La prévention des informations d’identification « utiliser le filtre d’informations d’identification de domaine

La prévention des informations d’identification « utiliser le filtre d’informations d’identification de domaine » ne fonctionne pas sur certains sites Web

11104

Created On 08/11/22 03:22 AM - Last Modified 03/02/23 05:54 AM

Symptom

Les informations d’identification de domaine ne sont pas bloquées par le firewall pour certains sites Web.

Environment

Palo Alto (Palo Alto) Firewall
PAN-OS 8.0 et au-dessus
Prévention des informations d’identification définie sur « utiliser le filtre d’informations d’identification de domaine »

Cause

Les informations d’identification en transit sont chiffrées entre le client et le serveur à l’aide d’une clé de chiffrement envoyée par le serveur.
Pour cette raison, le ne peut pas détecter les informations d’identification firewall et prendre des mesures correctives.
Dans l’exemple ci-dessous, l’utilisateur Alice accède à www.website.com.
Le site Web a répondu avec une clé de chiffrement que le client utilise pour chiffrer ses informations d’identification.
Alice enverra envoyer les informations cryptées. Il ne correspond pas aux informations d’identification attendues du Répertoire (contenu du filtre bloom).

Les informations d’identification sont chiffrées en transit.

Resolution

Il s’agit d’un comportement normal, qui nécessite de voir le mot de passe en texte clair afin de détecter une fuite potentielle d’informations d’identification firewall .

Additional Information

Les filtres bloom sont des structures de données compactes qui fournissent une méthode sécurisée pour vérifier si un élément est membre d’un ensemble d’éléments
Le service d’informations d’identification de l’utilisateur transmet le filtre bloom à l’agent utilisateurIDID Windows ;
Le firewall récupère le dernier filtre bloom de l’agent utilisateur à intervalles réguliers et l’utilise pour détecter les noms d’utilisateurID et les soumissions de hachage de mot de passe.
En fonction de vos paramètres, le firewall bloque, alerte ou autorise les soumissions de mots de passe valides aux pages Web, ou affiche une page de réponse aux utilisateurs les avertissant des dangers de l’hameçonnage, mais leur permettant de poursuivre la soumission.