Los firewalls de PaloAlto inician el tráfico hacia las direcciones IP de GoDaddy

• La interfaz del cortafuegos envía tráfico HTTP a las siguientes URL de GoDaddy.

certificates[.]godaddy[.]com
ocsp[.]godaddy[.]com

• El tráfico utiliza el puerto 80 y se puede ver en una packet capture (captura de paquetes - pcap) para las direcciones IP que se muestran a continuación.

192.124.249.31
192.124.249.36
192.124.249.24
192.124.249.41

• Cualquier dispositivo de Palo Alto
• Sistema operativo PAN compatible

• Algunos servicios de Palo Alto cuentan con un certificado emitido por GoDaddy. Algunos ejemplos destacados son:

wildfire[.]paloaltonetworks[.]com
updates[.]paloaltonetworks[.]com
ace[.]hawkeye[.]services-edge[.]paloaltonetworks[.]com

• Cuando el cortafuegos se comunica con estos servicios, inicia un protocolo de enlace SSL . La mayoría de estos certificados están equipados con comprobaciones OCSP , lo que permite la validación de estos certificados.
• La captura de pantalla que se muestra a continuación muestra que el certificado para " updates[.]paloaltonetworks[.]com " fue emitido por GoDaddy CA Además, el campo "Acceso a la información de autoridad" del certificado contiene los detalles de la URL de OCSP .
• En consecuencia, el tráfico dirigido hacia los sitios de GoDaddy es un componente integral de esta verificación OSCP.
  

1. El tráfico observado se anticipa y constituye una parte crucial de la comprobación OCSP .
2. En caso de cualquier inquietud, los clientes pueden detener este tráfico desactivando la casilla " Verificar identidad del servidor de actualizar " en la configuración de Firewall/Panorama.
3. Esto se puede hacer en la GUI: Dispositivo/Panorama > Configuración > Servicios > Global > 'Desmarcar' Verificar la identidad del servidor de actualización y luego compilar los cambios.