Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Palo Alto Networks DNS Signaturen werden für Datenverkehr von d... - Knowledge Base - Palo Alto Networks

Palo Alto Networks DNS Signaturen werden für Datenverkehr von der Verwaltungsschnittstelle ausgelöst

56478
Created On 04/08/19 03:32 AM - Last Modified 03/06/25 17:15 PM


Symptom


DNS Datenverkehr, der von der Verwaltungsschnittstelle (192.168.10.1) des verwendet firewall wird, löst die böswillige DNS Signatur aus. 

Benutzeriertes Bild
 

Cause


1) Beim Filtern mit der Bedrohung ID sehen wir, dass der Datenverkehr von einem internen Computer (10.10.10.10) auch den gleichen Signaturen entspricht.

Benutzeriertes Bild

2) Bei der Überprüfung des Anti-Spyware-Profils, das der Sicherheit zugeordnet Policy ist, HTTP werden / Evasion TLS Signaturen (14978/14984) auf "Alert"

Benutzeriertes Bild

Benutzeriertes Bild

gesetzt. 3) Dies geschieht, wie die interne Maschine versucht, die bösartige Website über zu HTTP erreichen. Die DNS Signatur wird ausgelöst, wenn der interne Computer eine Auflösung DNS ausführt. 

Da die Anti-Spyware-Signaturen 14978 und 14984 aktiviert sind, gibt die firewall Verwaltungsschnittstelle von eine weitere Abfrage aus, DNS um die Domäne zu lösen, um die Adresse zu vergleichen, die sie mit der Adresse in der IP Anforderung vom Client aufgelöst IP hat. Dies entspricht auch der DNS Signatur.

Resolution


Dies ist ein erwartetes Verhalten, das auf dieser Konfiguration basiert, und es wird passieren, wenn die DNS Signaturen auf Alert/Sinkhole konfiguriert sind (wenn der Sinkhole-Datenverkehr IP an die weitergeleitet firewall wird). Dies geschieht nicht, wenn die DNS Signaturen so konfiguriert sind, dass sie "blockieren" oder HTTP der Datenverkehr nie ausgelöst HTTPS wird, da die Auflösung nie DNS erfolgt.

Wenn DNS Signaturen als Warnung/Sinkhole konfiguriert sind, kann die Sicherheit Policy mit einem Anti-Spyware-Profil konfiguriert werden, das nicht mit der Signatur für Datenverkehr von der DNS firewall Verwaltungsschnittstelle übereinstimmt, um dieses Problem zu beheben.

NOTEDie Verwaltungsschnittstelle initiiert auch eine DNS Abfrage, um die Adresse einer bösartigen Domäne aufzulösen, IP die als Objekt FQDN (Object>Address) in der hinzugefügt firewall und in einer Sicherheitsadresse verwendet policy wird. Diese Abfrage wird alle 30 Sekunden wiederholt, wenn die DNS Abfrage blockiert wird. Die Lösung hierfür besteht darin, die Objekte zu löschen FQDN und Verbindungen zu diesen Domänen mithilfe von DNS Security DNS /Signaturen und Filterung zu URL blockieren.

Additional Information


Weitere Informationen finden Sie in dieser Stellungnahme unten:
https://live.paloaltonetworks.com/t5/Customer-Advisories/Information-regarding- TLS-HTTP- header-evasion/ta-p/76562


 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,003
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLRaCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language