So blockieren ASCII Sie kompatible Kodierungen (Punycode) in PAN-OS
Objective
In diesem Artikel zeigen wir Ihnen, wie Sie kompatible Codierung (Punycode) Anti-Spyware-Signatur in PAN-OSblockieren ASCII können.
Hintergrund
Bedrohungsakteure können Phishing-Websites mit Punycode/ASCIIkompatibler Codierung verschleiern, um Benutzer zum Besuch zu verleiten. Die Technik beinhaltet die Erstellung von Domänennamen mit internationaler Kodierung. Die Zeichen unter dieser Kodierung werden von Webbrowsern im laufenden Betrieb übersetzt und dem Benutzer mit visuell äquivalentem ASCII Text präsentiert, der vom ursprünglichen Domainnamen der vertrauenswürdigen Website nicht zu unterscheiden ist.
Beispiel:
Punycode: xn--e1awd7f.com wenn es in regulär ASCII übersetzt wird, wird es: epic.com.
Wenn also ein Benutzer xn--e1awd7f.com besucht, zeigt die Adressleiste des Browsers tatsächlich "epic.com" an.
Environment
- PAN-OS 7.1 oder höher
- Benutzerdefinierte Spyware-Signatur
- ASCII kompatible Kodierung (Punycode)
Procedure
- Gehen Sie zur Registerkarte Objekte > Benutzerdefinierte Objekte > Spyware > Klicken Sie unten auf (Hinzufügen)
- Auf der Registerkarte Konfiguration :
- Zuweisen einer Bedrohung (TID im Bereich 15000 - 18000)
- Name: Punycode-Kodierung
- Schweregrad: (Wählen Sie eine aus)
- Richtung: client2server
- Standardaktion: (Wählen Sie eine aus)
- Auf der Registerkarte Signaturen :
- Optionsfeld Signaturstandard: (Ausgewählt)
- Klicken Sie auf (Hinzufügen).
- Im Standardfenster :
- Standard (Name): Punycode codiert URL
- Optionsfeld Transaktion: (Ausgewählt)
- Übereinstimmung mit der bestellten Bedingung: (Geprüft)
- Klicken Sie auf (Add Or Condition)
- Im Fenster "Neu und Zustand - oder Bedingung":
- Operator: (Pulldown) gleich
- Wert: 1
- Kontext: (Pulldown) http-req-ascii-compatible-encoding-prefix-found
- (Klicken Sie OKauf ) > (Klicken Sie darauf) > (Klicken OKSie ) und stellen Sie OKsicher, dass das Anti-Spyware-Profil, das Ihre Sicherheitsregel Policy verarbeitet, dem Schweregrad dieser benutzerdefinierten Signatur entspricht, um die gewünschte Blockierungsaktion auszuführen. Wenn die Regel nicht so eingestellt ist, dass eine Blockierungsaktion ausgeführt wird, konfigurieren Sie eine Anti-Spyware-Ausnahme für die konfigurierte TID Aktion, und legen Sie eine Blockierungsaktion dafür fest. (d.h. reset-client).
- Commit für die Konfiguration
| Anmerkung 1: Für SSL verschlüsselte Websites wie https://xn-- hängt die Erkennung von der Fähigkeit ab, die HTTP Anforderungsnachricht zu lesen, daher SSL ist eine Entschlüsselung in der firewall erforderlich. |
| Hinweis 2: Der Grund, warum dies als benutzerdefinierte Anti-Spyware-Signatur und nicht als benutzerdefinierte Signatur zum Schutz vor Sicherheitslücken empfohlen wird, besteht darin, dass Benutzern mithilfe einer Spyware-Signatur eine Anti-Spyware-Komfortblockierungsseite angezeigt werden kann. |
Additional Information
Beispiel für eine benutzerdefinierte Signatur, die diesem Artikel beigefügt
ist Als Verknüpfung können Sie die angehängte punycode_15400.xml Datei in Ihre benutzerdefinierten Spyware-Signaturen importieren.
Stellen Sie sicher, dass TID 15400 für keine andere benutzerdefinierte Spyware-Signatur in der Konfiguration definiert ist.
Referenz-Websites mit ergänzenden Informationen
https://www.wordfence.com/blog/2017/04/chrome-firefox-unicode-phishing/
http://fortune.com/2017/04/18/google-chrome-phishing-scam/
https://en.wikipedia.org/wiki/Internationalized_domain_name
A einfache mickrige <> normaler Textencoder/-decoder:
https://www.punycoder.com/