Тсзл расшифровка: Трансформатор ТСЗЛ расшифровка

Трансформатор ТСЗЛ расшифровка

Трансформатор ТСЗЛ. ТСЗЛ в защитном кожухе

Степень защиты обозначается аббревиатурой IP и двухзначным числом, первая цифра которого указывает на обеспечиваемую защиту от проникновения предметов, вторая – от проникновения воды. Степень защиты трансформатора, обеспечиваемся кожухом – от IP10 до IP33 согласно таблице, приведенной ниже.

Степень защиты IP. Пояснительная таблица

Компания «Трансформер» изготавливают кожухи для всей линейки мощностей выпускаемых трансформаторов. Безукоризненная обработка металла и качественная покраска — гарант долговечности и надежности этих изделий.

Исполнение

Конструкция кожуха максимально проста в сборке и удобна в обслуживании. Распашные дверцы со стороны ВН и НН позволяют без труда производить переключения, а также профилактические работы — осмотр трансформатора, протяжку контактных и резьбовых соединений.

Присоединительные шины в базовом исполнении изготавливают из алюминия, в нестандартном исполнении — из меди. Материал присоединительных шин выбирает заказчик. По требованию клиента производится омеднение контактных площадок алюминиевых шин методом газодинамического напыления. Размеры присоединительных шин зависят от мощности силового трансформатора.

Заземление кожуха выведено на две короткие стороны. При поставке кожуха с трансформатором в собранном виде трансформатор соединен с корпусом кожуха гибкими медными заземляющими перемычками. При поставке в разобранном виде комплект перемычек прилагается.

Кожух окрашен порошковыми красками, которые имеют высокую степень адгезии к металлу и устойчивости к царапинам. Срок службы покрытия внутри помещения — не менее 15 лет.

Трансформатор ТСЛ расшифровка

Сухие трансформаторы ТС, ТСЗ, ТСЛ, ТСЗЛ 250, 400, 630, 1000, 1600 кВА

Назначение и область применения трансформаторов ТС, ТСЗ

Сухие распределительные трансформаторы ТС, ТСЗ, ТСЗЛ, ТСЛ являются понижающими трансформаторами с мощностью в трёх фазах от 250 до 1600 кВА, класса напряжения изоляции 6 и 10 кВ, с раздельными обмотками высокого (ВН) и низкого напряжения (НН), питающими потребителей электроэнергии общего назначения в электросетях трехфазного переменного тока частотой 50 Гц. Устанавливаются в промышленных помещениях и общественных зданиях, к которым предъявляются повышенные требования в плане взрывозащищенности, пожаробезопасности и экологической чистоты.

Трансформаторы ТС, ТСЗ, ТСЛ , ТСЗЛ трехфазные изготавливаются в сухом исполнении с естественным воздушным охлаждением.

Структура условного обозначения трансформаторов ТС, ТСЗ, ТСЛ, ТСЗЛ

ТС(Л)(З)(Н)(ГЛ) — Х/10(6)/0,4 У3

• ТС — трансформатор трехфазный, сухой
• Л – с литой изоляцией, класса нагревостойкости F (155°С)
• З — охлаждение естественное воздушное при защищенном исполнении.
• Все изоляционные материалы, применяемые в обмотках имеют класс нагревостойкости не ниже F (155°С).
• Н — изоляция обмоток «NOMEX», класса нагревостойкости Н (180°С)
• ГЛ — геофолевая, литая изоляция обмоток (обмотки залиты эпоксидным компаундом с кварцевым наполнителем), класса нагревостойкости F (155°С)
• Х — номинальная мощность, кВА
• 10(6) — напряжение ВН
• 0,4 — напряжение НН
• У3 — климатическое исполнение и категория размещения по ГОСТ 15150-69.

Условия эксплуатации

Трансформаторы ТС, ТСЗ предназначены для работы в помещениях в условиях умеренного климата, а также:

• при температуре окружающего воздуха от -25 до +40°С;
• влажности до 80% при температуре +25°С;
• окружающая среда должна быть не взрывоопасная, не содержащая пыли в концентрациях, снижающих параметры изделий в недопустимых пределах;
• высота установки над уровнем моря — не более 1000 м.

Технические характеристики и габаритные размеры ТС, ТСЗ

Сухие силовые трансформаторы ТС и ТСЗ класса напряжения 6 и 10 кВ выпускаются с мощностью 250, 400, 630, 1000, 1600 кВА:

• Класс напряжения обмоток 10 кВ — номинальные высоковольтные напряжения (ВН) обмоток – 10 кВ.
• Класс напряжения обмоток 6 кВ — номинальные высоковольтные напряжения (ВН) обмоток – 6 кВ.
• Основное номинальное низковольтное напряжение (НН) обмоток – 0,4 кВ.

Основные конструктивные исполнения сухих трансформаторов по конструктивному исполнению:

• ТС – трансформатор сухой без защитного кожуха со степенью защиты IP00
• ТСЗ – трансформатор сухой в защитном кожухе со степенью защиты IP21

Основные схемы и группы соединения обмоток (ВН/НН) – Д/Ун-11, У/Ун-0.

Регулирование напряжения – переключение без возбуждения с помощью перемычек на 2 х 2, 5% Uн.

Регулирование напряжения до ± 5 % ступенями по 2,5 % осуществляется на полностью отключенном трансформаторе (ПБВ) путем перестановки перемычки. Степень защиты трансформаторов ТС — IP00, ТСЗ — IP21.

Трансформаторы ТС 250 — 1600 кВА

Трансформаторы ТСЗ 250 — 1600 кВА в кожухе

Перегрузочная способность трансформаторов ТС, ТСЗ

При соблюдении определенных условий трансформаторы могут кратковременно работать при перегрузке без уменьшения срока службы. Перегрузка ограничивается только перегревом обмоток.

Максимальная избыточная температура:

• 125°С для класса изоляции Н, для изоляции обмоток «NOMEX»,

Класс нагревостойкости обмотки низшего напряжения — Н, высшего — F.

• 100°С для класса изоляции F, для геофолевой, литой изоляции обмоток,

только если окружающая температура составляет 40°С и трансформатор работает длительное время при номинальной нагрузке.

Повышение избыточной температуры выше максимальной вызывает передачу системой контроля температуры сигнала тревоги либо сигнала отключения трансформатора, если трансформатор перегружен дольше допустимого времени.

