F5 - Decrypting TLS traffic with F5 SSL option

J'ai écrit sur « Decrypting TLS trafic using an iRule » il y a deux semaines, mais il existe de nombreuses autres façons de décrypter le trafic TLS. L'utilisation d'une iRule est l'une d'entre elles, et peut-être l'une des meilleures. Cependant, il existe une autre méthode pour déchiffrer le trafic HTTPS qui, je pense, est également très utile lorsque nous ne pouvons pas modifier le serveur virtuel pour ajouter une iRule. Il existe une option (--f5 ssl) dans tcpdump qui a été introduite dans la version 15.x et nous n'avons pas besoin de modifier la configuration du serveur virtuel en ajoutant iRules.

J'ai enregistré une nouvelle vidéo dans laquelle vous pouvez voir comment utiliser l'option « --f5 ssl » dans tcpdump pour la capture de trafic HTTPS. Une fois que nous avons capturé le trafic réseau, nous devons rechercher le mot « CLIENT RANDOM » dans le trafic capturé pour enregistrer les clés secrètes principales dans un fichier PMS. Ainsi, nous ouvrons les deux fichiers avec Wireshark pour pouvoir analyser le trafic HTTPS. Il est important de souligner que le dissecteur F5 TLS doit être activé dans Wireshark pour voir les clés secrètes principales. Allons-y avec la vidéo !

Quelle option préférez-vous pour déchiffrer le trafic TLS, à l'aide d'une iRule ou de l'option « --f5 ssl » ?

Commentaires