Erkennung von Datenverschleierung: Imitation von Protokollen

Ziel

Angreifer können versuchen, ein legitimes Protokoll zu imitieren, um C&C-Kommunikation zu verschleiern und Netzwerkfilter zu umgehen (T1001:003).

Mittels Protokollklassifizierung blockiert diese globale Regel sämtlichen Datenverkehr, bei dem eine Nichtübereinstimmung zwischen dem HTTP-Protokoll und seinem Standard-Zielport 80 vorliegt.

Bemerkung

Vergleichbare Regeln können auch für andere Protokolle angelegt werden, wie HTTPS, SSH usw.

Die Regel erstellen

Legen Sie eine globale Regel an, die sämtlichen Datenverkehr zu Port 80 verwirft, der nicht über HTTP läuft.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:

Regel	Source	Destination	Conditions	Actions
	`Any`	`Any`	Classification Excluded Applications/Protocols: `http` Layer 4 Port Destination Ports: `80`	Log: `Medium` Final Action: Reject Traffic and Stop Processing

Eine ausführliche Anleitung zur Erstellung einer Regel finden Sie unter Globale Regeln erstellen.

Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.

Ergebnis

Versuche, HTTP zu imitieren, werden erkannt und blockiert.