Bloqueo de DNS consultas sospechosas con DNS proxy habilitado
Symptom
Environment
- Palo Alto Firewall .
- PAN-OS 8.1 y superior.
- DNS Proxy habilitado.
- Configuración anti-Spyware.
Cause
El problema se debe a que el dispositivo Palo Alto Network intenta bloquear su única sesión para DNS consultas al DNS servidor externo. Si configura un perfil Anti-Spyware para bloquear DNS consultas sospechosas (incluido el objeto 'strict' predeterminado), el firewall colocará la DNS sesión infractora en un DISCARD estado. Esto significa que todo DNS el tráfico del dispositivo que se ha bloqueado, a partir de ese momento, se dejará caer hasta que se agote el tiempo de espera de la sesión o se borre manualmente. Las DNS consultas deseadas se bloquearán cuando los usuarios apliquen un perfil Anti-Spyware configurado para bloquear estas DNS consultas de una zona de confianza (interna) a seguridad de zona no confiada (externa) Policy [Consulte el diagrama 1.0]. La siguiente es una ilustración del flujo que un paquete tomaría si se configura con una Policy seguridad, similar a la mencionada anteriormente [Véase el diagrama 1.1].Esto hará que todas DNS las consultas que van desde las redes de Palo Alto al servidor firewall sean DNS denegadas después de que se detecte una DNS consulta sospechosa; incluso las deseadas.
Resolution
Configurar dos políticas como se muestra a continuación (ver la figura 2.0). La primera policy permitirá estas consultas desde las del usuario a DNS firewall Internet. Esto impedirá que se forme una DISCARD sesión que bloquee todas las consultas de DNS toda la red. El segundo policy declarará para realizar el perfil anti-Spyware en el tráfico que va de los clientes a la firewall en su lugar. Esto permitirá bloquear DNS consultas sospechosas para clientes específicos y no bloquear DNS consultas para toda la red.
Additional Information
Cómo configurar DNS proxy en una red de Palo Alto Firewall