【AC】开启SSL内容识别禁止百度网盘上传文件,导致部分网站无法打开排查思路
  

猫仔粥哩 21931人觉得有帮助

{{ttag.title}}
本帖最后由 猫仔粥哩 于 2022-9-26 09:32 编辑

一、问题现象
  1、百度网盘未配置SSL内容识别时可以拦截部分文件上传;
  2、配置了SSL内容识别后部分网页打不开或者提示不安全。
二、问题分析
  2.1 故障原因分析
  1、百度网盘未配置SSL内容识别时可以拦截部分文件上传;
原因分析:规则库中的百度网盘[上传策略中,只有一条是针对443端口及不开解密的情况下用来封堵的:
规则的详细内容是用于匹配如下几个域名的443端口特征的流量,当设备在不开解密的时候遇到这几个域名就会判断其为百度网盘的上传行为。
  ct01.pcs.baidu.com.
  cu01.pcs.baidu.com.
  c3.pcs.baidu.com.
  c2.pcs.baidu.com.
  c1.pcs.baidu.com.
  c.pcs.baidu.com.
  c5.pcs.baidu.com.
  观察其命名也可以发现,加密情况下的封堵具有不稳定性,一个域名于百度网盘而言可能是一个数据中心,现在已经有c1,c2,c3了,将来可能会有c4,c5,c6,这些都是不稳定的因素。所以当不配置SSL内容识别时,部分文件上传会拦截失败。
2、配置了SSL内容识别后部分网页打不开或者提示不安全。
  原因分析:以www.thepaper.cn为例,www.thepaper.cn解析出来的地址220.194.65.35,而这个ip地址通过dns反查和客户配置的ssl 内容识别,baidupcs.com是一致的,所以导致www.thepaper.cn被代理,因为客户没有安装证书,所以终端主动断开连接,造成访问异常。
三、问题原理
  dns反查和ssl代理机制说明:ssl代理之所以需要依赖dns反查,是因为我们不能等client hello出来,去提取server name在进行代理,所以需要依赖dns反查,提前知道这个ip是否需要代理:dns反查就是只我们会去缓存dns包,会去记录域名和ip的关系并进行绑定,是有可能出现一个ip多个域名的情况
四、解决方案
  4.1、安装SSL解密证书。
  开启SSL中间人解密之后,匹配解密策略的用户在发起对应解密域名访问时,流量经过AC会被拦截下来,AC充当中间人角色,将数据包解密后识别。然后将数据包转发给公网服务器。公网服务器回复请求时也会回复给ACAC再将数据包转发给内网终端。整个访问流程从原来的终端请求公网服务器,被拆分为了终端请求AC--AC请求服务器。所以对内网终端来看请求的就是ACAC回包的时候内网终端会校验服务器证书。AC本身证书是自签名证书,校验证书时如果内网终端本身没有安装AC解密证书,则内网终端会提示服务器证书不受信任,弹出安全告警界面或者中断连接,导致请求页面打不开。
  安装解密证书后,AC在回复数据包的时候在校验阶段不再会提示证书不安全或不受信任,则访问数据恢复正常。
  4.2、让内网终端的dns流量经过AC
客户端解析客户端进行DNS解析的时候,DNS数据包经过AC的情况,AC会把DNS回包的IP、域名对应关系缓存到AC后台dnscache;当电脑与外网交互的时候,AC会拿着目标去反查dnscache,看这个IP对应的域名是什么,如果这个域名在SSL内容识别的列表中,那这个连接就会被AC代理解密。如果DNS解析不经过AC,电脑使用的内网DNS,那SSL内容识别的匹配大概率不够准确。
此种若使用内网dns环境无法让AC在dns服务器和终端之间,则需要修改AC的dns服务器地址。AC不能把DNS排除,AC会主动向内网DNS发DNS解析ssl内容识别里的域名会定时调用adddns应用程序主动做dns查询,以使AC能够缓存我们关注的dns,这样做SSL内容识别的域名匹配能够准确。
  4.3、新建SSL内容识别策略
将说明中包含的域名添加到SSL解密中。
   
          4.4、打补丁包
   若客户不接受安装证书以及DNS流量不经过AC的方式,则需要联系深信服技术支持获取优化补丁包,本地验证是否百度网盘客户端流量全部存在server-name。检测server-name是否匹配解密域名,是才做代理解密,否则直接透传。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

天堂之龙 发表于 2022-9-26 22:21
  
每天学习一点,每天进步一点。
新手751436 发表于 2022-9-26 20:47
  
感谢分享,讲解得很详细
沧海 发表于 2022-9-26 12:29
  
感谢大佬无私奉献,图文并茂
一个无趣的人 发表于 2022-9-26 10:41
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
Mr程 发表于 2022-9-26 09:58
  
感谢大佬分享,图文并茂
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人