Comment détecter le Domain Fronting

Comment détecter le Domain Fronting

16575
Created On 04/27/22 20:48 PM - Last Modified 03/05/25 19:11 PM


Objective


Le domain fronting est une technique d’évasion TLS qui permet de contourner le filtrage d’URL et de faciliter l’exfiltration de données. Un utilisateur malveillant avec un paquet conçu peut indiquer un faux nom de domaine complet dans le SNI tout en se connectant subrepticement à un autre site Web via l’en-tête HTTP Host.

Environment


  • PAN-OS >= 10.2.1

Procedure


  1. Le trafic TLS doit être déchiffré avec succès avec le déchiffrement SSL. Les modes de déchiffrement SSL Inbound Inspection et SSL Forward Proxy sont tous deux pris en charge.
  2. Activez l’inspection de l’établissement de liaison TLS sous [ Paramètres de déchiffrement de l'> de la session de configuration de l’appareil > > Paramètres de déchiffrement SSL > Envoyer des messages d’établissement de liaison au CTD pour inspection ]
  3. La détection s’effectue via une signature anti-spyware avec l’ID de menace 86467. La gravité par défaut de cette signature est informative et son action par défaut est autoriser. Par conséquent, pour l’utiliser, vous devez définir une exception de menace.Activez une exception de menace dans le profil Anti-Spyware.

Additional Information


Pour plus d’informations, veuillez consulter :

10.2.1 Nouvelles fonctionnalités : Détection de fronting de domaine
Notes de mise à jour : Fonctionnalités d’inspection de contenu
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNjsCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language