Как купить Сухие трансформаторы ТС, ТСЗ, ТСЗЛ, ТСЛ?

У нас вы можете купить Сухие трансформаторы ТС, ТСЗ, ТСЗЛ, ТСЛ по выгодной цене с доставкой по России и СНГ.

Узнать стоимость или более подробную информацию, отправить заявку или опросный лист можно по телефону, тел./факсу и электронной почте:

Телефон в Санкт-Петербурге: +7 (812) 385-63-55 ( многоканальный )

E-mail: [email protected]

Важно! Внешний вид, габаритные, установочные и присоединительные размеры оборудования могут отличаться от указанных на сайте. Поэтому согласовывайте их, пожалуйста, заранее перед заказом.

Прайс-лист на основную продукцию

Опросные листы для заказа электротехнической продукции

Трансформатор ТСЗН расшифровка

Трансформатор понижающий ТСЗ, ТСЗИ расшифровка, данные обмоток, характеристика

Трансформаторов ТСЗИ предназначен для преобразования и питания пониженным напряжением различных цепей в электроустановках общего назначения: системы управления электроприводов, освещения, автоматики и т. д., для питания электрических инструментов переменным током стандартной частоты 50 Гц.

Применение понижающего трансформатора ТСЗИ

• Преобразования электрической энергии в сетях промышленных зданий.
• Городского жилищно-коммунального хозяйства.
• Инфраструктурных объектов.
• Строительных объектов.

Расшифровка трансформатора ТСЗИ, структура условного обозначения:

Т — трехфазный; С — сухой; 3 — защищенный; И — для питания электроинструмента; М — многоцелевой;
X — номинальная мощность, кВА;
X — номинальное напряжение обмотки ВН, В;
X — номинальное напряжение обмотки НН, В;
УХ — климатическое исполнение и категория размещения (2,3) по ГОСТ 15150-69.
Охлаждение трансформатора естественное воздушное.
Трансформаторы имеют защитный кожух.
По условиям установки на месте работы трансформаторы относятся к стационарным.
Степень защиты по ГОСТ 14254-96 — IP20.
Частота — 50 и 60 Гц.

К. П. Д. — не менее 90%.
Требования техники безопасности по ГОСТ 12.2.007.2-75, пожарной безопасности по ГОСТ 12.1.004-91.
Трансформаторы соответствуют требованиям ИАЯК.671134.038ТУ.

Примечание:
1.По требованию заказчика обмотки трансформаторов мощностью 1,6; 2,5; 4,0; 6,3 кВА могут быть выполнены алюминиевыми обмоточными проводами (AL).
2.Возможно изготовление трансформаторов ТСЗИ как разделительных (ТСЗИР).

Конструкция  трансформатора понижающего ТСЗИ

• Охлаждение – естественное воздушное.
• Трансформаторы имеют защитный кожух.
• По условиям установки на месте работы трансформаторы относятся к стационарным.
• Трансформаторы состоят из магнитопровода, сердечника, алюминиевых обмоточных проводов, выводных клеммных колодок.
• Материалы
• Обмотка трансформатора выполнена алюминиевыми обмоточными проводами.

Преимущества

1. Основным параметром трансформаторов ТСЗИ является понижение напряжения питания трехфазной электрической сети от 380 В до значений: 220, 127, 42, 36.
2. Трансформаторы ТСЗИ комплектуются перемычками, позволяющими менять схему соединения обмоток трансформаторов. В результате явления электромагнитной индукции питающее напряжение переменного тока первичной обмотки понижается, в зависимости от количества витков, на вторичной обмотке.
3. Трансформаторы могут работать в условиях холодного и умеренного климата при температуре окружающего воздуха от –60 до +40 °С.
4. Коэффициент полезного действия трансформаторов ТСЗИ – не менее 90%.
5. Трансформаторы ТСЗИ имеют прекрасные эксплуатационные характеристики.

Понижающий трансформатор ТСЗИ схема

Схема трансформатора понижающего ТСЗИТСЗИ габаритные размеры

Понижающий трансформатор тсзи данные обмоток и характеристика

Видео: Понижающие Трансформаторы ТСЗИ

Трехфазные трансформаторы серии ТС, ТСЗ  класс напряжения 0,66 кВ

Трехфазные сухие трансформаторы класса напряжения 0,66 кВ предназначены для использования в электротехнических установках общего назначения и условиях  умеренно-холодного  климата. Интервал температур от -5 до + 40  С, относительная влажность воздуха не более 80%, высота над уровнем моря не более 1000 м.  Окружающая среда должна быть невзрывоопасной, не содержать агрессивных газов, паров и токопроводящей пыли в концентрациях, разрушающих материалы  и снижающих параметры изделий до недопустимых пределов.
Класс нагревостойкости изоляции – В.
Номинальная частота – 50 Гц.

Условные обозначения  сухого трансформатора:
  ТС(1) – (2)/380/(3) УХЛ4,  Д/Ун-11 (У/Ун-0)
Т- трехфазный
С- сухой
(1)- при наличии «З» с кожухом, без буквы кожух отсутствует.
(2)- номинальная мощность, кВА
380- номинальное напряжение обмотки высокого напряжения (ВН), В.
(3)- напряжение обмотки низкого напряжения (НН), В.
УХЛ-4- климатическое исполнение и категория размещения

Схема соединения и группа соединения обмоток:
  Д- схема соединения обмотки «треугольник»,
У- схема соединения обмотки «звезда»,
н- наличие изолированной нейтрали,
0, 11 – группа соединения обмоток.

Конструктивное исполнение:
  Трансформатор состоит из следующих составных частей: магнитопровода, обмоток, отводов, кожуха, клеммных панелей. Магнитопровод трансформатора стержневого типа выполнен из холоднокатаной электротехнической стали толщиной 0,35 мм с изоляционным покрытием без сквозных шпилек. Обмотки многослойные, цилиндрические с аксиальными вентиляционными каналами, провод обмоток алюминиевый, или медный в зависимости от заказа. Обмотки на стержнях закрепляются вертикальными стяжными шпильками и ярмовыми балками через прокладки из изоляционного материала. Кожух трансформатора (при наличии) бескаркасный, навесной. Все металлические детали трансформатора имеют защитные антикоррозионные покрытия.

