如何检测域前置

如何检测域前置

16497
Created On 04/27/22 20:48 PM - Last Modified 03/05/25 19:11 PM


Objective


域前置是一种 TLS 规避技术,可以规避 URL 过滤并促进数据泄露。 具有特制数据包的恶意用户可以在 SNI 中指示伪造的 FQDN,同时通过 HTTP 主机标头秘密连接到其他网站。

Environment


  • PAN-OS >= 10.2.1

Procedure


  1. TLS 流量必须使用 SSL 解密成功解密。 支持 SSL 入站检查和 SSL 转发代理解密模式。
  2. 在 [ 设备>设置会话 > 解密设置 > SSL 解密设置 > 向 CTD 发送握手消息进行检查 ] 下启用 TLS 握手检查
  3. 通过威胁 ID 为 86467 的反间谍软件签名进行检测。 此签名的默认严重性是信息性的,其默认操作是允许的。 因此,为了使用它,您需要定义一个威胁例外。在反间谍软件配置文件中启用威胁例外。

Additional Information


有关其他信息,请参阅:

10.2.1 新功能:域前置检测
发行说明:内容检查功能
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNjsCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language