Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Palo Alto Networks DNS Signatures Get Triggered for Traffic fro... - Knowledge Base - Palo Alto Networks

Palo Alto Networks DNS Signatures Get Triggered for Traffic from Management Interface

56484
Created On 04/08/19 03:32 AM - Last Modified 03/06/25 17:15 PM


Symptom


DNS trafic provenant de l’interface de gestion (192.168.10.1) de la signature firewall DNS malveillante déclenche. 

Image ajoutée par l'utilisateur
 

Cause


1) Lors du filtrage avec la menace ID , nous voyons le trafic d’une machine interne (10.10.10.10) correspond également aux mêmes signatures.

Image ajoutée par l'utilisateur

2) Lors de la vérification du profil anti-spyware cartographié à la sécurité Policy , / Signatures evasion HTTP TLS (14978/14984) sont définis à « Alert ».

Image ajoutée par l'utilisateur

Image ajoutée par l'utilisateur

3) Ceci se produit pendant que la machine interne essaye de tendre la main au site Web malveillant HTTP plus. La DNS signature est déclenchée lorsque la machine interne fait une DNS résolution. 

Depuis signatures anti-spyware 14978 et 14984 sont activés, firewall l’interface de gestion de la 's DNS émettra une autre requête pour résoudre le domaine pour comparer IP l’adresse qu’il a résolu avec IP l’adresse dans la demande du client. Cela correspond à DNS la signature ainsi.

Resolution


Il s’agit d’un comportement attendu basé sur cette configuration, et il se produira si DNS les signatures sont configurées à Alert / Sinkhole (si le trafic Sinkhole IP est acheminé vers le firewall ). Cela ne se produira pas si les DNS signatures sont configurées pour « bloquer » au fur et à HTTP mesure que le trafic HTTPS n’est jamais déclenché parce que la DNS résolution n’arrive jamais.

Si DNS les signatures sont configurées comme alerte/gouffre, la sécurité peut être Policy configurée avec un profil anti-spyware qui ne correspond pas à DNS la Signature pour le trafic à partir de firewall l’interface de gestion pour atténuer ce problème.

NOTE:L’interface de gestion lancera également une requête pour résoudre l’adresse de tout DNS domaine malveillant qui est ajouté comme objet IP FQDN (objets>Address) dans le firewall et utilisé dans une sécurité policy . Cette requête se répète toutes les 30 secondes si DNS la requête est bloquée. La solution pour cela est de supprimer les objets et FQDN bloquer les connexions à ces domaines en utilisant DNS Security / Signatures et DNS URL filtrage.

Additional Information


Pour plus d’informations, veuillez consulter cet avis
TLS-HTTP- ci-dessous: https://live.paloaltonetworks.com/t5/Customer-Advisories/Information-regarding-header-evasion/ta-p/76562


 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,273
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLRaCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language