PaloAlto-Firewalls initiieren Datenverkehr zu GoDaddy-IP-Adressen

• Die Firewall Schnittstelle sendet HTTP Verkehr an die folgenden GoDaddy-URLs.

certificates[.]godaddy[.]com
ocsp[.]godaddy[.]com

• Der Datenverkehr verwendet Port 80 und ist in einer Packet Capture (Paketdatenaufzeichnung, PCAP) für die unten angezeigten IP-Adressen sichtbar.

192.124.249.31
192.124.249.36
192.124.249.24
192.124.249.41

• Alle Palo Alto-Geräte
• Unterstützte PAN-OS

• Bestimmte Palo Alto-Dienste haben ihr Zertifikat von GoDaddy ausgestellt. Bemerkenswerte Beispiele sind:

wildfire[.]paloaltonetworks[.]com
updates[.]paloaltonetworks[.]com
ace[.]hawkeye[.]services-edge[.]paloaltonetworks[.]com

• Wenn die Firewall mit diesen Diensten kommuniziert, initiiert sie einen SSL Handshake. Die meisten dieser Zertifikate sind mit OCSP -Prüfungen ausgestattet, die die Validierung dieser Zertifikate ermöglichen.
• Der unten bereitgestellte Screenshot zeigt, dass das Zertifikat für „ updates[.]paloaltonetworks[.]com “ von GoDaddy CA ausgestellt wurde. Darüber hinaus enthält das Feld „Authority Information Access“ des Zertifikats die OCSP URL Details.
• Folglich ist der auf GoDaddy-Sites gerichtete Datenverkehr ein integraler Bestandteil dieser OSCP-Prüfung.
  

1. Der beobachtete Datenverkehr ist antizipiert und bildet einen entscheidenden Teil der OCSP Prüfung.
2. Im Falle von Befürchtungen können Kunden diesen Datenverkehr stoppen, indem sie die Option „ Identität des aktualisieren Servers überprüfen “ in den Firewall-/Panorama-Einstellungen deaktivieren.
3. Dies kann über die grafische Benutzeroberfläche erfolgen: Gerät/Panorama > Einrichten > Dienste > Global > „Identität des Update-Servers überprüfen“ deaktivieren und dann die Änderungen ausführen .