備忘録/にわかエンジニアが好きなように書く

個人的にとりあえず仕組みを知るためにとりあえず動くまで構築や動作をみただけの単なる操作ログです。個人用の備忘録となり、最新の導入手順は個別に確認してください。 ※変な内容や間違いを書いているなどありましたらコメントやご指摘いただけると幸いです。

ブラウザ(chrome)でgoogleにアクセスした際のファイアーウォールのログで動作を見てみる

ブラウザ(chrome)でgoogleにアクセスした際のファイアーウォールのログで動作を見てみる

~HTTP , HTTPS , QUICの動作

 

■確認方法

chromeでgoogleにアクセスした際に、HTTP , HTTPS , QUICの接続状況を確認

 1. 以下の4パータンのサービス毎にポリシ条件を指定

  -HTTP

  -HTTPS

  -UDP(443)  ※ QUIC ※

  -HTTPS & UDP(443) 

 (コマンド)set policy id 1 from Trust to Untrust Any Any <Service> permit log traffic

 

 2. PCからchromeでgoogleにアクセスを行い、SSGのトラフィックログとPCでキャプチャを行い接続を確認する。

 

※DNS用のポリシは設定済み

※permitポリシに一致しないトラフィックはdeny用ポリシでログを確認できるようにする

■構成

 

f:id:pocket01:20170825001719p:plain

 

■確認結果

f:id:pocket01:20170825002439p:plain

・ UDP(443):SSGのサービズタイムアウトが1秒(デフォルト値)となっているため

      接続中に1秒以上のパケット間隔となると、戻りトラフィックが破棄されそう。

・途中経路で、UDP(443)が通信不可となっていなる場合は、QUICで接続することができない。

 -なので、QUICを使う場合、UDP(443)を現状のFWで穴あけが必要あり

・通信の内容が暗号化されているため

  - ヘッダ情報やURLを元に条件フィルタを行ったり

  - WAF/IDP/IPS等のシグネチャ検知やアカウントハッキング検知 など

 SSLオフロードを行った後に、問題なく実施が可能なのかは不明。 

 →SSL復号の処理を肩代わりした機器は、QUICの使用上の動作もサーバから肩代わりして代行してくれる?

■確認ログ

①ポリシで HTTPとした場合

 ・HTTP通信では、googleへは接続できない。

 ・httpでアクセス後に httpsでアクセスを試みている。

  →https のアクセスは denyポリシで破棄されている。

 コマンド: set policy id 110 from Trust to Untrust Any Any HTTP permit log traffic

 アクセス用アドレス:http://www.google.co.jp/

 ◇HTTPS通信 通信可能

 f:id:pocket01:20170825004537p:plain 

 ◇SSG ログ

 f:id:pocket01:20170825004712p:plain

②ポリシで HTTPSとした場合

 →QUICでは接続できないが HTTPS通信で接続が問題なくできた

 コマンド: set policy id 110 from Trust to Untrust Any Any HTTPS permit log traffic

 アクセス用アドレス:https://www.google.co.jp/

 ◇HTTPS通信 通信可能

 f:id:pocket01:20170825003904p:plain

  ◇QUIC通信 戻りトラフィックは無し

 f:id:pocket01:20170825003911p:plain

 ◇SSG ログ

 f:id:pocket01:20170825004301p:plain

 

③ポリシで UDP(443)  QUICとした場合

 ・UDP(443)のみを透過条件とする場合は、googleに接続でできない。

  TLS (TCP:443)での接続が出来ないためかな。

 

 コマンド: set policy id 110 from Trust to Untrust Any Any UDP(443) permit log traffic

   ssg5-isdn-> get service
   Individual Services:
   Name      Proto  Port  Group Timeout(min|10sec*) Flag
   UDP443  17      443   other               1                    User-defined

 アクセス用アドレス:https://www.google.co.jp/

 ◇QUIC通信 通信可能

  f:id:pocket01:20170825010431p:plain

 ◇SSG ログ

 f:id:pocket01:20170825010548p:plain

④ポリシで HTTPSとUDP(443)  QUICとした場合

 →QUICで接続が問題なくできた

 コマンド: set policy id 110 from Trust to Untrust Any Any UDP(443) permit log traffic

 コマンド: set policy id 120 from Trust to Untrust Any Any HTTPS permit log traffic

 アクセス用アドレス:https://www.google.co.jp/

 ◇TLSでの通信  

 f:id:pocket01:20170825010910p:plain

  ◇QUIC通信 TLS通信後に通信が発生している

 f:id:pocket01:20170825010958p:plain

 ◇SSG ログ

 f:id:pocket01:20170825011234p:plain

 

 

イラスト図解式 この一冊で全部わかるWeb技術の基本

イラスト図解式 この一冊で全部わかるWeb技術の基本

 
HTTPの教科書

HTTPの教科書