Comment configurer DNS le gouffre

Comment configurer DNS le gouffre

308986
Created On 09/25/18 17:30 PM - Last Modified 02/28/24 09:13 AM


Symptom


Un serveur interne DNS entraînant la perte de la référence source IP d’origine d’un hôte infecté.

Environment


Palo Alto Networks firewall .

Cause


DNS Le gouffre peut être utilisé pour identifier les hôtes infectés sur un réseau où se trouve un serveur interne en route vers le qui entraîne la perte de la référence de l’adresse source d’origine de l’hôte à l’origine de la requête (la requête est reçue par le serveur interne et le firewall serveur interne DNS DNS DNS source IP une nouvelle requête si la résolution de nom à nomIP n’est pas mise en cache localement).

Cela amène le à signaler des observations de requêtes malveillantes dans les journaux des menaces où la source de la requête malveillante est le firewall serveur interneDNS, ce qui obligerait l’administrateur à examiner les DNS journaux du serveur pour essayer de retracer l’hôte infecté à l’origine de la requête malveillante DNS DNS DNS.IP

Resolution


Aperçu

La DNS fonction Sinkhole permet à Palo Alto Networks firewall de falsifier une réponse /AAAA DNS à une requête pour un domaine malveillant connu et provoque la résolution du nom de domaine malveillant en une ADNS adresse définissable IP (SinholeIP) qui est injectée en réponse. L’hypothèse est que le logiciel malveillant résout un domaine malveillant car il initiera le trafic ultérieur (que ce TCPsoit , UDPou autre). Grâce à ce mécanisme, l’hôte infecté peut ensuite être identifié en interrogeant les journaux de trafic pour tout trafic envoyé au gouffre IP.

Important! Lorsque vous choisissez un « gouffreIP », assurez-vous que l’adresse est une adresse RFC1918 IP fictive qui n’existe nulle part à l’intérieur IP du réseau.
 

Étapes

  1. Assurez-vous que les derniers antivirus et WildFire mises à jour sont installés sur l’appareil Palo Alto Networks.
    Depuis le WebUI, passez à Device > Dynamic Updates à gauche. Cliquez sur « Vérifier maintenant » en bas à gauche et assurez-vous que l’antivirus et WildFire les packages sont à jour. Il est recommandé de télécharger et d’installer pour Antivirus toutes les heures (définissez un nombre aléatoire de minutes après heure pour égaliser la charge sur les serveurs de mise à jour de Palo Alto Networks et augmenter les chances de réussite de la vérification, dans cet exemple 14 minutes après l’heure d’utilisation), et pour WildFire chaque minute, ou en temps réel en PAN-OS > = 10,0.
    Sinkhole - Mises à jour dynamiques
    Remarque : DNS Le gouffre peut être appliqué aux pare-feu avec une prévention des menaces active ou DNS Security une licence. EDL de type Domaine est également pris en charge et ne nécessite pas de licence. Les signatures anti-spyware DNS personnalisées ne sont pas prises en charge pour une action Sinhole.
     
  2. Configurez l’action DNS Sinkhole dans le profil Anti-Spyware. Cliquez sur les objets > anti-spyware sous profils de sécurité.Utilisez soit un profil existant, soit créez un nouveau profil. Dans l’exemple ci-dessous, le profil « Anti-Spyware » est utilisé. Accédez à l’onglet DNS Stratégies pour définir une action de gouffre sur Domaine personnalisé EDL de type, Domaines malveillants diffusés par contenu Palo Alto Networks et DNS Security Catégories.
    Sinkhole - Profil anti-spyware

    Cliquez dans le champ Sinkhole IPv4 sélectionnez le Palo Alto Networks Sinkhole IPv4 (sinkhole.paloaltonetworks.com) par défaut ou un autre IP de votre choix. Si vous choisissez d’utiliser le vôtre IP, assurez-vous que le n’est pas utilisé à l’intérieur IP de votre réseau et de préférence non routable sur Internet (RFC1918).
    Cliquez sur Sinkhole IPv6 et entrez dans un Sinkhole IPv6. Si IPv6 n’est pas défini, l’adresse IPv6 par défaut ::1 sera utilisée.

  3. Si le sinkhole.paloaltonetworks.com par IP défaut est utilisé, le l’injectera firewall en tant qu’enregistrement de CNAME réponse. Le gouffre IP tourne constamment. Cela signifie que lorsque le gouffre IP doit être interrogé dans les journaux de trafic pour l'identification de l'hôte infecté, il n'y en aura pas un seul IP à interroger et vous ne pourrez pas interroger les journaux de trafic par FQDN.Pour effectuer correctement cette configuration, définissez une nouvelle sécurité Policy et placez-la de manière à précéder toute règle correspondant actuellement au DNS trafic.La nouvelle sécurité Policy peut être nommée « Sinkhole » et doit être configurée pour correspondre à l’adresse de destination (FQDN objet Address : sinkhole.paloaltonetworks.com).

    Objet Sinkhole FQDN Address

    L’action n’est pas pertinente puisque Palo Alto Networks résolu IP n’utilise pas les paquets reçus pour tout type de télémétrie (ils sont abandonnés) et nous recommandons donc que l’action sur le gouffre policy soit définie sur action: Refuser.

    Définir la sécurité du gouffre Policy

    Une fois que cela a été configuré, et quand il est temps d’identifier les hôtes infectés, accédez aux journaux de trafic et à la requête pour tout trafic correspondant à la règle « Sinkhole ». Cela aidera à identifier les hôtes sources infectés, quelle que soit l’adresse à laquelle IP le gouffre FQDN se résout au fil du temps.

    Requête pour les hôtes infectés

    Si un Sinkhole IPv4 personnalisé a été utilisé, la sécurité Policy « Sinkhole » peut simplement être définie pour correspondre à l’IPv4 Sinkhole personnalisé comme adresse de destination. Pour l’identification de l’hôte infecté, il suffit de demander des connexions où la destination IPv4 est votre IPv4 Sinkhole personnalisé.

  4. Valider la configuration

 

Voir aussi

Tutoriel vidéo: Comment configurer DNS le gouffre 

Comment vérifier DNS le gouffre

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGECA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language