Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
¿Por qué I se encuentran TLS "Evasión sospechosa" (14... - Knowledge Base - Palo Alto Networks

¿Por qué I se encuentran TLS "Evasión sospechosa" (14978) y HTTP "Se encontró evasión sospechosa" (14984) falsos positivos?

76573
Created On 12/11/20 22:27 PM - Last Modified 12/14/23 13:09 PM


Question


¿Cuáles son estas TLS firmas antispyware "Sospechosas encontradas" (14978) y "Se encontró HTTP evasión sospechosa" (14984), y por qué están provocando falsos positivos?

Environment


  • Palo Alto Firewall .
  • PAN-OS 7.1 y superior.
  • Prevención de amenazas.

Answer


El propósito y el uso de estas firmas se describe en

https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -admin/threat-prevention/enable-evasion-signatures

El propósito de estas firmas especiales de evasión, TLS "Sospechosa evasión encontrada" (14978) y HTTP "Evasión sospechosa encontrada" (14984), es detectar a un cliente interno fabricando un paquete con el fin de evadir URL el filtrado.

Por ejemplo, si un usuario quería visitar un sitio bloqueado por una URL categoría. Un evasor (usuario) podría engañar URL a Filtering para que piense que la categoría es "motores de búsqueda".

En el caso del HTTPS tráfico, el evasor estaría creando una HTTPS petición con el campo Indicación del nombre del servidor ( ) en el paquete del saludo del SNI cliente. En el caso del HTTP tráfico, el evasor estaría elaborando una HTTP solicitud con el campo "Nombre de host". Cualquier campo para HTTPS o HTTP podría cambiarse a google.com y apuntar la solicitud a una IP dirección diferente, evadiendo así URL la detección de filtrado.

Estas firmas comprobarán SNI HTTPS (for) o Hostname (for) HTTP en la solicitud y se FQDN asegurarán de que haya una consulta vista previamente DNS en Proxy que coincida con el dominio de DNS destino.

Para que haya un DNS registro comparable, la DNS función Proxy en palo alto networks debe estar en firewall uso. La posible inexactitud de estas firmas es si no se aprovechan con la configuración recomendada de DNS Proxy en las redes de Palo firewall Alto.

Por esta razón, a menudo es necesaria una excepción para la acción de amenazas informativas ID de 14978 y 14984 para "permitir" o "alerta". Para obtener instrucciones, consulte:
Cómo usar excepciones antispyware, vulnerabilidad y antivirus para bloquear o permitir amenazas

Si IP es necesario exceptuar direcciones específicas, consulte:
Por qué las direcciones bajo IP IP "exenciones de dirección" de excepción de amenaza de spyware no se exceptuaron de la acción modificada por spyware.

En el siguiente artículo se detalla la configuración y el uso de DNS Proxy en las redes de Palo firewall Alto: Cómo configurar el proxy
en una red de Palo DNS Alto Firewall

Additional Information


En algunos casos, si el dominio está configurado incorrectamente en el firewall (En dispositivo>Setup>Management> Configuración general), puede haber consultas originadas por el firewall que agreguen automáticamente el sufijo incorrecto a sus propias consultas. Si observa desencadenadores de firma donde el origen es el firewall dominio configurado incorrecto en el podría ser el firewall culpable.
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,615
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBwCCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language