Основные параметры сухих трансформаторов ТС, ТСЗ указаны в таблице :

Силовые трансформаторы с литой изоляцией

Трансформаторы силовые сухие трехфазные с геафолевой литой изоляцией  напряжением до 10,5 кВ предназначены для преобразования электроэнергии в сетях энергосистем и потребителей электроэнергии переменного тока номинальной частоты 50 Гц.

Трансформаторы комплектуются обмотками фирмы “Siemens”, материал обмоток – алюминий.

Для изоляции обмоток используется эпоксидный компаунд с кварцевым наполнителем (геафоль). Дополнительно обмотки усилены стеклосеткой, что исключает возникновение трещин в эпоксидном компаунде даже при перегрузке трансформаторов. Геафоль не оказывает вредного влияния на окружающую среду, не выделяет токсичных газов даже при воздействии дуговых разрядов. Благодаря такой изоляции обмотки не требуют технического обслуживания.

Для измерения и контроля температуры трансформаторы комплектуются цифровым  температурным реле ТР-100 с тремя датчиками температуры типа РТ100, встроенными в обмотки НН. На специальные трансформаторы (для питания полупроводниковых преобразователей и др.), а также по требованию заказчика устанавливается дополнительный датчик для контроля температуры магнитопровода.

Температурное реле ТР-100, оборудованное интерфейсом RS-485 MODBUS RTU, подключается на постоянное или переменное напряжение от 24 до 260  В.

При опасном повышении температуры происходит срабатывание выходного реле управления цепями предупредительной сигнализации. Если повышение температуры продолжается и температура превышает предельно допустимое значение, срабатывает выходное реле управления аварийной сигнализацией (аварийным отключением трансформатора).

По требованию заказчика могут быть установлены другие виды приборов для контроля температурного режима.

Трансформаторы ТСГЛ, ТСДГЛ (без защитного кожуха) комплектуется датчиками температуры с длиной кабелей десять метров, что позволяет перенести реле тепловой защиты или ящик управления вентиляторами для ТСДГЛ на ограждающие конструкции или другие конструкционные элементы подстанции (на расстояние до шести метров) для обеспечения его безопасного и удобного обслуживания. По требованию заказчика могут быть установлены другие виды тепловой защиты.

Трансформаторы ТСДГЛ, ТСДЗГЛ, ТСДЗГЛФ, ТСДЗГЛ11, ТСДЗГЛФ11 укомплектованы системой принудительного охлаждения, состоящей из ящика управления и вентиляторов охлаждения обмоток. Использование принудительной вентиляции позволяет добиться увеличения мощности сухих трансформаторов до 40 %.

Руководство по настройке защиты от угроз Cisco Firepower для диспетчера устройств Firepower, версия 6.2.3 — Расшифровка SSL [Cisco Firepower NGFW]

Вы можете использовать SSL
политики дешифрования для преобразования зашифрованного трафика в обычный текстовый трафик, чтобы
затем можно применить фильтрацию URL-адресов, контроль вторжений и вредоносных программ и другие
сервисы, требующие глубокой проверки пакетов. Если ваша политика позволяет
трафик повторно шифруется перед тем, как покинуть устройство.

Расшифровка SSL
политика применяется только к зашифрованному трафику. Нет незашифрованных соединений.
оценивается по правилам расшифровки SSL.

В отличие от некоторых других
политики безопасности, вам необходимо отслеживать и активно поддерживать расшифровку SSL
политика, потому что сертификаты могут истечь или даже быть изменены в месте назначения
серверы.Кроме того, изменения в клиентском программном обеспечении могут повлиять на вашу способность
расшифровать определенные соединения, потому что действие дешифрования и повторной подписи
неотличимы от атаки «человек посередине».

Следующие
процедура объясняет сквозной процесс внедрения и поддержки
Политика расшифровки SSL.

.

Расшифровка зашифрованных данных TLS и SSL — Анализатор сообщений

• 26.10.2016
• Читать 12 минут

В этой статье

В дополнение к множеству инструментов, которые Message Analyzer предоставляет для фильтрации, анализа и визуализации сетевого трафика и других данных, Message Analyzer также предоставляет функцию Decryption , которая может помочь вам диагностировать трассировки, содержащие зашифрованные протоколы TLS и Secure Трафик Sockets Layer (SSL).Расшифровка трафика TLS / SSL может иметь решающее значение для устранения проблем с сетью, протоколом, производительностью и подключением. Функция дешифрования анализатора сообщений также устраняет существующие ограничения поставщика сообщений Microsoft-PEF-WebProxy Fiddler, такие как непрозрачность ошибок и невозможность захвата другого зашифрованного трафика TLS / SSL, кроме HTTPS.

Примечание

Имейте в виду, что расшифровка сообщений TLS v1.2 также поддерживается, как и TDS / TLS.

Анализатор сообщений Расшифровка позволяет просматривать данные для протоколов прикладного уровня, зашифрованных с помощью TLS и SSL, таких как протоколы HTTP и удаленного рабочего стола (RDP). Однако, чтобы включить сеанс Decryption в анализаторе сообщений, вам нужно будет импортировать сертификат, который содержит соответствующий идентификатор для целевого сервера, указать требуемый пароль, а затем сохранить конфигурацию. Затем вы можете либо загрузить сохраненный файл трассировки в анализатор сообщений через сеанс извлечения данных, либо запустить сеанс Live Trace, который будет включен для дешифрования.После этого Message Analyzer расшифровывает трассировку, используя предоставленные вами сертификат сервера и пароль. После отображения результатов трассировки в средстве просмотра Analysis Grid , в Decryption Tool Window содержится информация анализа дешифрования. Если есть сбои расшифровки, об ошибках сообщается в окно Расшифровка , где красный значок Ошибка отображается для каждого сообщения, которое не удалось выполнить процесс расшифровки. Подробные описания ошибок также представлены в окне Decryption , чтобы помочь в устранении неполадок и анализе.Если сообщений об ошибках нет, то в окне Decryption отображается либо синий значок Info для каждого сообщения, которое было успешно расшифровано, либо желтый значок Предупреждение , который отмечает каждое сообщение, для которого не удалось найти сертификат.

