So erkennen Sie Domain-Fronting

So erkennen Sie Domain-Fronting

16561
Created On 04/27/22 20:48 PM - Last Modified 03/05/25 19:11 PM


Objective


Domain Fronting ist eine TLS-Umgehungstechnik, die die URL-Filterung umgehen und die Datenexfiltration erleichtern kann. Ein böswilliger Benutzer mit einem manipulierten Paket kann einen gefälschten FQDN in der SNI angeben, während er heimlich über den HTTP-Host-Header eine Verbindung zu einer anderen Website herstellt.

Environment


  • PAN-OS >= 10.2.1

Procedure


  1. Der TLS-Datenverkehr muss erfolgreich mit SSL-Entschlüsselung entschlüsselt werden. Sowohl die SSL-Eingangsüberprüfung als auch die SSL-Forward-Proxy-Entschlüsselungsmodi werden unterstützt.
  2. Aktivieren Sie die TLS-Handshake-Überprüfung unter [Geräte- > Setup-Sitzungs- > Entschlüsselungseinstellungen > SSL-Entschlüsselungseinstellungen > Handshake-Nachrichten zur Überprüfung an CTD senden ]
  3. Die Erkennung erfolgt über eine Anti-Spyware-Signatur mit der Bedrohungs-ID 86467. Der Standardschweregrad für diese Signatur ist informativ, und die Standardaktion ist Zulassen. Um sie nutzen zu können, müssen Sie daher eine Bedrohungsausnahme definieren.Aktivieren Sie eine Bedrohungsausnahme im Anti-Spyware-Profil.

Additional Information


Weitere Informationen finden Sie unter:

10.2.1 Neue Funktionen: Erkennung von Domain-Fronting
Versionshinweise: Funktionen zur Inhaltsüberprüfung
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNjsCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language