帕洛阿尔托网络 DNS 签名从管理界面触发流量
56380
Created On 04/08/19 03:32 AM - Last Modified 03/06/25 17:15 PM
Symptom
DNS 源自管理界面(192.168.10.1)的流量 firewall 触发恶意 DNS 签名。
Cause
1) 在与威胁进行过滤时 ID ,我们看到来自内部机器(10.10.10.10)的流量也匹配相同的签名。
2) 在检查映射到安全级别的反间谍软件配置文件 Policy 时 HTTP , / TLS 逃避签名 (14978/14984) 设置为 "警报" 。
3) 这是发生在内部机器试图接触恶意网站 HTTP 。 DNS当内部机器执行分辨率时,会触发签名 DNS 。
由于已启用 14978 和 14984 的反间谍软件签名, firewall 因此"管理界面"将发出另一个 DNS 查询来解决该域,以将其 IP 解决的地址与 IP 客户端请求中的地址进行比较。 这与 DNS 签名也匹配。
Resolution
这是基于此配置的预期行为,如果 DNS 将签名配置为警报/沉孔(如果沉井 IP 流量被路由到 firewall )。。 如果 DNS 签名被配置为"阻止 HTTP ",或者 HTTPS 流量永远不会被触发,因为 DNS 分辨率永远不会发生,
则这种情况不会发生。如果 DNS 签名被配置为警报/沉井,则安全性 Policy 可以配置为与管理界面中的"签名"不匹配的反间谍软件配置文件 DNS firewall ,以缓解此问题。
NOTE管理界面还将启动一个 DNS 查询,以解决 IP 在安全中添加为 FQDN 对象(对象>地址)的任何恶意域的地址 firewall policy 。 如果查询被阻止,此查询将每 30 秒重复一次 DNS 。 这样做的解决方案是 FQDN 删除对象,并阻止连接到这些域使用 DNS Security / DNS 签名和 URL 过滤。
Additional Information
欲了解更多信息,请参阅以下通知
:https://live.paloaltonetworks.com/t5/Customer-Advisories/Information-regarding- TLS-HTTP- 头逃逸/ta-p/76562