Обзор рабочего процесса

Расшифровка

работает в рамках существующей архитектуры анализатора сообщений, чтобы упростить его использование и анализ результатов. После того, как вы предоставите и сохраните один или несколько сертификатов сервера и паролей, Message Analyzer расшифрует целевой трафик, зашифрованный с помощью протоколов безопасности Transport Layer Security (TLS) или Secure Sockets Layer (SSL) для любого сеанса, содержащего такой трафик в текущем анализаторе сообщений. пример.Обратите внимание, что существующие сертификаты восстанавливаются из хранилища сертификатов после перезапуска Message Analyzer; однако в целях безопасности пароли не используются. Поэтому, если вы хотите, чтобы расшифровка происходила после перезапуска анализатора сообщений, вам нужно будет каждый раз вручную вводить пароли. В любом отдельном экземпляре Message Analyzer, где вы ввели пароли для существующих или новых сертификатов, Message Analyzer может расшифровывать целевые сообщения всякий раз, когда вы загружаете сохраненный файл или запускаете трассировку в реальном времени, которая извлекает такие сообщения.После этого Message Analyzer отображает расшифрованные данные в средстве просмотра Analysis Grid на верхнем уровне стека протоколов и предоставляет отдельное окно Decryption , которое представляет информацию анализа сеанса дешифрования, включая статус и ошибки. Вы также можете сохранить трассировку, содержащую дешифрованные данные, в формате .matp, как и любую другую трассировку. Все инструменты и функции анализатора сообщений, которые обычно позволяют манипулировать и анализировать данные сообщений, доступны для использования в сеансе дешифрования, включая Details , Message Data , Field Data и Message Stack Tool Windows , которые позволяют сосредоточиться на определенных полях сообщения, свойствах, значениях и слоях.

Следующие шаги представляют собой обзор рабочего процесса, который вы обычно будете выполнять при работе с функцией расшифровки :

1. Импортируйте и сохраняйте сертификаты сервера и добавляйте пароли по мере необходимости на вкладке Decryption диалогового окна Options , доступного из глобального меню Tools анализатора сообщений, как описано в разделе «Добавление сертификатов и паролей».

2. Запустите сеанс Live Trace или загрузите сохраненный файл через сеанс извлечения данных, который содержит целевые сообщения, чтобы позволить Message Analyzer расшифровать как можно больше диалогов, как описано в разделе «Расшифровка данных трассировки».

3. Просмотрите информацию о состоянии дешифрования и проанализируйте результаты в сетке окна Decryption , как описано в разделе Анализ данных сеанса дешифрования.

4. Выберите строки сообщений в окне Decryption и проследите за соответствующим выбором расшифрованных сообщений в Analysis Grid , как описано в разделе «Просмотр расшифрованных сообщений».

5. Используйте программу просмотра Analysis Grid вместе с окнами Details , Message Data и Message Stack для анализа расшифрованных данных, как описано в разделе «Просмотр расшифрованных сообщений».

6. Сохраните расшифрованную трассировку в формате .matp для совместного использования с другими или для использования в других приложениях, как описано в разделе «Сохранение данных сеанса дешифрования».

Добавление сертификатов и паролей

Чтобы добавить сертификат сервера в хранилище сертификатов анализатора сообщений, необходимо добавить его в сетку панели Сертификаты на вкладке Расшифровка диалогового окна Параметры , доступного из меню Инструменты анализатора сообщений.Чтобы импортировать сертификат в хранилище сертификатов Message Analyzer, нажмите кнопку Добавить сертификат на панели инструментов вкладки Decryption , чтобы открыть диалоговое окно Добавить сертификат , перейдите в каталог, в котором находится сертификат, выберите сертификат, и нажмите кнопку Открыть , чтобы выйти из диалогового окна. Каждый раз, когда вы добавляете сертификат таким образом, отображается поле Password , чтобы вы могли вручную ввести пароль для сертификата, который вы добавляете.Функция Decryption может расшифровывать разговоры, только если в магазине существует соответствующий сертификат и для него предоставлен пароль. Если вы не введете пароль или это неправильный пароль, вам будет предложено ввести правильную информацию.

Все сертификаты и пароли, которые вы добавляете в сетку на вкладке Decryption диалогового окна Options , сохраняются в хранилище сертификатов и сохраняются в текущем экземпляре Message Analyzer, если вы не удалите их, нажав кнопку Clear List на панели инструментов на вкладке Расшифровка .Обратите внимание: если вы удалите записи сертификатов из списка и нажмете OK для выхода из диалогового окна Options , ни сертификаты, ни пароли не будут перечислены в таблице после перезапуска анализатора сообщений.

Получение сертификата сервера

Если вам требуется сертификат безопасности с сервера, на котором вы перехватываете зашифрованный трафик сообщений, вы можете получить его с помощью MMC диспетчера сертификатов для экспорта сертификата на стороне сервера (с сервера).Обратите внимание, что клиентская версия такого сертификата не содержит информации, необходимой для расшифровки данных. Наборы шифров обычно определяются конфигурацией сервера. Обратите внимание, что вам, возможно, придется внести изменения на стороне клиента или сервера, чтобы найти набор шифров, поддерживаемый Message Analyzer.

Включение сертификатов

Сертификаты и пароли не включены для сеанса извлечения данных или сеанса Live Trace, если вы специально не выбрали их перед сеансом.Чтобы включить или отключить сертификат в списке сертификатов, установите или снимите флажок слева от имени сертификата соответственно. Кроме того, вы можете включить или отключить все сертификаты одновременно, установив или сняв флажок Имя соответственно. Перед загрузкой данных или запуском трассировки в реальном времени, которые вы хотите расшифровать, убедитесь, что ваш сертификат / сертификаты активированы, установив флажок соответствующего сертификата в списке сертификатов; Вам также следует убедиться, что пароль для сертификата отображается скрытым текстом в столбце Пароль .Когда вы закончите добавлять сертификаты и пароли, нажмите кнопку OK , чтобы выйти из диалогового окна Options , в котором будут сохранены сертификат и пароль. После этого добавленный вами сертификат будет доступен для всех последующих сеансов дешифрования, в том числе для следующих после перезапуска анализатора сообщений; однако пароль доступен для сеансов дешифрования, которые используют этот сертификат только в текущем экземпляре анализатора сообщений.

