Pourquoi voir I « Suspicious TLS Evasion Found » (14978) et « Suspicious HTTP Evasion Found » (14984) faux positifs?
Question
Quelles sont ces TLS signatures anti-spyware « Suspicious Evasion Found » (14978) et « Suspicious HTTP Evasion Found » (14984), et pourquoi déclenchent-elles de faux positifs?
Environment
- Palo Alto Firewall .
- PAN-OS 7,1 et plus.
- Prévention des menaces.
Answer
Le but et l’utilisation de ces signatures sont décrits à
Le but de ces signatures spéciales d’évasion, « Suspicious TLS Evasion Found » (14978) et « Suspicious HTTP Evasion Found » (14984), est de détecter un client interne qui fabrique un paquet afin d’échapper URL au filtrage.
Par exemple, si un utilisateur voulait visiter un site qui était bloqué par une URL catégorie. Un évadé (utilisateur) pourrait tromper URL filtering en pensant que la catégorie est « moteurs de recherche ».
Dans le cas du HTTPS trafic, l’évadé serait l’élaboration HTTPS d’une demande avec l’indication de nom du serveur ( SNI ) champ dans le paquet Client Bonjour. Dans le cas de HTTP la circulation, l’évadé élaborerait HTTP une demande avec le champ « Nom d’hôte ». Soit le champ pour HTTPS ou pourrait être changé pour HTTP google.com et pointer la demande vers une adresse IP différente, évitant ainsi la détection URL de filtrage.
Ces signatures vérifieront le SNI HTTPS (pour) ou le nom d’hôte HTTP (pour) dans la demande et s’assureront FQDN qu’il y avait DNS une requête précédemment vue dans Proxy qui correspond au domaine DNS cible.
Pour qu’il y ait DNS un enregistrement comparable, DNS la fonction Proxy dans les réseaux de Palo Alto doit être firewall utilisé. L’inexactitude potentielle de ces signatures est si elles ne sont pas exploitées avec la configuration recommandée DNS de Proxy dans les réseaux de Palo Alto firewall .
Pour cette raison, souvent une exception pour les menaces informationnelles ID de 14978 et 14984 action pour « permettre » ou « alerte » peut être nécessaire. Pour les instructions s’il vous
plaît voir: Comment utiliser anti-spyware, vulnérabilité, et les exceptions antivirus pour bloquer ou autoriser les menaces
Si des adresses spécifiques doivent être exceptées, veuillez voir : Pourquoi les adresses en vertu IP
des « IP IP exemptions d’adresse » de l’exception de menace de spyware n’ont pas été exceptées de l’action modifiée de spyware.
L’article suivant détaille la configuration et DNS l’utilisation de Proxy sur les réseaux De Palo Alto : Comment firewall
DNS configurer proxy sur un réseau de Palo Alto Firewall
Additional Information
Dans certains cas, si le domaine est incorrectement configuré dans firewall les paramètres (Sous périphérique>Setup>Management>Général), il peut y avoir des requêtes provenant de firewall la qui ajoutent automatiquement le suffixe incorrect à ses propres requêtes. Si vous observez des déclencheurs de signature où la source est firewall alors un domaine configuré incorrect dans firewall le pourrait être le coupable.