Errore di handshake con client hellos identici

4

Sono alla fine del mio spirito investigando su un errore di stretta di mano che sto ricevendo.

Abbiamo due client separati che utilizzano .Net + Server 2012 R2. Entrambi stanno tentando un handshake TLS con lo stesso IP di destinazione. Wireshark mostra al cliente ciao come identico per entrambi i lati, ma solo uno ha successo. Per chi non ha successo, il server risponde con un errore di handshake (codice di errore 40) immediatamente dopo il client ciao.

Ho fatto un confronto diff del dump esadecimale del client hellos e le uniche differenze apprezzabili sono il timestamp e il random.

Successo:

Errore:

Quale potrebbe essere il problema a questo punto? Potrebbe anche essere un problema TLS se non ci sono differenze nel client ciao? Non sono stato in grado di trovare risorse che potrebbero spiegare questo.

Anche le idee su cosa investigare saranno utili.

EDIT: Se altri si imbattono in questo, il problema era il software di sicurezza di rete BlueCoat. Abbiamo creato una regola di bypass per il nostro server client e l'handshake ha avuto successo.

    
posta Iron Cody 29.03.2017 - 21:48
fonte

1 risposta

1

Questa potrebbe essere l'azione di un sistema di rilevamento delle intrusioni di rete, come snort , che ha trovato qualche motivo per rifiutare di consentire uno dei sistemi per connettere.

I sistemi NIDS funzionano annusando tutti i pacchetti sulla rete, identificando quelli che possono essere associati a comportamenti sospetti (come una scansione delle porte) e quindi rispondendo in qualche modo. Per impostazione predefinita, la maggior parte dei NID scriverà un avviso nel registro se vedono qualcosa. Ma il tuo team di rete potrebbe essere diventato più aggressivo, a quel punto potrebbero aver attivato "un'interruzione attiva".

Diciamo che la casella non funzionante è stata usata per fare una scansione di rete, e il tuo NIDS l'ha catturato. Registra quell'indirizzo IP e ogni volta che vede un pacchetto sulla rete associato a quell'indirizzo IP, invia un pacchetto RST contraffatto che sembra provenire dall'indirizzo IP del server. Ciò impedirebbe alla macchina di connettersi al server, il che fermerebbe sicuramente un attacco.

Raccomando di coinvolgere il team di sicurezza della rete della tua organizzazione e vedere se hanno una registrazione dell'indirizzo IP della macchina in errore rilevata dal loro NID.

    
risposta data 29.03.2017 - 22:08
fonte

Leggi altre domande sui tag