Cómo detectar el Domain Fronting

Cómo detectar el Domain Fronting

16577
Created On 04/27/22 20:48 PM - Last Modified 03/05/25 19:11 PM


Objective


Domain Fronting es una técnica de evasión de TLS que puede eludir el filtrado de URL y facilitar la exfiltración de datos. Un usuario malintencionado con un paquete diseñado puede indicar un FQDN falso en el SNI mientras se conecta subrepticiamente a un sitio web diferente a través del encabezado HTTP Host.

Environment


  • PAN-OS >= 10.2.1

Procedure


  1. El tráfico TLS debe descifrarse correctamente con el descifrado SSL. Se admiten los modos de descifrado SSL Inbound Inspection y SSL Forward Proxy.
  2. Habilite la inspección de protocolo de enlace TLS en [ Configuración de > del dispositivo Configuración de la sesión > Configuración de descifrado > Configuración de descifrado SSL > Enviar mensajes de protocolo de enlace a CTD para su inspección ]
  3. La detección se lleva a cabo a través de la firma Anti-Spyware con el ID de amenaza 86467. La gravedad predeterminada de esta firma es informativa y su acción predeterminada es permitir. Por lo tanto, para poder hacer uso de ella, es necesario definir una excepción de amenaza.Habilite una excepción de amenaza en el perfil antispyware.

Additional Information


Para obtener información adicional, consulte:

10.2.1 Nuevas funciones: Detección de frente de dominio
Notas de la versión: Funciones de inspección de contenido
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNjsCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language