Blocage des DNS requêtes suspectes DNS avec proxy activé
Symptom
Environment
- Palo Alto Firewall .
- PAN-OS 8,1 et plus.
- DNS Proxy activé.
- Configuration anti-spyware.
Cause
Le problème est causé par l’appareil Palo Alto Network qui tente de bloquer sa seule session DNS pour les requêtes sur le serveur DNS externe. Si vous mettez en place un profil anti-spyware pour bloquer DNS les requêtes suspectes (y compris l’objet « strict » par défaut), la firewall session DNS d’infraction sera mise dans un DISCARD état. Cela signifie que tout le DNS trafic de l’appareil qui a été bloqué, à partir de ce moment-là, il sera supprimé jusqu’à ce que la session s’efface, ou est effacé manuellement. Les DNS requêtes souhaitées seront bloquées lorsque les utilisateurs appliquent un profil anti-spyware configuré DNS pour bloquer ces requêtes à partir d’une zone de confiance (interne) pour fausser la sécurité de la zone (externe) Policy [voir schéma 1.0]. Ce qui suit est une illustration du flux qu’un paquet prendrait s’il était configuré avec une Policy sécurité , similaire à celle énumérée ci-dessus [Voir diagramme 1.1].Cela fera que toutes les requêtes allant des réseaux de Palo Alto au DNS serveur seront firewall DNS DNS refusées après la détectée d’une requête suspecte; même les requêtes souhaitées.
Resolution
Configurer deux politiques comme indiqué ci-dessous (voir schéma 2.0). La première policy permettra ces DNS requêtes de l’utilisateur firewall à l’Internet. Cela empêchera la DISCARD formation d’une session qui bloquera toutes les DNS requêtes pour l’ensemble du réseau. Le second policy sera l’état d’effectuer le profil Anti-Spyware sur le trafic allant des clients à la firewall place. Cela permettra de bloquer les DNS requêtes suspectes pour des clients spécifiques, et non de bloquer les DNS requêtes pour l’ensemble du réseau.
Additional Information
Comment configurer DNS proxy sur un réseau Palo Alto Firewall