Расшифровка данных трассировки

После добавления соответствующих сертификатов в сетку на вкладке Decryption диалогового окна Options и указания соответствующих паролей, вы готовы загрузить данные в Message Analyzer или запустить трассировку в реальном времени, которая извлекает применимые сообщения, которые вы хотите расшифровать.Вы можете загружать данные через сеанс извлечения данных или запускать сеанс Live Trace с включенным дешифрованием так же, как вы загружаете любой другой файл или запускаете любую другую трассировку с помощью Message Analyzer. Перед загрузкой файла в сеансе извлечения данных или запуском сеанса Live Trace с включенным дешифрованием вам рекомендуется для удобства выбрать программу просмотра Analysis Grid из раскрывающегося списка Start With в диалоговом окне New Session анализа. После загрузки данных или остановки сеанса Live Trace и завершения процесса Decryption данные сообщения отображаются в средстве просмотра Analysis Grid , а данные анализа расшифровки отображаются в Decryption Tool Window .

Message Analyzer также упрощает расшифровку сообщений, которые были захвачены в нескольких одновременных разговорах на разных серверах. Вместо того, чтобы расшифровывать разговоры по одному, вы можете просто ввести список сертификатов и паролей в хранилище сертификатов для текущего экземпляра Message Analyzer, а затем загрузить файлы трассировки, содержащие целевые разговоры, в Message Analyzer через сеанс извлечения данных. После этого Message Analyzer сопоставит предоставленные сертификаты с соответствующими разговорами и расшифрует как можно больше сообщений.

Анализ данных сеанса дешифрования

После того, как Message Analyzer расшифровывает сообщения в трассировке, вы можете проанализировать результаты в окне Decryption . Если это окно инструментов еще не открыто, вы можете отобразить его, щелкнув меню Инструменты анализатора сообщений, выбрав элемент Windows , а затем щелкнув Расшифровка в появившемся меню. Окно Decryption содержит следующие столбцы информации:

• Тип — перечисляет различные типы Decryption с различными значками, которые имеют следующие значения.Обратите внимание, что сообщения, связанные с этими значками, отображаются в столбце Сообщение :

  • Информация — этот синий значок указывает на то, что сообщение было успешно расшифровано, поскольку необходимые сертификаты и пароли находились в хранилище сертификатов. Информационное сообщение, связанное с этим значком, может состоять из имени сертификата, который использовался при расшифровке.

  • Предупреждение — этот желтый значок указывает на то, что сообщение не может быть расшифровано, поскольку соответствующий сертификат и пароль недоступны.Предупреждающее сообщение, связанное с этим значком, может содержать информацию об открытом ключе для отсутствующего сертификата, которая может помочь вам найти его.

  • Ошибка — этот красный значок указывает на то, что сообщение не может быть расшифровано из-за ошибки, например, в результате неполного подтверждения TCP. Сообщение об ошибке, связанное с этим значком, может содержать информацию об ошибке и рекомендации по устранению неполадок.

• Отметка времени — указывает отметку времени сообщения в удобном для пользователя формате.

• ProtocolVersion — перечисляет версию протокольного сообщения, которое было подвергнуто процессу Decryption .

• SourcePort — отображает исходные порты TCP, по которым передавались разговоры, которые были подвергнуты процессу Decryption .

• DestinationPort — отображает порты назначения TCP, по которым передавались разговоры, которые были подвергнуты процессу Decryption .

• SourceAddress — отображает исходные IP-адреса, по которым передавались разговоры, которые были подвергнуты процессу Decryption .

• DestinationAddress — отображает IP-адреса назначения, по которым передавались разговоры, которые были подвергнуты процессу Decryption .

• Счетчик расшифрованных сообщений — показывает количество расшифрованных сообщений.

• Счетчик незашифрованных сообщений — показывает количество сообщений, которые не были расшифрованы.

• Сообщение — указывает информационные сообщения, относящиеся к одному из значков дешифрования, чтобы предоставить дополнительные сведения о процессе Расшифровка , например информация об ошибке .

Просмотр зашифрованных сообщений

Для просмотра самих расшифрованных данных выберите строку сообщения в окне Decryption и обратите внимание, что она управляет выбором сообщения в средстве просмотра Analysis Grid . Например, если анализатор сообщений расшифровал данные HTTPS, в средстве просмотра Analysis Grid теперь может быть выбрано сообщение HTTP верхнего уровня, как показано на следующем рисунке, в зависимости от строки сообщения, выбранной в окне Decryption .Сообщения HTTPS уровня приложения обычно шифруются, когда служба Microsoft Windows Internet (WinInet) передает их криптографическим компонентам, таким как протокол безопасности TLS, который, в свою очередь, передает зашифрованные / безопасные данные на транспортный уровень. В результате шифрования TLS анализатор сообщений обычно не обрабатывает и не отображает такие сообщения, если вы не используете функцию Decryption . Когда вы это сделаете, вы сможете увидеть уровень зашифрованного сообщения как часть стека источников под расшифрованным сообщением на верхнем уровне в средстве просмотра Analysis Grid .В примере на следующем рисунке узел расшифрованного сообщения HTTP расширен, чтобы вы могли видеть уровень зашифрованных сообщений (TLS) и исходный стек протоколов в дереве источников.

Рисунок 29: Расшифрованные данные и стек сообщений

Поскольку выбор сообщения в средстве просмотра Analysis Grid , в свою очередь, управляет отображением данных в окне Details , Message Data и Message Stack , вы можете использовать эти Tool Windows для просмотра расшифрованных и зашифрованных данные сообщения, которые включают данные поля в Details , шестнадцатеричные данные в Message Data и сообщения верхнего уровня с исходными уровнями в окне Message Stack .Обратите внимание, что выбор поля в окне Details приводит к отображению соответствующих шестнадцатеричных данных в окне Message Data , так что вы можете просматривать шестнадцатеричное значение любого поля сообщения, которое вы выбираете.

Сохранение данных сеанса дешифрования

Вы можете сохранить расшифрованные данные трассировки таким же образом, как и любые другие данные трассировки. Вы просто выбираете пункт Сохранить в меню анализатора сообщений Файл , чтобы отобразить диалоговое окно Сохранить как , где вы можете выбрать один из трех вариантов сохранения, а именно:

• Все сообщения — позволяет сохранять все сообщения из сеанса Decryption , которые отображаются в средстве просмотра Analysis Grid .

