Warum I sehen "Suspicious TLS Evasion Found" (14978) und "Suspicious HTTP Evasion Found" (14984) falsch positive?
Question
Was sind diese TLS Anti-Spyware-Signaturen "Suspicious Evasion Found" (14978) und "Suspicious HTTP Evasion Found" (14984) und warum lösen sie falsche Positivmeldungen aus?
Environment
- Palo Alto Firewall .
- PAN-OS 7.1 und höher.
- Bedrohungsprävention.
Answer
Zweck und Verwendung dieser Signaturen wird unter
Der Zweck dieser speziellen Ausweichsignaturen, "Suspicious TLS Evasion Found" (14978) und "Suspicious HTTP Evasion Found" (14984), besteht darin, einen internen Client zu erkennen, der ein Paket fertigt, um der Filterung zu URL entgehen.
Wenn ein Benutzer z. B. eine Website besuchen möchte, die von einer Kategorie blockiert URL wurde. Ein Steuerhinterzieher (Benutzer) könnte Filterung dazu URL verleiten, zu denken, dass die Kategorie "Suchmaschinen" ist.
Im Falle von HTTPS Datenverkehr würde der Evader eine Anforderung mit HTTPS dem Feld Servername Indication ( ) SNI im Client Hello-Paket erstellen. Im Falle des HTTP Verkehrs würde der Ausweicher eine HTTP Anforderung mit dem Feld "Hostname" erstellen. Entweder Feld für HTTPS oder HTTP könnte geändert werden, um google.com und verweisen Sie die Anforderung auf eine andere IP Adresse, wodurch die Filtererkennung umgangen URL wird.
Diese Signaturen überprüfen die SNI (für HTTPS ) oder Hostname (für HTTP ) in der Anforderung und stellen FQDN sicher, dass eine zuvor in Proxy angezeigte Abfrage vorhanden war, DNS die mit der DNS Zieldomäne übereinstimmt.
Damit es einen vergleichbaren DNS Datensatz gibt, muss die DNS Proxy-Funktion in den Palo Alto Networks firewall verwendet werden. Die potenzielle Ungenauigkeit dieser Signaturen besteht darin, dass sie nicht mit der empfohlenen Konfiguration von DNS Proxy in den Palo Alto-Netzwerken genutzt firewall werden.
Aus diesem Grund kann es häufig erforderlich sein, dass eine Ausnahme für die ID Informationsbedrohungen von 14978 und 14984 erforderlich ist, um "zuerlauben" oder "alarmieren". Anweisungen finden Sie unter:
Verwenden von Anti-Spyware-, Sicherheitsanfälligkeits- und Antivirusausnahmen zum Blockieren oder Zulassen von Bedrohungen
Wenn bestimmte IP Adressen ausgenommen werden müssen, lesen Sie bitte:
Warum Adressen unter IP IP "Adressausnahmen" der Spyware-Bedrohungsausnahme nicht von Spyware-modifizierten Aktionen ausgenommen wurden.
Der folgende Artikel beschreibt die Konfiguration und Verwendung von DNS Proxy in den Palo Alto-Netzwerken: So konfigurieren Sie Proxy in einem Palo firewall
DNS Alto-Netzwerk Firewall
Additional Information
Wenn die Domäne in den firewall (Unter Device>Setup>Management>Allgemeinen Einstellungen) falsch konfiguriert ist, kann es Abfragen geben, die von der stammen, firewall die automatisch das falsche Suffix zu ihren eigenen Abfragen hinzufügen. Wenn Sie Signaturauslöser beobachten, bei denen die Quelle die ist, firewall dann könnte eine falsch konfigurierte Domäne in der der der firewall Schuldige sein.