Erkennung von Datenverschleierung: Imitation von Protokollen
Ziel
Angreifer können versuchen, ein legitimes Protokoll zu imitieren, um C&C-Kommunikation zu verschleiern und Netzwerkfilter zu umgehen (T1001:003).
Mittels Protokollklassifizierung blockiert diese globale Regel sämtlichen Datenverkehr, bei dem eine Nichtübereinstimmung zwischen dem HTTP-Protokoll und seinem Standard-Zielport 80 vorliegt.
Bemerkung
Vergleichbare Regeln können auch für andere Protokolle angelegt werden, wie HTTPS, SSH usw.
Die Regel erstellen
Legen Sie eine globale Regel an, die sämtlichen Datenverkehr zu Port 80 verwirft, der nicht über HTTP läuft.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Source |
Destination |
Conditions |
Actions |
---|---|---|---|---|
|
|
Classification |
Log: |
Eine ausführliche Anleitung zur Erstellung einer Regel finden Sie unter Globale Regeln erstellen.
Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
Versuche, HTTP zu imitieren, werden erkannt und blockiert.