Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
36-50
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
从会话提取 SSL 信息
许可证:保护
可以使用 SSL 规则关键字调用安全套接字层 (SSL) 预处理器,并从加密会话中的数据包提取有关
SSL 版本和会话状态的信息。
SSL 版本和会话状态的信息。
客户机和服务器进行通信以使用 SSL 或安全传输层 (TLS) 建立加密会话时,它们之间会交换握手
消息。虽然在会话中传输的数据是加密的,但握手消息没有加密。
消息。虽然在会话中传输的数据是加密的,但握手消息没有加密。
SSL 预处理器从特定握手字段提取状态和版本信息。握手中的两个字段分别指明用于加密会话的
SSL 或 TLS 版本以及握手的阶段。
SSL 或 TLS 版本以及握手的阶段。
有关详细信息,请参阅以下各节:
•
•
ssl_state
许可证:保护
ssl_state
关键字可用于匹配加密会话的状态信息。要同时检查所用的两个或更多 SSL 版本,请
在规则中使用多个
ssl_version
关键字。
如果规则使用
ssl_state
关键字,规则引擎将调用 SSL 预处理器来检查流量的 SSL 状态信息。
例如,要检测是否有攻击者试图通过发送具有超长长度和过量数据的
ClientHello
消息来造成服务
器缓冲区溢出,可以使用带有
client_hello
参数的
ssl_state
关键字,然后检查异常大的数据包。
可使用逗号分隔列表为 SSL 状态指定多个参数。如果列出多个参数,系统将使用 OR 运算符对这
些参数进行评估。例如,如果指定
些参数进行评估。例如,如果指定
client_hello
和
server_hello
作为参数,系统将会根据带有
client_hello
或
server_hello
的流量对规则进行评估。
还可以否定任何参数;例如:
!client_hello, !unknown
为确保连接已达到状态集中的每种状态,应使用具有 ssl_state 规则选项的多个规则。
ssl_state
关键字将以下标识符作为参数:
表
36-34
ssl_state
参数
参数
目的
client_hello
当客户端请求加密会话时,匹配消息类型为
ClientHello
的握手消息。
server_hello
当服务器响应客户端的加密会话请求时,匹配消息类型为
ServerHello
的握手
消息。
client_keyx
当客户端向服务器发出密钥以确认收到来自服务器的密钥时,匹配消息类型为
ClientKeyExchange
的握手消息。
server_keyx
当客户端向服务器发出密钥以确认收到来自服务器的密钥时,匹配消息类型为
ServerKeyExchange
的握手消息。
unknown
匹配任何握手消息类型。