Pare-feu incapable de répondre à'reset'au contenu malveillant et à la réponse HTTP

Pare-feu incapable de répondre à'reset'au contenu malveillant et à la réponse HTTP

0
Created On 09/25/18 19:47 PM - Last Modified 07/19/22 23:06 PM


Resolution


Symptôme

Le pare-feu ne peut pas répondre «Reset» lorsque le contenu malveillant et le code de réponse HTTP sont envoyés comme un seul paquet bien que L'Action de profil Antivirus'reset-both'est correctement configuré.

 

Cette limitation peut être observée lors du téléchargement du fichier de test EICAR (eicar_com. zip) à partir du site EICAR public (http://www.EICAR.org/). le client voit les points suivants.

 

  • Le pare-feu envoie la page "virus/spyware download bloqué" au navigateur lors du téléchargement du fichier de test EICAR (eicar_com. zip) à partir du site EICAR public (http://www.EICAR.org/.)
  • Alors que "virus/spyware download bloqué" page est envoyé l'action configurée (dans ce cas, Reset-both) est enregistré comme l'action déclenchée de l'événement dans le journal des menaces.

Si le client localise le fichier de test EICAR (eicar_com. zip) sur son serveur Web, puis tente de télécharger le fichier de test via le pare-feu, vous voyez ce qui suit.

 

  • "Reset-both" est correctement déclenché et la TVD est envoyée du pare-feu au côté du navigateur.
  • L'action configurée (dans ce cas, Reset-both) est également enregistrée correctement en tant qu'action déclenchée de l'événement dans le journal des menaces.

 

Cas 1

Ce cas montre le résumé de la façon dont la limitation fonctionne.

Voici L'exemple de la transaction HTTP entre le navigateur et le site EICAR "http://www.EICAR.org/" pour le téléchargement du fichier de test EICAR (eicar_com. zip). L'adresse IP du site EICAR est 188.40.238.250. Et les adresses IP du navigateur est 1.1.1.4.

 

Capture d'Écran pour la saisie montrant que L'exemple de la transaction HTTP entre le navigateur et le site EICAR "http://www.EICAR.org/" pour le téléchargement du fichier de test EICAR (eicar_com. zip).  

packetforeicar. Png

Vous pouvez voir les transactions http entre le navigateur et le site EICAR se déroulent dans l'ordre ci-dessous de la capture ci-dessus.

 

  • Le navigateur envoie "GET/Download/eicar_com.zip HTTP/1.1" à aucun paquet 809.
  • Le site EICAR envoie le contenu malveillant et le code de réponse HTTP 200 comme un seul paquet à aucun paquet 812.
  • Le pare-feu envoie "HTTP/1.1 503 Service non disponible" avec la page "le téléchargement du virus/spyware a été bloqué conformément à la politique de l'entreprise. S'Il vous plaît contacter votre administrateur système si vous pensez que c'est dans l'erreur "au côté du navigateur à aucun paquet 813.

Capture d'Écran pour le journal des menaces généré lors du téléchargement de eicar_com. zip à partir du site de test EICAR:

threatlogeicar. Png

  • Nous pouvons voir que Reset-les deux est enregistré comme l'action déclenchée si le tfirewall est l'envoi "http/1.1 503 Service non disponible".

 

 

Cas 2

Ce cas montre un résumé de la façon dont le pare-feu envoie "Reset" au contenu malveillant.

Voici L'exemple de la transaction HTTP entre le navigateur et le serveur Web privé pour télécharger le fichier de test EICAR (eicar_com. zip). L'adresse IP du serveur Web privé hébergeant eicar_com. zip est 10.128.128.218 et les adresses IP du navigateur sont 1.1.1.4.

 

Capture d'Écran pour la capture montrant L'exemple de la transaction HTTP entre le navigateur et le serveur Web privé pour télécharger le fichier de test EICAR (eicar_com. zip):

packetforprivate. Png

 

Aussi S'il vous plaît noter que nous pouvons apprendre le serveur Web privé envoie le contenu malveillant et le code de réponse http 200 que deux paquets à no 2004 et 2005 paquets, de "Red Color place" dans la capture d'écran ci-dessus.

 

Vous pouvez voir les transactions http/TCP entre le navigateur et le côté serveur privé se déroulent dans l'ordre ci-dessous de la capture ci-dessus.

 

  • Le navigateur envoie "GET/Download/eicar_com.zip HTTP/1.1" à aucun paquet 2002.
  • Le serveur Web privé envoie le contenu malveillant et le code de réponse http 200 comme deux paquets aux paquets no 2004 et 2005.
  • En outre, vous pouvez voir que le pare-feu envoie la TVD au côté du navigateur à aucun paquet 2010 au lieu de "HTTP/1.1 503 Service non disponible" de la capture d'écran ci-dessous. Vous pouvez également voir le paquet no 2002 et aucun paquet 2010 peut être vu dans le même flux TCP de la capture d'écran suivante.

 

Capture d'écran pour la capture montrant le pare-feu envoie un paquet RST au navigateur après avoir reçu le contenu malveillant et le code de réponse http 200 que deux paquets à no 2004 et 2005 paquets à partir du serveur privé:

resetsentfromfw. Png

 

Capture d'Écran pour le journal des menaces généré lors du téléchargement eicar_com. zip à partir du serveur privé:

threatloggeneratedbyreset. Png

  • Nous pouvons voir que Reset-les deux sont enregistrés comme l'action déclenchée et le pare-feu envoie la TVD.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldOCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail