específica em que o subscritor usa aplicativos da livre- taxa tais como Whatsapp, Snapchat etc. com fluxos do secure sockets layer (SSL) ao obstruir o outro tráfego de usuário. Este aplicativo particular é executado em Cisco agregou o 5x00 Series do Roteadores do serviço (ASR). O SSL é um protocolo de rede do computador que controle a autenticação de servidor, a authenticação do cliente e a comunicação codificada entre server e clientes. Problema Para detectar todo o app, você precisa alguns pacotes iniciais para a análise. Estas duas exigências contraditórias são cumpridas na maior medida possível. a) A detecção deve acontecer no primeiro pacote próprio b) A precisão da detecção deve ser 100% Se você tenta à exigência do fullfill (a) & marca todos os apps no primeiro pacote (de que não é praticamente possível), a exigência (b) na precisão da detecção sofre. A fim fazer a precisão da detecção boa, você precisa mais pacotes de analisar o lote dos apps (há apps & fluxos onde o app é detectado no primeiro pacote próprio). Em caso do mesmo app, pode acontecer que você pode marcar alguns fluxos no primeiro pacote próprios quando outros fluxos do mesmo app precisarem mais pacotes para a análise. Assim se algum do app é livre-avaliado ao obstruir algum outro tráfego, pode acontecer que o pacote inicial do app não obtém detectado porque não leva a informação suficiente. Em particular a caixa dos apps baseados no SSL flui, o protocolo é utilização marcada uma ou outra o campo da server-nome-indicação atual no pacote dos hellos do cliente ou o Common Name atual no certificado SSL. Porque o nome do servidor é campo opcional, não está sempre atual. Segundo as indicações desta imagem, em um fluxo de Whatsapp SSL, após o cumprimento de três vias (TWH) o pacote dos hellos do cliente é enviado pelo app. Um traço PCAP que não mostra nenhum campo da indicação do nome do servidor (SNI). Igualmente são consideradas as retransmissões múltiplas dos pacotes dos hellos do cliente que obtêm eventualmente deixados cair.

Upload: others

Post on 05-Jun-2020

12 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Índice Introdução Problema - Cisco · do Roteadores do serviço (ASR). O SSL é um protocolo de rede do computador que controle a autenticação de servidor, a authenticação

Índice

IntroduçãoProblemaTroubleshootingSoluçãoConfiguração de exemploCisco relacionado apoia discussões da comunidade

Introdução

Este documento descreve uma encenação específica em que o subscritor usa aplicativos da livre-taxa tais como Whatsapp, Snapchat etc. com fluxos do secure sockets layer (SSL) ao obstruir ooutro tráfego de usuário. Este aplicativo particular é executado em Cisco agregou o 5x00 Seriesdo Roteadores do serviço (ASR). O SSL é um protocolo de rede do computador que controle aautenticação de servidor, a authenticação do cliente e a comunicação codificada entre server eclientes.

Problema

Para detectar todo o app, você precisa alguns pacotes iniciais para a análise. Estas duasexigências contraditórias são cumpridas na maior medida possível.

a) A detecção deve acontecer no primeiro pacote próprio

b) A precisão da detecção deve ser 100%

Se você tenta à exigência do fullfill (a) & marca todos os apps no primeiro pacote (de que não épraticamente possível), a exigência (b) na precisão da detecção sofre. A fim fazer a precisão dadetecção boa, você precisa mais pacotes de analisar o lote dos apps (há apps & fluxos onde oapp é detectado no primeiro pacote próprio). Em caso do mesmo app, pode acontecer que vocêpode marcar alguns fluxos no primeiro pacote próprios quando outros fluxos do mesmo appprecisarem mais pacotes para a análise.

Assim se algum do app é livre-avaliado ao obstruir algum outro tráfego, pode acontecer que opacote inicial do app não obtém detectado porque não leva a informação suficiente. Em particulara caixa dos apps baseados no SSL flui, o protocolo é utilização marcada uma ou outra o campoda server-nome-indicação atual no pacote dos hellos do cliente ou o Common Name atual nocertificado SSL. Porque o nome do servidor é campo opcional, não está sempre atual.  Segundoas indicações desta imagem, em um fluxo de Whatsapp SSL, após o cumprimento de três vias(TWH) o pacote dos hellos do cliente é enviado pelo app. Um traço PCAP que não mostranenhum campo da indicação do nome do servidor (SNI). Igualmente são consideradas asretransmissões múltiplas dos pacotes dos hellos do cliente que obtêm eventualmente deixadoscair.

Page 2: Índice Introdução Problema - Cisco · do Roteadores do serviço (ASR). O SSL é um protocolo de rede do computador que controle a autenticação de servidor, a authenticação

 Também, segundo as indicações desta imagem, sua são os encantar-bytes para o pacote doshellos do cliente em que o campo SNI, usado marcando Whatsapp, não está atual. Daqui, opacote dos hellos do cliente não pode ser marcado como Whatsapp e vai indetectado. Enquantoeste pacote cai no avaliação-grupo diferente, obtém deixado cair e daqui as retransmissõesmúltiplas do pacote dos hellos do cliente são consideradas (veja o quadro nenhuns 5449, 5453,5469). Finalmente, a conexão obtém terminada. Diversos tais fluxos são considerados no pcap.Esta é a razão que nenhuma atividade útil, por exemplo a transferência de arquivo pela rede daimagem para Whatsapp, pode serfeita.

Troubleshooting

Estes comandos dão o stats do analisador para os aplicativos.

Para verificar a versão de encaixe:

Solução

A fim evitar, você precisa de assegurar-se de que os pacotes antes de um app (diga o whatsapp)obtenham marcados e devam ir completamente. 

Use este ruledef:

Nenhum pacote, combinando o ruledef acima, não deve ser deixado cair. A prioridade desteruledef deve estar apenas acima do ruledef do padrão (IP-algum ruledef) que combinava estepacote & fazia com que obtivesse deixado cair.

Usando esta configuração, somente os pacotes que combinam as três regra-linhas acima sãolivre-avaliados. Estes incluem somente os pacotes iniciais do aperto de mão no fluxo SSL (talcomo hellos do cliente, servidores hello) que estão permitidos usando este ruledef, quando todos

Page 3: Índice Introdução Problema - Cisco · do Roteadores do serviço (ASR). O SSL é um protocolo de rede do computador que controle a autenticação de servidor, a authenticação

pacotes restantes no fluxo SSL não combinarem este ruledef. Assim, se há um SSLflow quepertença a algum outro app (a não ser o whatsapp que você quer a livre-taxa), lá não pode estarnenhuma transação útil, desde que os somente o dois a três pacotes iniciais de um fluxo SSL sãopermitidos usar este ruledef.

Configuração de exemplo

O ruledef sugerido precisa de ter uma prioridade mais alta do que o ruledef all-ip_004_012_00016(o algum-fósforo IP = RETIFICA) e

ação de carregamento que permite o tráfego similar ao whatsappruledef.(sid_040_rg_400_rate_99999/sid_040_rg_400_rate_00032/ sid_040_rg_400_rate_00064com avaliação-grupo 400 e toda a taxa).

Com esta configuração, o pacote dos hellos do cliente bate o ruledef proposto e é permitido umpouco do que sendo reorientado. Estas são as duas regras onde as regras do whatsapp sãoconsideradas:

rulebase mbc-internet-rsaction priority 1087 dynamic-only ruledef WhatsApp_P2P_040_400_99999_All_internet charging-

action sid_040_rg_400_rate_99999action priority 1088 dynamic-only ruledef WhatsApp_P2P_040_400_00064_All_internet

charging-action sid_040_rg_400_rate_00064action priority 1089 dynamic-only ruledef

WhatsApp_P2P_040_400_00032_All_internet charging-action sid_040_rg_400_rate_00032action priority [1090-9909]

dynamic-only ruledef ssl_clienthello charging-action sid_040_rg_400_rate99999/00064/00032 -->

Higher priority than all-ip ruledef and charging action with rating group 400action priority

9910 dynamic-only ruledef all-ip_004_012_00016_MI_internet charging-action

sid_004_rg_012_rate_00016action priority 9920 dynamic-only ruledef all-

ip_004_012_00032_MI_internet charging-action sid_004_rg_012_rate_00032action priority 9930

dynamic-only ruledef all-ip_004_012_00064_MI_internet charging-action

sid_004_rg_012_rate_00064rulebase mbc-iphone-rsaction priority 1206 dynamic-only ruledef

