設定方法DNSシンクホール
309024
Created On 09/25/18 17:30 PM - Last Modified 02/28/24 09:13 AM
Symptom 内部DNS元のソースを引き起こしているサーバーIP感染したホストの参照が失われます。
Environment パロアルトネットワークスfirewall.
Cause DNS シンクホールは、内部ネットワークがあるネットワーク上の感染したホストを識別するために使用できます。DNSへの途中のサーバーfirewall元のソースの参照を引き起こすIP失われるクエリを最初に発信したホストのアドレス (クエリは内部ホストによって受信されます)DNSサーバー、および内部DNSname-to-IP解像度はローカルにキャッシュされません)。 これにより、firewall悪意のある観察結果を報告するDNSソースがどこにある脅威ログのクエリIP悪意のあるDNSクエリは内部DNSこれにより、管理者はサーバーを調べなければならなくなります。DNSサーバー ログを使用して、最初に悪意のあるファイルの送信元となった感染ホストを突き止めようとしました。DNSクエリ。
Resolution
概要
のDNSシンクホール機能により、パロアルト ネットワークが有効になりますfirewallを偽造するA/AAAA DNSへの応答DNS既知の悪意のあるドメインを照会し、悪意のあるドメイン名を定義可能な名前に解決します。IPアドレス (シンクホールIP) が応答として挿入されます。 マルウェアが悪意のあるドメインを解決していると仮定すると、それは後続のトラフィックを開始するためです (TCP 、UDP 、またはその他)。 このメカニズムにより、シンクホールに送信されたトラフィックのトラフィック ログをクエリすることで、感染したホストを特定できます。IP .
重要! 「シンクホール」を選ぶときIP"、次のことを確認してくださいIPアドレスは架空の RFC1918 ですIPネットワーク内のどこにも存在しないアドレス。
手順
最新のアンチウイルスとWildFire更新プログラムがパロ アルト ネットワーク デバイスにインストールされます。 WebUI から、左側の [デバイス] > [動的更新] に移動します。 左下の「今すぐ確認」をクリックし、アンチウイルスとWildFireパッケージは現在のものです。 アンチウイルスを 1 時間ごとにダウンロードしてインストールすることをお勧めします (パロアルトネットワーク更新サーバーへの負荷を均等にし、チェックが成功する可能性を高めるために、1 時間ごとにランダムな分数を設定します。この例では 14 分後)が使用されます)、およびWildFire毎分、またはリアルタイムでPAN-OS>= 10.0。ノート :DNSシンクホールは、アクティブな脅威対策またはファイアウォールに適用できます。DNS Securityライセンス。 EDL タイプ Domain もサポートされており、ライセンスは必要ありません。 カスタム アンチスパイウェアDNSシグニチャは、シンクホール アクションではサポートされていません。 を構成しますDNSアンチスパイウェア プロファイルのシンクホール アクション。 [セキュリティ プロファイル] の下の [オブジェクト] > [アンチスパイウェア] をクリックします。既存のプロファイルを使用するか、新しいプロファイルを作成します。 以下の例では、「Anti-Spyware」プロファイルが使用されています。 アクセスDNS[カスタム] でシンクホール アクションを定義するための [ポリシー] タブEDLドメイン、Palo Alto Networks コンテンツ配信の悪意のあるドメイン、およびDNS Securityカテゴリ。 Sinkhole IPv4 フィールドをクリックして、デフォルトの Palo Alto Networks Sinkhole IPv4 (sinkhole.paloaltonetworks.com) を選択するか、別のIPあなたの選択の。 独自の使用を選択した場合IP、確実にIPネットワーク内では使用されず、できればインターネット経由でルーティングできません (RFC1918)。 Sinkhole IPv6 をクリックし、Sinkhole IPv6 を入力します。 IPv6 が定義されていない場合、デフォルトの ::1 IPv6 アドレスが使用されます。 デフォルトの sinkhole.paloaltonetworks.com Sinkhole の場合IPが使用され、firewallとして注入します。CNAME回答記録。 シンクホールIP常に回転しています。 これは、シンクホールがIP感染したホストを特定するには、トラフィック ログでクエリを実行する必要があります。IPをクエリする必要があり、トラフィック ログをクエリすることはできません。FQDN .この構成を適切に完了するには、新しいセキュリティを定義しますPolicy現在一致しているルールの前に配置しますDNSトラフィック。新しいセキュリティPolicy「Sinkhole」という名前を付けることができ、宛先アドレスと一致するように構成する必要があります (FQDNアドレス オブジェクト:シンクホール.paloaltonetworks.com )。 パロアルトネットワークが解決したため、アクションは無関係ですIPは、受信したパケットをどのタイプのテレメトリにも使用しない (ドロップされる) ため、シンクホールでのアクションをお勧めしますpolicyアクションに設定する: 拒否します。 これを構成したら、感染したホストを特定するときに、トラフィック ログにアクセスし、「シンクホール」ルールに一致するトラフィックを照会します。 これは、感染したソース ホストを特定するのに役立ちます。IPシンクホールに対処するFQDN時間の経過とともに解決します。 カスタム シンクホール IPv4 が使用された場合、「シンクホール」セキュリティPolicyカスタム シンクホール IPv4 を宛先アドレスとして一致するように簡単に定義できます。 感染したホストを特定するには、宛先 IPv4 がカスタム シンクホール IPv4 である接続を照会するだけです。
構成をコミットする
関連項目
ビデオ チュートリアル: 設定方法DNSシンクホール
確認方法DNSシンクホール