Nye domener, anbefalt sperret grunnet phishing, men kan skape noen utfordringer for legitime domener. Jeg har derfor laget ei liste på GitHub som dere kan bruke som EDL med unntak. Jeg vedlikeholder denne basert på meldinger fra dere og kunder, slik at alle automatisk får disse unntakene.
Først må man sikre at nye domener blir sperret i DNS og URL.
Man legger deretter inn denne EDL’en:
EDL_Newly-registered-domain-exception:
Certificate profile Sectigo RSA Domain Validation Secure Server CA
Under alle relevante Anti Spyware profilers DNS Policies setter man denne EDL’en til alert. Det er viktig å sette alert og ikke allow, da det av en eller annen grunn ikke matcher om man setter den til allow 🙈.
Under alle relevante URL profiler legger man setter man denne EDL’en til alert.
Her er set kommandoene
Man må legge inn “Sectigo RSA Domain Validation Secure Server CA” sertifikatet først.
set shared certificate-profile Sectigo_RSA_Domain CA “Sectigo RSA Domain Validation Secure Server CA”
Det må legges inn to EDL’er, en for domain og en for URL. Da Pan-OS ikke godtar å bruke samme URL to steder, må man manipulere dem med en stor bokstav i den ene for å lure Pan-OS.
set commands for EDL
set external-list EDL_DNS_new_domain type domain recurring five-minute
set external-list EDL_DNS_new_domain type domain certificate-profile Sectigo_RSA_Domain
set external-list EDL_DNS_new_domain type domain url https://Raw.githubusercontent.com/ZeroTrust0/Local-EDL-URL/refs/heads/master/Newly-registered-domain-exception
(NB! Stor R i Raw)
set external-list EDL_Newly-registered-domain-exception type url recurring five-minute
set external-list EDL_Newly-registered-domain-exception type url certificate-profile Sectigo_RSA_Domain
set external-list EDL_Newly-registered-domain-exception type url url https://raw.githubusercontent.com/ZeroTrust0/Local-EDL-URL/refs/heads/master/Newly-registered-domain-exception
(NB! Liten r i raw)
set profiles spyware Outbound-AS botnet-domains lists EDL_DNS_new_domain action alert
set profiles spyware Outbound-AS botnet-domains lists EDL_DNS_new_domain packet-capture disable
set profiles spyware Internal-AS botnet-domains lists EDL_DNS_new_domain action alert
set profiles spyware Internal-AS botnet-domains lists EDL_DNS_new_domain packet-capture disable
set profiles url-filtering Outbound alert [ EDL_Newly-registered-domain-exception ]
NB. Husk å åpne for raw.githubusercontent.com i hvitelistingsregelsettet for brannmuren mot internett.
Leave a Reply