受限制互联网下访问F5（BigIP）防火墙之SSLVPN分析

当处于有限访问互联网的情况下（只允许访问F5（BigIP）防火墙公网IP地址的时候），访问BigIP防火墙使用浏览器如IE，首先需要下载安装F5的BIG-IP插件，可以在安装程序管理器里找到安装的该程序。

当访问BigIP防火墙的时候，浏览器首先调用IE插件，对客户机的安全性进行查证，通过安装检查之后才会启用SSLVPN进而激活虚拟网卡，开启VPN隧道。

可以在C:\Windows\DownloadedProgram Files找到这些插件的存放目录。

首先分析一下在无限制互联网的情况下的访问情况：

1 解析BigIP防火墙域名，获取IP地址。

2 发出对该IP地址的https请求。

3 交互TLSv1信息，验证网址电子证书，交互协商秘钥。

4 传输，从防火墙下载安全验证相关数据。

5 IE调用插件，启动对PC的安全验证。

6 验证插件的合法性。

7 启动插件，检测病毒库是否合乎要求。

8 合格之后，出现登录画面。

通过抓包可以看到，访问过BigIP防火墙IP地址之后，会出现了一个DNS请求，ocsp.verisign.com，接着就开始访问该域名IP地址的HTTP请求，之后紧接着又出现了一个DNS请求，crl.verisign.com，同样接着就开始访问该域名IP地址的HTTP请求。

在有限访问互联网的情况下，由于这两个地址的访问都被禁止，获取不到信息。对这两个地址的访问就不停的翻滚进行，直到超时卡死。

通过分析程序运行发现，这两个访问和64bitProxy.exe文件有因果关系，该文件存放于C:\Windows\DownloadedProgram Files目录，是下载的插件文件之一。这个插件程序是验证PC病毒库的关键，浏览器一次又一次的调用了64bitProxy.exe，一次调用耗时1分钟，超时之后接着下一次的调用，不停往复。IE浏览器就一直停在那儿等待。

为什么一定要访问这两个地址呢？就是上面分析流程中的第6步，验证插件的合法性。查看了该程序，发现该程序有电子签名，该电子证书颁发机构的在线状态正是ocsp.verisign.com，吊销列表是crl.verisign.com，该电子证书失效状态的验证期间间隔是7天，也就是说7天内需要重新获取失效效验状态情况，否则就可能出问题。

那么提出的禁用DNS方案为什么可以混过去，通过跟踪分析发现，禁用DNS之后，对这两个域名的解析当然就没了，当IE浏览器调用了64bitProxy.exe多次失败之后，就改用CMD去调用该程序，结果就成功了，看来CMD调用时不用验证该程序的电子证书，应该是认可为本地程序，安全要求大大降低的原因。

甚至可以去验证一下，正好所有的机器都安装了mcafee，该防病毒软件有禁用程序的功能。打开macfee的控制面板，访问保护的属性，一般最大里有一个选项，Downloaded Program Files目录不启动，把前面的block开启，让mcafee去关闭IE对64bitProxy.exe的调用，会发现出现登录画面的速度变得快了很多。原因是mcafee关闭IE对64bitProxy.exe的调用后，会启用CMD去调用，不用等待IE多次调用失败，然后才用CMD调用了。不过该法谨慎使用，因为DownloadedProgram Files还有其它插件，可能会影响登录之后的其它插件运行。

本文出自 “天才没有那1%是万万不行的” 博客，请务必保留此出处http://xushen.blog.51cto.com/1673219/1595949