• Отфильтрованные сообщения — позволяет сохранить набор отфильтрованных сообщений, например, если вы применили представление Фильтр к результатам сеанса Decryption .

• Выбранные сообщения — позволяет сохранять только определенные сообщения, которые вы выбираете на вкладке сеанса просмотра Analysis Grid ; например, вы можете захотеть сохранить определенные расшифрованные сообщения и сообщения об их происхождении из связанных стеков протоколов.

После того, как вы укажете одну из указанных опций сохранения, вы можете сохранить свои данные следующим образом:

• Сохранить как — нажмите эту кнопку, чтобы сохранить расшифрованные данные в собственном формате файла трассировки .matp. Если вы перезагрузите такой файл, нет необходимости снова включать Decryption , чтобы увидеть расшифрованные данные в средстве просмотра Message Analyzer, таком как Analysis Grid .

• Экспорт — нажмите эту кнопку, чтобы сохранить данные в формате.cap формат файла трассировки. Если вы выберете эту опцию, ваши расшифрованные данные не будут сохранены; однако вы можете повторно применить Decryption к этому файлу после его перезагрузки, чтобы вы могли снова просмотреть расшифрованные данные.

Дополнительная информация
Чтобы узнать больше о о запуске и настройке нового сеанса получения данных или сеанса Live Trace, см. Запуск сеанса анализатора сообщений.
Чтобы узнать больше о о сохранении данных трассировки, см. Раздел «Сохранение данных сообщения».

См. Также

Окно средства дешифрования

.

Eyesight to the Blind — SSL-дешифрование для мониторинга сети [Обновлено 2019 г.]

SSL и мониторинг сети — не самые совместимые партнеры — даже с самой сложной в мире инфраструктурой обнаружения вы не получите много полезных показателей из бесплодная случайность зашифрованного трафика. Рассмотрим положение датчика Sguil, показанного ниже:

Использование SSL веб-сервером означает, что обнаружение сетевых инцидентов проблематично.Никакая настройка экземпляра Snort датчика не поможет ему обнаруживать попытки вторжения — единственный трафик, который он будет видеть, — это HTTPS. Кроме того, если инцидент обнаружен другими средствами (например, уведомлением клиента, мониторингом файла журнала веб-сервера и т. Д.), Исследовательская ценность полного захвата пакета Sguil сильно уменьшается.

Есть несколько способов вернуть видимость, украденную SSL, включая следующие. Вы могли:

• Завершить SSL «перед» веб-сервером, возможно, на балансировщике нагрузки с обратным проксированием или межсетевом экране веб-приложений.Затем вы можете отслеживать расшифрованный трафик между балансировщиком нагрузки и веб-сервером.
• Выполнять задачи мониторинга на самом веб-сервере, возможно, за счет увеличения уровня ведения журнала веб-сайтов и приложений.
• Предоставьте существующим платформам датчиков средства для дешифрования сеансов SSL.

У каждого подхода есть свои плюсы и минусы; Эта статья покажет вам, как использовать последний метод для восстановления зрения ваших слепых датчиков Sguil.

Расшифровка SSL

Сначала нам нужно немного разобраться в механизме дешифрования SSL; вы можете прочитать об этом подробнее здесь.Вкратце, прежде чем мы сможем продолжить, необходимо выполнить два условия:

1. Сервер должен использовать механизм обмена ключами RSA (см. Здесь, внизу страницы, и здесь, раздел F.1.1.2). К счастью, это наиболее распространенная форма обмена ключами для серверов на основе SSL; Если вы используете пары ключей DSA или механизм обмена ключами Диффи-Хеллмана, вам, вероятно, не повезло.
2. У вас должен быть доступ к закрытому ключу RSA сервера и возможность скопировать его на свой датчик Sguil.

Последний пункт означает, что единственное дешифрование SSL, которое мы сможем осуществить, — это дешифрование трафика между серверами , принадлежащими нам , и с них — мы не сможем волшебным образом расшифровать произвольный трафик SSL ( черт возьми!) Однако этого вполне достаточно с точки зрения обнаружения вторжений и сетевой криминалистики.

Итак, где я оставил свои ключи…?

Получение закрытого ключа сервера на датчик Sguil может занять немного времени. Ключ может храниться в файле.pem где-нибудь на сервере, что упрощает копирование его на датчик Sguil. Однако некоторые операционные системы, такие как Windows, хранят сертификаты и ключи в «хранилище сертификатов» вместо файлов .pem. Чтобы получить закрытый ключ, нам нужно сначала экспортировать сертификат и ключ вместе в виде файла PKCS12 (читайте об этом здесь). После того, как мы получили экспортированный сертификат, мы можем приступить к извлечению закрытого ключа с помощью openssl следующим образом:

C: \> openssl pkcs12 -в c: \ myExportedCertificate.pfx –out c: \ myExportedCertificate.pem -nodes

При появлении запроса введите пароль, который вы указали при экспорте сертификата и ключа. Файл myExportedCertificate.pem будет содержать блок текста, который выглядит следующим образом:

—BEGIN ЧАСТНОЕ KEY—

MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCvHJFIpFwXZJ0x 2DzEY2B4MDBBu / + jbfUriFI + GKh6Q5oEGTAARh4OAP + UMedNf2t8 / MVJdEEAM7TQ
<надрез>
EZq3TiCB3e ​​+ GSjVRorB0YGvDzHR1V098LEPOvPIKNMcLCC4lGQeTg + usZmtcx4VI
wGI70e4Byd + Lba0lUKY8UIU =
—end ЧАСТНОЕ KEY—

Скопируйте и вставьте этот блок в файл с именем myPrivateKey.pem и сохраните его на датчике Sguil.

Windows также имеет концепцию неэкспортируемого закрытого ключа; ключ, хранящийся таким образом, обычно не может быть экспортирован средствами управления сертификатами Windows (хотя такие инструменты, как Jailbreak, утверждают, что могут это сделать).

