Cómo configurar DNS Sinkhole

Cómo configurar DNS Sinkhole

309128
Created On 09/25/18 17:30 PM - Last Modified 02/28/24 09:13 AM


Symptom


Un servidor interno DNS que hace que se pierda la referencia de origen IP original de un host infectado.

Environment


Palo Alto Networks firewall .

Cause


DNS El sumidero se puede utilizar para identificar hosts infectados en una red donde hay un servidor interno en ruta hacia el que hace que se pierda la referencia de la dirección de origen IP original del host que originó la consulta por primera vez (el servidor interno recibe la consulta y el servidor interno DNS DNS DNS obtiene una nueva consulta si el firewall nombre aIP la resolución no se almacena localmente en caché).

Esto hace que el informe de observaciones de consultas maliciosas en los registros de amenazas donde el origen de la consulta maliciosa es el servidor internoDNS, lo que obligaría al administrador a buscar en los DNS registros del servidor para intentar rastrear cuál era el firewall host infectado que originalmente originó la consulta maliciosa DNS DNS DNS.IP

Resolution


Visión general

La DNS función Sinkhole permite a Palo Alto Networks firewall forjar una respuesta a una consulta para un dominio malicioso conocido y hace que el nombre de dominio malicioso se resuelva en una ADNS dirección definible IP (SinkholeIP) que se inyecta como respuestaAAAA DNS. La suposición es que el malware está resolviendo un dominio malicioso porque iniciará el tráfico posterior (ya sea , , TCPUDPu otro). Por medio de este mecanismo, el host infectado puede ser identificado consultando los registros de tráfico para cualquier tráfico enviado al sumidero IP.

¡Importante! Al elegir un "SinkholeIP", asegúrese de que la dirección sea una dirección RFC1918 IP ficticia que no existe en ningún lugar dentro de la IP red.
 

Pasos

  1. Asegúrese de que el antivirus y WildFire las actualizaciones más recientes estén instalados en el dispositivo de Palo Alto Networks.
    En la WebUI, vaya a Device > Dynamic Updates (Actualizaciones dinámicas de Device >) a la izquierda. Haga clic en "Comprobar ahora" en la parte inferior izquierda y asegúrese de que el antivirus y WildFire los paquetes estén actualizados. Se recomienda descargar e instalar para Antivirus cada hora (establecer un número aleatorio de minutos tras hora para igualar la carga a los servidores de actualización de Palo Alto Networks y aumentar la posibilidad de una comprobación exitosa, en este ejemplo 14 minutos después de que se use la hora), y para WildFire cada minuto, o en tiempo real en PAN-OS > = 10.0.
    Sinkhole - Actualizaciones dinámicas
    Nota: DNS Sinkhole se puede aplicar a firewalls con una licencia o DNS Security prevención de amenazas activa. EDL de tipo Dominio también es compatible y no requiere una licencia. Las firmas antispyware DNS personalizadas no son compatibles con una acción de sumidero.
     
  2. Configure la DNS acción Sumidero en el perfil Anti-Spyware. Haga clic en Objetos > Anti-Spyware en Perfiles de seguridad.Utilice un perfil existente o cree un perfil nuevo. En el ejemplo siguiente se está utilizando el perfil "Anti-Spyware". Acceda a la DNS pestaña Directivas para definir una acción de sumidero en Personalizado de tipo Dominio, Dominios maliciosos entregados por contenido de EDL Palo Alto Networks y DNS Security Categorías.
    Sinkhole - Perfil anti-Spyware

    Haga clic en el campo IPv4 de sumidero seleccione el IPv4 predeterminado de Palo Alto Networks Sinkhole (sinkhole.paloaltonetworks.com) o uno diferente IP de su elección. Si opta por usar el suyo propio IP, asegúrese de que no IP se use dentro de su red y preferiblemente no se pueda enrutar a través de Internet (RFC1918).
    Haga clic en Sinkhole IPv6 e introduzca un Sinkhole IPv6. Si IPv6 no está definido, se utilizará la dirección IPv6 predeterminada: ::1.

  3. Si se utiliza el sinkhole.paloaltonetworks.com predeterminado Sinkhole IP , el firewall lo inyectará como un registro de CNAME respuesta. El sumidero IP gira constantemente. Esto significa que cuando es necesario consultar el sumidero IP en los registros de tráfico para la identificación del host infectado, no habrá ni uno solo IP para consultar, y no podrá consultar los registros de tráfico mediante FQDN.Para completar correctamente esta configuración, defina una nueva seguridad Policy y colóquela antes de cualquier regla que coincida actualmente con DNS el tráfico.La nueva seguridad Policy se puede llamar "Sinkhole" y debe configurarse para que coincida con la dirección de destino (FQDN objeto de dirección: sinkhole.paloaltonetworks.com).

    Sinkhole FQDN Address (objeto)

    La acción es irrelevante ya que el resuelto IP de Palo Alto Networks no utiliza paquetes recibidos para ningún tipo de telemetría (se descartan) y por lo tanto recomendamos que la acción en el sumidero policy se establezca en acción: Denegar.

    Definir la seguridad del sumidero Policy

    Una vez que esto se ha configurado, y cuando es el momento de identificar los host infectados, acceder a los registros de tráfico y consultar cualquier tráfico que coincida con la regla "Sinkhole". Esto ayudará a identificar los hosts de origen infectados, independientemente de la dirección que IP el sumidero FQDN resuelva con el tiempo.

    Consultar huéspedes infectados

    Si se utilizó un IPv4 de sumidero personalizado, la seguridad Policy de "sumidero" simplemente se puede definir para que coincida con el IPv4 de sumidero personalizado como dirección de destino. Para la identificación de host infectado, simplemente consulte las conexiones donde el destino IPv4 es su IPv4 de su sumidero personalizado.

  4. Confirmar la configuración

 

Ver también

Video Tutorial: Cómo configurar DNS Sinkhole 

Cómo verificar DNS el sumidero

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGECA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language