WhatsApp_P2P_040_400_99999_All_iphone charging-action sid_040_rg_400_rate_99999action priority

1207 dynamic-only ruledef WhatsApp_P2P_040_400_00064_All_iphone charging-action

sid_040_rg_400_rate_00064action priority 1208 dynamic-only ruledef

WhatsApp_P2P_040_400_00032_All_iphone charging-action sid_040_rg_400_rate_00032action priority

[1209-8999] dynamic-only ruledef ssl_clienthello charging-action

sid_040_rg_400_rate99999/00064/00032 --> Higher priority than all-ip ruledef and charging action

with rating group 400action priority 9000 dynamic-only ruledef all-ip_015_150_00016_ALL_iphone

charging-action sid_015_rg_150_rate_00016action priority 9010 dynamic-only ruledef all-

ip_015_150_00032_ALL_iphone charging-action sid_015_rg_150_rate_00032action priority 9020

dynamic-only ruledef all-ip_015_150_00064_ALL_iphone charging-action

sid_015_rg_150_rate_00064action priority 9030 dynamic-only ruledef all-

ip_015_150_99999_ALL_iphone charging-action sid_015_rg_150_rate_99999charging-action

sid_040_rg_400_rate_99999content-id 400service-identifier 40billing-action egcdrcca charging

creditexitruledef ssl_clienthellotcp either-port = 443tcp payload-length >= 44tcp payload

starts-with hex-signature 16-03exit


Procedimento de Configuração de Roteadores HP

Como configurar o SSL para VPN

(Protocolos e Conceitos de Roteamento) - paginas.unisul.brpaginas.unisul.br/.../ROTEAMENTO_DINAMICO/roteamento_estatico.pdf · Roteadores e rede Os roteadores são os principais responsáveis

ConfiguraçãConfiguração de Roteadoreso de Roteadores

Apostila de Configuracao de Roteadores Cisco

Configuração de Roteadores

Apresentação Digistar - Roteadores jul15

Guia ASR 2013/2014 - Distrito 4560

WANS e Roteadores Cisco CCNA 3.1

Autenticacao em APIs com SSL

Guia de introdução do Router Cisco ASR 903 e ASR 903U ...€¦ · Revised: November 29, 2017, Guia de introdução do Router Cisco ASR 903 e ASR 903U Aggregation Services

Breve Histórico da ASR

Ataques por ASR

Guia de instalação de hardware dos Routers Cisco ASR 9901 ... · Guia de instalação de hardware dos Routers Cisco ASR 9901, ASR 9001 e ASR 9001-S Primeira publicação: 2013-08-25

SENHAS ROTEADORES

Joomla! + SSL = Segurança reforçada | FISL14

VPN de alto desempenho Roteadores de Serviços Unificadosnbc.intersmartweb.com.br/PDF/DSR-1000N.pdf · Roteadores de Serviços Unificados Os Roteadores de Serviços Unificados D-Link

Construindo Roteadores com Linux

Básico de Troubleshooting Em Roteadores

Segurança na Internet – SSL/TLS

ADA / ASR · 2020. 10. 31. · 3 ADA/ASR (A) = padrão Torques para atuadores de simples ação - ASR [Nm] Tipo 3 bar 3,5 bar 4 bar 4,5 bar 5 bar 5,5 bar 6 bar (A) 6,5 bar 7 bar 8

Como Conectar Dois Roteadores

Certificados TLS/SSL no ISE - Cisco

Configuração de Roteadores CISCO

Produtos DrayTek - Roteadores, Switchs, Telefonia IP

Acesso remoto SSL

Instalação Apache, PHP e SSL

Configuração de Roteadores e Modens

Criptografia, Certificados Digitais SSL

Certificados SSL - manuais.ifsp.edu.br

SSL Texto Arquivo

Cobertura Nacional de Bancas de Jornal - ASR Mídia

1 Roteamento Ip Roteadores

Apostila Roteadores Cisco

Roteamento e Roteadores