如何配置DNS天坑
Symptom
一个内部DNS服务器导致原始来源IP受感染主机的引用将丢失。
Environment
帕洛阿尔托网络firewall.
Cause
DNS sinkhole 可用于在存在内部漏洞的网络上识别受感染的主机DNS服务器在路由中firewall导致原始来源的引用IP首先发起查询的主机的地址将丢失(查询由内部接收DNS服务器和内部DNS如果 name-to-IP分辨率不在本地缓存)。
这导致firewall报告恶意观察DNS在威胁日志中查询来源IP恶意的DNS查询是内部DNS服务器,这将迫使管理员查看DNS服务器日志以尝试追踪最初源自恶意软件的受感染主机是什么DNS询问。
Resolution
概述
这DNS天坑功能启用帕洛阿尔托网络firewall打造一个A/AAAA DNS回应DNS查询已知的恶意域并导致恶意域名解析为可定义的IP地址(天坑IP) 作为响应注入。 假设恶意软件正在解析恶意域,因为它将启动后续流量(无论是TCP,UDP , 或其他)。 通过这种机制,可以通过查询流量日志中是否有任何发送到 Sinkhole 的流量来识别受感染的主机IP.
重要的! 选择“天坑”时IP", 确保IP地址是虚构的 RFC1918IP地址不存在于网络内部的任何地方。
脚步
- 确保最新的防病毒软件和WildFire更新安装在帕洛阿尔托网络设备上。
在 WebUI 中,转到左侧的设备 > 动态更新。 点击左下角的“立即检查”,确保杀毒软件和WildFire包是最新的。 建议每小时下载并安装防病毒软件(设置一个小时后的随机分钟数,以均衡 Palo Alto Networks 更新服务器的负载并增加成功检查的机会,在此示例中为小时后 14 分钟被使用),并且对于WildFire每分钟,或实时PAN-OS>= 10.0。
笔记:DNS Sinkhole 可以应用于具有活动威胁防护的防火墙或DNS Security执照。 EDL 域类型也受支持,不需要许可证。 自定义反间谍软件DNSSinkhole 操作不支持签名。
- 配置DNS反间谍软件配置文件中的 Sinkhole 操作。 单击安全配置文件下的对象 > 反间谍软件。使用现有配置文件或创建新配置文件。 在下面的示例中,使用了“反间谍软件”配置文件。 访问DNS用于在自定义上定义天坑操作的策略选项卡EDL域类型、Palo Alto Networks 内容交付的恶意域,以及DNS Security类别。
单击 Sinkhole IPv4 字段,选择默认的 Palo Alto Networks Sinkhole IPv4 (sinkhole.paloaltonetworks.com) 或其他IP你的选择。 如果您选择使用自己的IP, 确保IP不在您的网络内部使用,最好不能通过 Internet 路由 (RFC1918)。
单击 Sinkhole IPv6 并输入 Sinkhole IPv6。 如果未定义 IPv6,将使用默认的 ::1 IPv6 地址。 如果默认sinkhole.paloaltonetworks.com SinkholeIP被使用时,firewall将它作为一个注入CNAME回复记录。 天坑IP不断旋转。 这意味着当天坑IP需要在流量日志中查询被感染的主机标识,不会有一个IP查询,你不能查询流量日志FQDN.要正确完成此配置,请定义一个新的安全性Policy并将其置于当前匹配的任何规则之前DNS交通。新保安Policy可以命名为“Sinkhole”,需要配置为匹配目标地址(FQDN地址对象: sinkhole.paloaltonetworks.com ).
该操作无关紧要,因为 Palo Alto Networks 解决了IP不使用接收到的数据包进行任何类型的遥测(它们被丢弃)因此我们建议在 Sinkhole 上采取行动policy要设置为操作:拒绝。
配置完成后,当需要识别受感染主机时,访问流量日志并查询与“Sinkhole”规则匹配的任何流量。 这将有助于识别受感染的源主机,无论是什么IP解决天坑FQDN随着时间的推移解决。
如果使用自定义 Sinkhole IPv4,“Sinkhole”安全Policy可以简单地定义为匹配自定义 Sinkhole IPv4 作为目标地址。 对于受感染的主机标识,只需查询目标 IPv4 是您的自定义 Sinkhole IPv4 的连接。- 提交配置
也可以看看