Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Las firmas de palo alto networks DNS se activan para el tráfico... - Knowledge Base - Palo Alto Networks

Las firmas de palo alto networks DNS se activan para el tráfico desde la interfaz de administración

56478
Created On 04/08/19 03:32 AM - Last Modified 03/06/25 17:15 PM


Symptom


DNS tráfico originado de la interfaz de administración (192.168.10.1) de la firewall firma maliciosa está DNS activando. 

Imagen de usuario añadido
 

Cause


1) Al filtrar con la amenaza, vemos que el ID tráfico de una máquina interna (10.10.10.10) también coincide con las mismas firmas.

Imagen de usuario añadido

2) Al comprobar el perfil anti-spyware asignado a la seguridad Policy , / Firmas de HTTP TLS evasión (14978/14984) se establecen en "Alerta."

Imagen de usuario añadido

Imagen de usuario añadido

3) Esto está sucediendo como la máquina interna está tratando de llegar al sitio web malicioso sobre HTTP . La DNS firma se activa cuando la máquina interna realiza una DNS resolución. 

Dado que las firmas antispyware 14978 y 14984 están habilitadas, la firewall interfaz de administración de 's emitirá otra consulta para resolver el dominio para comparar la dirección que DNS IP resolvió con la dirección de la IP solicitud del cliente. Esto también coincide con la DNS firma.

Resolution


Este es un comportamiento esperado basado en esta configuración, y sucederá si las DNS firmas están configuradas para alerta/sumidero (si el tráfico del sumidero IP se enruta al firewall ). Esto no sucederá si las DNS firmas se configuran para "bloquear" como HTTP o el tráfico nunca se activa porque la resolución nunca HTTPS DNS ocurre.

Si DNS las firmas se configuran como alerta/sumidero, la seguridad se puede configurar con un perfil Policy anti-spyware que no coincida con la DNS firma para el tráfico de la interfaz de administración para mitigar este firewall problema.

NOTE:La interfaz de administración también iniciará una DNS consulta para resolver la dirección de cualquier dominio IP malintencionado que se agregue como FQDN objeto (objetos>Address) en el firewall y se usa en una seguridad policy . Esta consulta se repetirá cada 30 segundos si la DNS consulta se bloquea. La solución para esto es eliminar los FQDN objetos y bloquear las conexiones a estos dominios mediante / Firmas y DNS Security DNS URL filtrado.

Additional Information


Para obtener información adicional, consulte este aviso a continuación:
https://live.paloaltonetworks.com/t5/Customer-Advisories/Information-regarding- TLS-HTTP- header-evasion/ta-p/76562


 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,003
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLRaCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language