Firewall no puede responder ' RESET ' al contenido malicioso y a la respuesta HTTP

Firewall no puede responder ' RESET ' al contenido malicioso y a la respuesta HTTP

0
Created On 09/25/18 19:47 PM - Last Modified 07/19/22 23:06 PM


Resolution


Síntoma

El cortafuegos no puede responder ' RESET ' cuando el contenido malicioso y el código de respuesta HTTP se envían como un solo paquete aunque la acción del perfil antivirus ' RESET-Both ' está correctamente configurada.

 

Esta limitación se puede ver al descargar el archivo de prueba EICAR (eicar_com. zip) del sitio EICAR público (http://www.eicar.org/). el cliente ve los followings.

 

  • El cortafuegos envía la página "descarga de virus/spyware bloqueado" al explorador al descargar el archivo de prueba EICAR (eicar_com. zip) del sitio EICAR público (http://www.eicar.org/.)
  • Mientras que la página "virus/spyware descarga bloqueada" se envía la acción configurada (en este caso, Reset-both) se registra como la acción desencadenada del evento en el registro de amenazas.

Si el cliente localiza el archivo de prueba EICAR (eicar_com. zip) en su servidor Web y, a continuación, intenta descargar el archivo de prueba a través del cortafuegos, verá lo siguiente.

 

  • "RESET-both" se activa correctamente y RST se envía desde el cortafuegos al lado del navegador.
  • También la acción configurada (en este caso, Reset-both) se registra correctamente como la acción desencadenada del evento en el registro de amenazas.

 

Caso 1

Este caso muestra el Resumen de cómo funciona la limitación.

A continuación se muestra el ejemplo de la transacción HTTP entre el explorador y el sitio EICAR "http://www.eicar.org/" para descargar el archivo de prueba EICAR (eicar_com. zip). La dirección IP del sitio EICAR es 188.40.238.250. Y las direcciones IP del navegador son 1.1.1.4.

 

Captura de pantalla para capturar que muestra el ejemplo de la transacción HTTP entre el explorador y el sitio EICAR "http://www.eicar.org/" para descargar el archivo de prueba EICAR (eicar_com. zip).  

packetforeicar. Png

Puede ver las transacciones HTTP entre el explorador y el sitio EICAR que se están llevando a cabo en el orden siguiente de la captura anterior.

 

  • El navegador está enviando "GET/download/eicar_com.zip HTTP/1.1" en ningún paquete 809.
  • El sitio EICAR está enviando el contenido malicioso y el código de respuesta HTTP 200 como un único paquete en ningún paquete 812.
  • El Firewall está enviando "servicio http/1.1 503 no disponible" con la página "la descarga del virus/spyware ha sido bloqueada de acuerdo con la política de la compañía. Póngase en contacto con el administrador del sistema si cree que está en error "en el lado del navegador en ningún paquete 813.

Disparo de pantalla para el registro de amenazas generado al descargar eicar_com. zip del sitio de prueba EICAR:

threatlogeicar. Png

  • Podemos ver que RESET-ambos se registran como la acción activada, aunque el tfirewall está enviando "http/1.1 503 servicio no disponible".

 

 

Caso 2

Este caso muestra un resumen de cómo el Firewall está enviando "RESET" al contenido malicioso.

A continuación se muestra el ejemplo de la transacción HTTP entre el explorador y el servidor web privado para descargar el archivo de prueba EICAR (eicar_com. zip). La dirección IP del servidor web privado que aloja eicar_com. zip es 10.128.128.218 y las direcciones IP del navegador son 1.1.1.4.

 

Captura de pantalla para la captura que muestra el ejemplo de la transacción HTTP entre el navegador y el servidor web privado para descargar el archivo de prueba EICAR (eicar_com. zip):

packetforprivate. Png

 

También tenga en cuenta que podemos aprender que el servidor web privado está enviando el contenido malicioso y el código de respuesta http 200 como dos paquetes en los paquetes no 2004 y 2005, de "lugar de color rojo" en la captura de pantalla anterior.

 

Puede ver las transacciones HTTP/TCP entre el navegador y el lado del servidor privado están teniendo lugar en el orden de abajo de la captura anterior.

 

  • El navegador está enviando "GET/download/eicar_com.zip HTTP/1.1" en ningún paquete 2002.
  • El servidor web privado está enviando el contenido malicioso y el código de respuesta http 200 como dos paquetes en los paquetes no 2004 y 2005.
  • También puede ver que el Firewall está enviando RST al lado del navegador en ningún paquete 2010 en lugar de "HTTP/1.1 503 servicio no disponible" de la captura de pantalla abajo. También se puede ver el paquete no 2002 y no 2010 paquete se puede ver en la misma secuencia TCP de la captura de pantalla siguiente.

 

Captura de pantalla para la captura que muestra el Firewall está enviando un primer paquete al navegador después de recibir el contenido malicioso y el código de respuesta http 200 como dos paquetes en no 2004 y 2005 paquetes del servidor privado:

resetsentfromfw. Png

 

Captura de pantalla para el registro de amenazas generado al descargar eicar_com. zip desde el servidor privado:

threatloggeneratedbyreset. Png

  • Podemos ver que RESET-ambos se registran como la acción activada y el Firewall está enviando RST.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldOCAS&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail