Iなぜ「不審な TLS 回避が見つかりました」(14978年)と「不審な HTTP 回避が見つかりました」(14984年)の誤検出が表示されるのですか?
Question
これらの「不審な TLS 回避が見つかりました」(14978年)と「不審な HTTP 回避が見つかりました」(14984年)アンチスパイウェアシグネチャとは何ですか?
Environment
- パロ アルト Firewall .
- PAN-OS 7.1以上。
- 脅威の防止。
Answer
これらの署名の目的と使用については、
https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -管理者/脅威防止/回避を有効にする署名
これらの特別な回避シグネチャの目的は、「不審な TLS 回避が見つかりました」(14978)と「不審な HTTP 回避が見つかりました」(14984)は、フィルタリングを回避するためにパケットを作る内部クライアントを検出 URL することです。
たとえば、カテゴリによってブロックされているサイトにユーザーがアクセスする場合 URL 。 回避者(ユーザー)は URL 、カテゴリが「検索エンジン」であると考えるようにフィルタリングを騙す可能性があります。
トラフィックの場合 HTTPS 、回避者は HTTPS Client Hello パケットの [サーバー名表示 ] フィールドを使用して要求 SNI を作成します。 トラフィックの場合 HTTP 、回避者は HTTP 「ホスト名」フィールドでリクエストを作成します。 いずれかのフィールドに HTTPS HTTP 対して変更するか、または google.comに変更して要求を別のアドレスにポイント IP する可能性があるため、 URL フィルタリング検出を回避します。
これらの署名は、 SNI 要求内の ( の HTTPS 場合 ) または Hostname ( の場合 HTTP ) をチェック FQDN し、 DNS プロキシで以前に見たクエリ DNS がターゲット ドメインと一致していることを確認します。
同等のレコードを作成するには DNS 、 DNS パロアルトネットワークスのプロキシ機能 firewall を使用する必要があります。 これらのシグネチャの潜在的な不正確さは、 DNS パロアルトネットワークスのプロキシの推奨設定で活用されていない場合です firewall 。
このため、多くの場合 ID 、14978 年と 14984 の情報脅威の"許可"または"アラート"アクションの例外が必要になる場合があります。 手順については、
スパイウェア対策、脆弱性、およびウイルス対策の例外を使用して脅威をブロックまたは許可する方法を参照してください。
特定 IP のアドレスを除外する必要がある場合は、
IP IP スパイウェアの脅威の例外の「アドレスの除外」の下のアドレスがスパイウェアの変更されたアクションから除外されなかった理由
を参照してください。次の記事では、パロアルトネットワーク上のプロキシの設定と使用方法について詳しく DNS firewall 説明します :
DNS パロアルトネットワーク上でプロキシを設定する方法 Firewall
Additional Information
場合によっては、ドメインが firewall (> デバイスの設定>>Management>全般設定で)で正しく構成されていない場合、そのドメインのクエリが、 firewall 誤ったサフィックスを自動的に独自のクエリに追加するソースである可能性があります。 ソースが正しくない構成ドメインである署名トリガーを観察すると firewall 、 firewall 原因となる可能性があります。