受限制互联网下访问F5（BigIP）防火墙之SSLVPN分析

　　当处于有限访问互联网的情况下（只允许访问F5（BigIP）防火墙公网IP地址的时候），访问BigIP防火墙使用浏览器如IE，首先需要下载安装F5的BIG-IP插件，可以在安装程序管理器里找到安装的该程序。

　　当访问BigIP防火墙的时候，浏览器首先调用IE插件，对客户机的安全性进行查证，通过安装检查之后才会启用SSLVPN进而激活虚拟网卡，开启VPN隧道。

　　可以在C：WindowsDownloadedProgram Files找到这些插件的存放目录。

　　首先分析一下在无限制互联网的情况下的访问情况：

　　1 解析BigIP防火墙域名，获取IP地址。

　　2 发出对该IP地址的https请求。

　　3 交互TLSv1信息，验证网址电子证书，交互协商秘钥。

　　4 传输，从防火墙下载安全验证相关数据。

　　5 IE调用插件，启动对PC的安全验证。

　　6 验证插件的合法性。

　　7 启动插件，检测病毒库是否合乎要求。

　　8 合格之后，出现登录画面。

　　通过抓包可以看到，访问过BigIP防火墙IP地址之后，会出现了一个DNS请求，ocsp.verisign.com，接着就开始访问该域名IP地址的HTTP请求，之后紧接着又出现了一个DNS请求，crl.verisign.com，同样接着就开始访问该域名IP地址的HTTP请求。

　　在有限访问互联网的情况下，由于这两个地址的访问都被禁止，获取不到信息。对这两个地址的访问就不停的翻滚进行，直到超时卡死。

　　通过分析程序运行发现，这两个访问和64bitProxy.exe文件有因果关系，该文件存放于C：WindowsDownloadedProgram Files目录，是下载的插件文件之一。这个插件程序是验证PC病毒库的关键，浏览器一次又一次的调用了64bitProxy.exe，一次调用耗时1分钟，超时之后接着下一次的调用，不停往复。IE浏览器就一直停在那儿等待。

　　为什么一定要访问这两个地址呢？就是上面分析流程中的第6步，验证插件的合法性。查看了该程序，发现该程序有电子签名，该电子证书颁发机构的在线状态正是ocsp.verisign.com，吊销列表是crl.verisign.com，该电子证书失效状态的验证期间间隔是7天，也就是说7天内需要重新获取失效效验状态情况，否则就可能出问题。

　　那么提出的禁用DNS方案为什么可以混过去，通过跟踪分析发现，禁用DNS之后，对这两个域名的解析当然就没了，当IE浏览器调用了64bitProxy.exe多次失败之后，就改用CMD去调用该程序，结果就成功了，看来CMD调用时不用验证该程序的电子证书，应该是认可为本地程序，安全要求大大降低的原因。

　　甚至可以去验证一下，正好所有的机器都安装了mcafee，该防病毒软件有禁用程序的功能。打开macfee的控制面板，访问保护的属性，一般最大里有一个选项，Downloaded Program Files目录不启动，把前面的block开启，让mcafee去关闭IE对64bitProxy.exe的调用，会发现出现登录画面的速度变得快了很多。原因是mcafee关闭IE对64bitProxy.exe的调用后，会启用CMD去调用，不用等待IE多次调用失败，然后才用CMD调用了。不过该法谨慎使用，因为DownloadedProgram Files还有其它插件，可能会影响登录之后的其它插件运行。
    
    文章来源：http://xushen.blog.51cto.com/1673219/1595949