So konfigurieren Sie DNS Sinkhole
Symptom
Ein interner DNS Server, der dazu führt, dass die ursprüngliche Quellreferenz IP eines infizierten Hosts verloren geht.
Environment
Palo Alto Networks firewall .
Cause
DNS Sinkhole kann verwendet werden, um infizierte Hosts in einem Netzwerk zu identifizieren, in dem firewall sich ein interner DNS Server auf dem Weg befindet, der dazu führt, dass die Referenz der ursprünglichen Quelladresse IP des Hosts, der die Abfrage zuerst erstellt hat, verloren geht (die Abfrage wird vom internen DNS Server empfangen, und der interne DNS Server erhält eine neue Abfrage, wenn die NamensauflösungIP nicht lokal zwischengespeichert ist).
Dies führt dazu, dass Beobachtungen firewall böswilliger Abfragen in den Bedrohungsprotokollen DNS gemeldet werden, bei denen die Quelle IP der bösartigen Abfrage der interne DNS Server ist, wodurch der Administrator gezwungen wäre, in die DNS Serverprotokolle zu schauen, um herauszufinden, was der infizierte Host war, der die bösartige DNS DNS Abfrage ursprünglich bezogen hat.
Resolution
Übersicht
Die DNS Sinkhole-Funktion ermöglicht es den Palo Alto-Netzwerken, eine /AAAA DNS Antwort auf eine Abfrage für eine bekannte bösartige Domäne zu fälschen firewall und bewirkt, dass der bösartige Domänenname in eine ADNS definierbare IP Adresse (SinkholeIP) aufgelöst wird, die als Antwort injiziert wird. Es wird davon ausgegangen, dass Malware eine schädliche Domäne auflöst, da sie nachfolgenden Datenverkehr initiiert (sei es TCP, UDPoder andere). Mit Hilfe dieses Mechanismus kann der infizierte Host dann identifiziert werden, indem die Datenverkehrsprotokolle nach Datenverkehr abgefragt werden, der an das Sinkhole IPgesendet wird.
Wichtig! Stellen Sie bei der Auswahl eines "Sinkhole IP" sicher, dass es sich bei der IP Adresse um eine fiktive RFC1918-Adresse IP handelt, die nirgendwo im Netzwerk vorhanden ist.
Schritte
- Stellen Sie sicher, dass die neuesten Antivirenprogramme und WildFire Updates auf dem Palo Alto Networks-Gerät installiert sind.
Wechseln Sie auf der WebUI zu Device > Dynamic Updates auf der linken Seite. Klicken Sie unten links auf "Jetzt prüfen" und stellen Sie sicher, dass das Antivirenprogramm und WildFire die Pakete aktuell sind. Es wird empfohlen, Antivirus stündlich herunterzuladen und zu installieren (legen Sie eine zufällige Anzahl von Minuten nach der Stunde fest, um die Last auf die Palo Alto Networks-Update-Server auszugleichen und die Chance auf eine erfolgreiche Überprüfung zu erhöhen, in diesem Beispiel 14 Minuten nach der vollen Stunde), und für WildFire jede Minute oder Echtzeit in PAN-OS >= 10.0.
Hinweis: DNS Sinkhole kann auf Firewalls mit einer aktiven Bedrohungsabwehr oder DNS Security Lizenz angewendet werden. EDL vom Typ Domain wird ebenfalls unterstützt und erfordert keine Lizenz. Benutzerdefinierte Anti-Spyware-Signaturen DNS werden für eine Sinkhole-Aktion nicht unterstützt.
- Konfigurieren Sie die DNS Sinkhole-Aktion im Anti-Spyware-Profil. Klicken Sie unter Sicherheitsprofile auf die Objekte > Anti-Spyware.Verwenden Sie entweder ein vorhandenes Profil, oder erstellen Sie ein neues Profil. Im folgenden Beispiel wird das Profil "Anti-Spyware" verwendet. Greifen Sie auf die DNS Registerkarte Richtlinien zu, um eine Sinkhole-Aktion für Benutzerdefiniert EDL vom Typ Domain, Palo Alto Networks Content-delivered malicious domains und DNS Security Categories zu definieren.
Klicken Sie in das Feld Sinkhole IPv4 entweder wählen Sie das Standard-Palo Alto Networks Sinkhole IPv4 (sinkhole.paloaltonetworks.com) oder ein anderes IP Ihrer Wahl. Wenn Sie sich für die Verwendung Ihrer eigenen IPverwenden, stellen Sie sicher, dass die IP nicht in Ihrem Netzwerk verwendet wird und vorzugsweise nicht über das Internet routingfähig ist (RFC1918).
Klicken Sie auf Sinkhole IPv6 und geben Sie ein Sinkhole IPv6 ein. Wenn IPv6 nicht definiert ist, wird die Standardadresse ::1 IPv6 verwendet. Wenn die Standardeinstellung sinkhole.paloaltonetworks.com Sinkhole IP verwendet wird, firewall wird sie als CNAME Antwortdatensatz eingefügt. Die Doline IP dreht sich ständig. Dies bedeutet, dass, wenn das Sinkhole IP in den Datenverkehrsprotokollen nach infizierter Hostidentifikation abgefragt werden muss, es keinen einzigen IP abfragen gibt, und Sie können die Datenverkehrsprotokolle nicht nach FQDNabfragen.Um diese Konfiguration ordnungsgemäß abzuschließen, definieren Sie eine neue Sicherheit Policy , und platzieren Sie sie vor jeder Regel, die derzeit dem Datenverkehr entspricht DNS .Die neue Security Policy kann den Namen "Sinkhole" tragen und muss so konfiguriert werden, dass sie mit der Zieladresse (FQDN Adressobjekt: sinkhole.paloaltonetworks.com) übereinstimmt.
Die Aktion ist irrelevant, da das aufgelöste IP Palo Alto Networks keine empfangenen Pakete für irgendeine Art von Telemetrie verwendet (sie werden verworfen) und wir daher empfehlen, die Aktion auf dem Sinkhole policy auf action zu setzen: Deny.
Sobald dies konfiguriert wurde und wenn es an der Zeit ist, infizierte Hosts zu identifizieren, greifen Sie auf die Datenverkehrsprotokolle und die Abfrage für Datenverkehr zu, der der "Sinkhole"-Regel entspricht. Dies hilft, die infizierten Quellhosts zu identifizieren, unabhängig davon, zu welcher IP Adresse das Sinkhole FQDN im Laufe der Zeit aufgelöst wird.
Wenn ein benutzerdefiniertes Sinkhole-IPv4 verwendet wurde, kann die "Sinkhole"-Sicherheit einfach so definiert werden, dass sie mit dem benutzerdefinierten Sinkhole-IPv4 Policy als Zieladresse übereinstimmt. Für die Identifizierung infizierter Hosts fragen Sie einfach nach Verbindungen ab, bei denen das Ziel IPv4 Ihr custom Sinkhole IPv4 ist.- Commit der Konfiguration
Siehe auch
Video-Tutorial: So konfigurieren DNS Sie Sinkhole
So überprüfen DNS Sie Sinkhole