ドメインフロンティングの検出方法
16479
Created On 04/27/22 20:48 PM - Last Modified 03/05/25 19:11 PM
Objective
ドメインフロンティングは、URLフィルタリングを回避し、データ流出を容易にするTLS回避技術です。 巧妙に細工されたパケットを持つ悪意のあるユーザーは、HTTP Hostヘッダーを介して別のWebサイトに密かに接続しながら、SNIに偽のFQDNを示す可能性があります。
Environment
- PAN-OS >= 10.2.1
Procedure
- TLSトラフィックは、SSL復号化で正常に復号化する必要があります。 SSL インバウンド インスペクション モードと SSL フォワード プロキシ復号化モードの両方がサポートされています。
- [ Device > Setup Session > Decryption Settings > SSL Decryption Settings > Send handshake messages to CTD for inspection ] で TLS ハンドシェイク インスペクションを有効にします。
- 検出は、脅威IDが86467のスパイウェア対策シグネチャを介して実行されます。 このシグニチャのデフォルトの重大度は [情報(Informational)] で、デフォルトのアクションは [許可(allow)] です。 したがって、これを利用するには、脅威の例外を定義する必要があります。
Additional Information
詳細については、以下を参照してください:
10.2.1 新機能: ドメインフロンティング検出
リリースノート:コンテンツインスペクション機能