凭据保护“使用域凭据过滤器”在某些网站上不起作用
11070
Created On 08/11/22 03:22 AM - Last Modified 03/02/23 05:54 AM
Symptom
域凭据未被阻止firewall对于某些网站。
Environment
- 帕洛阿尔托 Firewall
- PAN-OS 8.0及以上
- 凭据预防设置为“使用域凭据过滤器“
Cause
- 使用服务器发送的加密密钥在客户端和服务器之间对传输中的凭据进行加密。
- 出于这个原因,firewall无法检测凭据并采取补救措施。
- 在下面的示例中,用户爱丽丝正在访问www.website.com .
- 该网站回复了一个加密密钥,客户端使用该密钥来加密其凭证。
- 爱丽丝将发送加密信息。 它与目录中的预期凭据不匹配(布隆过滤器内容)。
Resolution
这是正常行为,firewall需要查看明文密码以检测潜在的凭据泄漏。
Additional Information
- 布隆过滤器是紧凑的数据结构,提供了一种安全的方法来检查元素是否是一组元素的成员
- 用户-ID凭据服务将布隆过滤器转发给 Windows 用户-ID代理人;
- 这firewall从用户检索最新的布隆过滤器ID定期代理并使用它来检测用户名和密码哈希提交。
- 根据您的设置,firewall然后阻止、警告或允许向网页提交有效密码,或向用户显示响应页面,警告他们网络钓鱼的危险,但允许他们继续提交