Слово предупреждения

Как отмечалось в статье о расшифровке SSL, закрытый ключ вашего сервера действительно очень важен. С его помощью злоумышленник может расшифровать SSL-трафик сервера или использовать его вместе с сертификатом сервера, чтобы выдать себя за законный сайт.Вы должны проявлять особую осторожность при обращении с закрытым ключом — не оставляйте его копии во временных каталогах, убедитесь, что очень уверены, что он не попадает случайно в Интернет, и убедитесь, что датчик Sguil вы копируете его, насколько это возможно. Думайте об этом ключе как о комбинации сейфа для защиты ваших ценностей — убедитесь, что вы делитесь им только с надежными источниками. Утечка закрытого ключа — слишком высокая цена, чтобы платить за видимость вашего SSL-трафика, поэтому будьте осторожны!

Включаем ключ в работу

Имея закрытый ключ, мы могли четко указать Wireshark на каталоги полного захвата контента Sguil.Такой подход вряд ли поддается эффективному мониторингу сетевой безопасности; Было бы намного лучше, если бы мы могли направлять наши расшифровки прямо в Sguil почти в реальном времени, используя преимущества Snort, SANCP, PADS и всего, что у вас уже есть.

Пакет viewssld Дмитрия Плащинского — просто инструмент для работы. Недавно я внес в код некоторые дополнения, чтобы упростить интеграцию с Sguil и получить более сложные расшифровки. Концептуально viewssld выглядит так:

viewssld прослушивает указанный интерфейс через обычный libpcap на предмет назначенного трафика SSL.Захваченные кадры затем передаются в библиотеку libdssl Atomic Labs, которая обрабатывает фактическое дешифрование (последняя версия libdssl на момент написания — 2.1.1, доступна через svn здесь).

Результатом кода libdssl является только расшифрованное содержимое пакета (без заголовков и т.п.), поэтому libnet используется для создания «поддельного» потока трафика, содержащего расшифрованный SSL. Этот фальшивый поток выкачивается через выходной интерфейс, который прослушивает Sguil.

Более ранние версии viewssld выводили только трафик клиент-> сервер (например,g., HTTP-запросы). Мои модификации viewssld включают:

1. Вывод поддельного 3-стороннего подтверждения TCP для расшифрованного трафика
2. Вывод расшифрованных ответов сервера, а также запросов клиентов, поддержание (поддельных) порядковых номеров TCP в актуальном состоянии. Порядковые номера и прочая «мебель» заголовков TCP / IP — это, конечно, полная выдумка — поскольку размер дешифрованного трафика отличается от размера зашифрованного трафика, использовать «реальные» значения невозможно. Расшифрованный поток также может быть фрагментирован / сегментирован иначе, чем зашифрованный, но опять же, вы мало что можете сделать с этим
3. Вывод поддельного RST в конце каждого сеанса
4. Использование легко доступного для поиска идентификационного номера IP для всех фальшивых кадров, чтобы вы могли определить, какие из них были выведены viewssld (54609 == 0xd551 == DSSL )
5. Вывод расшифрованных кадров на другой порт, на котором они были захвачены (например,г. 443-> 80, 465-> 25, 993-> 143 и т. Д.)

Первые три пункта помогают поддерживать экземпляр SANCP Sguil в хорошем состоянии, поскольку вывод viewssld теперь представляет собой достаточно хорошо сформированный TCP-поток с определенным началом и концом. Четвертый пункт напоминает нам, что, хотя расшифрованный трафик доступен для Sguil, это полная сфабрикованность — такого трафика в такой форме в сети никогда не существовало. Помечая дешифрованные дейтаграммы IP идентификатором 0xd551, вы можете отсортировать записанные факты от дешифрованных.

Подсказки по пункту пять с интеграцией viewssld и Sguil, как показано на диаграмме ниже:

Это выглядит так:

1. Необработанный трафик (синие стрелки) входит в обычный интерфейс мониторинга Sguil.
2. Этот трафик перехватывается как Sguil, так и viewssld.
3. viewssld расшифровывает то, что может, и перекачивает это обратно в интерфейс, с которого это было получено (красные стрелки). Это стало возможным только при использовании другого TCP-порта для расшифрованных кадров — если бы он использовал тот же порт, он бы снова вошел в viewssld.
4. Поддельный поток дешифрованного SSL перехватывается Sguil.

Sguil / SANCP / Snort / PADS / и т. Д. поэтому смотрите как зашифрованный, так и дешифрованный трафик, как показано на скриншоте ниже. На заднем плане вы можете увидеть запрос SANCP с двумя строками результатов. Первая строка — это необработанный трафик SSL, захваченный Sguil через порт 443; вторая строка показывает, что Sguil захватывает соответствующий поддельный расшифрованный поток, выводимый с помощью viewssld на порт 80. Два окна транскрипции рассказывают остальную часть истории:

Я протестировал viewssld с HTTPS, SMTPS, POP3S и IMAPS — все работает, как ожидалось.Пример файла viewssld.conf для этих четырех протоколов может выглядеть так:

# Путь к PID-файлу (по умолчанию: /var/run/viewssl.pid)
pid = /var/run/viewssl.pid

# daemonize? вкл. / выкл. (по умолчанию: выкл.)
daemon = on

# loglevel 0-10 (по умолчанию: 0)
loglevel = 10

# Протоколы SSL для расшифровки

[веб-сервер]
src = eth2
dst = eth2
ip = 10.11.12.13
порт = 443
ключ = / etc / viewssld / webserver.ключ
dsslport = 80

[mailserverSMTP]
src = eth2
dst = eth2
ip = 20.30.40.50
порт = 465
ключ = /etc/viewssld/mailserver.key
dsslport = 25

[mailserverIMAP]
src = eth2
dst = eth2
ip = 20.30.40.50
порт = 993
ключ = /etc/viewssld/mailserver.key
dsslport = 143

[mailserverPOP3]
src = eth2
dst = eth2
ip = 20.30.40.50
порт = 995
ключ = / etc / viewssld / mailserver.ключ
dsslport = 110

Обратите внимание, что интерфейсы src и dst одинаковы во всех случаях, и что указан не-SSL-порт (dsslport =), а также SSL-порт (port =).

Еще одно предупреждение

При использовании viewssld на датчике Sguil следует учитывать несколько моментов:

• Расшифровка SSL связана с вычислительными затратами. Если ЦП вашего датчика обычно очень загружен, дополнительная криптонагрузка может вывести его из строя.
• Процесс дешифрования очень чувствителен к потере пакетов. Если viewssld пропустит пакет, расшифровка потока остановится на этом этапе; если он пропустит подтверждение SSL в начале зашифрованного сеанса, он вообще ничего не расшифрует.
• Теперь вы храните как зашифрованный, так и расшифрованный трафик, поэтому это может повлиять на использование диска.

