Prevención de credenciales "usar filtro de credenciales de dominio" no funciona en algunos sitios web
11062
Created On 08/11/22 03:22 AM - Last Modified 03/02/23 05:55 AM
Symptom
Las credenciales de dominio no están bloqueadas por el firewall para algunos sitios web.
Environment
- Palo Alto Firewall
- PAN-OS 8.0 y superior
- Prevención de credenciales establecida en "usar filtro de credenciales de dominio"
Cause
- Las credenciales en tránsito se cifran entre el cliente y el servidor mediante una clave de cifrado enviada por el servidor.
- Por ese motivo, no firewall puede detectar las credenciales y tomar medidas correctivas.
- En el ejemplo siguiente, el usuario Alice está accediendo a www.website.com.
- El sitio web respondió con una clave de cifrado que el cliente utiliza para cifrar su credencial.
- Alice enviará la información cifrada. No coincide con las credenciales esperadas del Directorio (contenido del filtro de floración).
Resolution
Este es un comportamiento normal, requiere firewall ver la contraseña de texto sin cifrar para detectar una posible fuga de credenciales.
Additional Information
- Los filtros de floración son estructuras de datos compactas que proporcionan un método seguro para comprobar si un elemento es miembro de un conjunto de elementos.
- El servicio User- credential reenvía el filtro bloom al agente User-IDID de Windows;
- El firewall recupera el último filtro de floración del agente de usuario a intervalos regulares y lo utiliza para detectar nombres de usuarioID y envíos de hash de contraseña.
- Dependiendo de su configuración, el entonces bloquea, alerta o permite el envío de contraseñas válidas a páginas web, o muestra una página de respuesta a los usuarios advirtiéndoles de los peligros del phishing, pero permitiéndoles continuar con el firewall envío