Покажите мне деньги!

viewssld можно получить на GitHub здесь. Для компиляции кода вам потребуются установленные libpcap, libssl, libnet и libdssl.Некоторые версии libdssl, похоже, не собирают разделяемую библиотеку, поэтому вам может потребоваться статически связать viewssld с libdssl.a, если это так. Если при компиляции возникает ошибка ссылки:

Датчик

: ~ / viewssld / src # make
gcc -g -O2 -lpcap -lssl -lnet -ldssl -o viewssld viewssld.o utils.o
viewssld.o: В функции `continue ‘:
/ user / viewssld / src / viewssld.c: 339: неопределенная ссылка на `CapEnvCreate ‘
/user/viewssld/src/viewssld.c:341: неопределенная ссылка на` CapEnvSetSSL_ServerInfo’
/ user / viewssld / src / viewssld.c: 368: неопределенная ссылка на `CapEnvDestroy ‘
/user/viewssld/src/viewssld.c:354: неопределенная ссылка на` CapEnvSetSessionCallback’
/user/viewssld/src/viewssld.c:356: неопределенная ссылка на `CapEnvCapture ‘
viewssld.o: в функции `error_callback_proc ‘:
/user/viewssld/src/viewssld.c:773: неопределенная ссылка на` SessionToString’
viewssld.o: в функции `session_event_handler ‘:
/ user / viewssld / src / viewssld.c: 444: неопределенная ссылка на `SessionToString ‘
/ user / viewssld / src / viewssld.c: 462: неопределенная ссылка на `SessionSetCallback ‘
/user/viewssld/src/viewssld.c:464: ​​неопределенная ссылка на` SessionSetMissingPacketCallback’
collect2: ld вернул 1 статус выхода
make: *** [viewssld] Ошибка 1

… можно исправить вот так:

Датчик

: ~ / viewssld / src # gcc -g -O2 -lpcap -lssl -lnet -ldssl -o viewssld viewssld.o utils.o /usr/local/lib/libdssl.a

Запустите его и сделайте так, чтобы ваши сенсоры Sguil были невидимы! Для получения дополнительной информации о SSL ознакомьтесь с нашей статьей «Криптография 101».

.Расшифровка SSL

в интеллектуальном прокси — Cisco Umbrella

Расшифровка SSL — важная часть интеллектуального прокси Umbrella. В этой статье рассказывается, как это работает и каковы требования для его реализации.

Обзор

Эта функция позволяет интеллектуальному прокси-серверу не ограничиваться простой проверкой обычных URL-адресов, а фактически прокси-сервером и проверять трафик, отправляемый по HTTPS. Функция расшифровки SSL требует, чтобы был установлен корневой сертификат, как описано ниже.

Требования и реализация

Хотя проксироваться будут только сайты SSL из нашего «серого» списка, требуется, чтобы корневой сертификат был установлен на компьютерах, которые в своей политике используют расшифровку SSL для интеллектуального прокси. Сайты в нашем «сером» списке могут включать популярные сайты, такие как службы обмена файлами, которые потенциально могут размещать вредоносные программы по определенным конкретным URL-адресам, в то время как подавляющее большинство остальной части сайта совершенно безвредно, поэтому ваши пользователи будут переходить на некоторые прокси-серверы. сайты, даже если они действуют добросовестно.

• Без корневого сертификата, когда ваши пользователи переходят на эту службу, они будут получать сообщения об ошибках в браузере, и сайт не будет доступен. Браузер правильно считает, что трафик перехватывается (и проксируется!) «Человеком посередине», которым в данном случае является наша служба. Трафик не будет расшифровываться и проверяться; вместо этого будет недоступен весь веб-сайт.
• При установленном корневом сертификате ошибок не будет, и сайт будет доступен после проксирования и разрешения.Информацию об установке корневого сертификата в нескольких браузерах и платформах см. Здесь: https://docs.umbrella.com/product/umbrella/cisco-certificate-import-information/

Включение расшифровки SSL

Эта функция является частью интеллектуального прокси, поэтому сначала необходимо включить интеллектуальный прокси.

В нашем мастере политики эта функция включена в шаг 2 «Что должна делать эта политика?». Разверните «Дополнительные настройки» и нажмите «Расшифровка SSL», чтобы включить функцию:

В существующей политике расшифровку SSL можно включить на странице сводки, щелкнув Дополнительные параметры:

Тестирование расшифровки SSL

После того, как вы развернули корневой центр сертификации Cisco на своих клиентских машинах и настроили эту функцию, вы захотите убедиться, что она работает.Мы создали следующий URL, чтобы вы могли это проверить:

https://ssl-proxy.opendnstest.com

Это приведет к странице с сообщением, был ли ваш запрос успешно проксирован или нет.

Что расшифровывается и проксируется?

Некоторые решения, такие как решения для глубокой проверки пакетов на шлюзе сети, будут проверять весь проходящий через него трафик на детальном уровне для поиска информации, такой как строки вредоносного кода или конфиденциальной информации.Это * не * то, что делает расшифровка SSL для интеллектуального прокси, вместо этого это действительно просто интеллектуальный прокси для веб-сайтов SSL. Единственное, что проверяется, — это запрошенные URL-адреса и доменные имена, которые с самого начала считаются подозрительными и находятся в нашем «сером списке», и мы будем блокировать URL-адреса HTTPS, если они считаются вредоносными в нашем наборе правил. Мы не записываем (и даже не просматриваем) что-либо, кроме URL-адресов, потенциально вредоносных файлов (и контрольных сумм) и самих доменных имен.

Если проверка файлов включена, наш прокси также проверяет файлы, которые пытались загрузить с этих опасных сайтов, с помощью антивирусных (AV) механизмов и Cisco Advanced Malware Protection (AMP), обеспечивая комплексную защиту от вредоносных файлов. Включение расшифровки SSL вместе с проверкой файлов защищает от сайтов, использующих действующий HTTPS, но обслуживающих вредоносные файлы вместе с безобидными.

.