Cómo verificar la función de sumidero de DNS es trabajo
Resolution
Detalles
Este documento está diseñado para ayudar a verificar si la función de sumidero DNS está funcionando correctamente a través de un cortafuegos de Palo Alto Networks.
Se cubren los siguientes 2 escenarios:
- Cliente con servidor DNS externo
- Cliente que utiliza el servidor DNS interno
Configuración de sumidero DNS
Para obtener información sobre cómo configurar el sumidero DNS, consulte:
Además, tenemos un video tutorial sobre cómo configurar el sumidero DNS:
Video Tutorial: Cómo configurar DNS Sinkhole
Cliente con servidor DNS externo
Nota: DNS sumidero IP debe estar en la ruta del firewall y el cliente para que pueda ver los registros de la misma. Por ejemplo, el cortafuegos de Palo Alto Networks se sitúa entre un cliente infectado y el Data Center, pero no ve Internet. En este escenario, si el sumidero DNS está configurado con una IP de Internet, el cortafuegos nunca verá al cliente infectado tratando de llegar a su servidor de comandos y control.
Cuando la función de sumidero DNS está configurada en el cortafuegos de Palo Alto Networks y el sistema cliente utiliza un servidor DNS externo, la consulta DNS del cliente pasará por el cortafuegos de Palo Alto Networks al servidor DNS externo (el cliente y el servidor DNS están en diferentes subredes). Como se esperaba, el usuario debería poder ver registros de amenazas con la dirección IP del cliente como fuente.
- El usuario está intentando acceder a un sitio web malicioso. El sistema cliente enviará la consulta DNS a un servidor DNS externo para obtener la dirección IP del sitio web malicioso. El Firewall recibirá la consulta DNS directamente desde el sistema cliente.
- El cortafuegos secuestrará la consulta DNS y proporcionará una dirección IP del sumidero DNS al cliente y debería poder ver los registros de amenazas con la dirección IP del cliente como fuente.
Configuración de propiedades del cliente TCP/IP
Revise el siguiente ejemplo de configuración:
Registros de la amenaza
Cuando se utiliza un servidor DNS externo, los registros de amenazas muestran la dirección IP del cliente "192.168.27.192" como un origen que intenta acceder a un sitio web malicioso:
Salida de cliente cuando se utiliza un servidor DNS externo
$ nslookup 79fe3m5f4nx8c1.PMR.CC
Server: 195.130.131.4
Dirección: 195.130.131.4 # 53
respuesta no autoritaria:
nombre: 79fe3m5f4nx8c1.PMR.CC
Dirección: 72.5.65.111
La captura de pantalla de arriba muestra un host Machine 192.168.27.192 realizando una solicitud de DNS para "79fe3m5f4nx8c1.PMR.CC" (una URL sospechosa) y la respuesta es 72.5.65.111. Mostrando así que el sumidero DNS está funcionando como se desee.
Cliente que utiliza el servidor DNS interno
Si un sistema cliente utiliza un servidor DNS interno (el cliente y el servidor DNS están en la misma subred), la consulta DNS del cliente se desplazará al servidor DNS interno. El servidor DNS interno reenviará esta consulta a un servidor DNS externo y los registros de amenazas con la dirección IP del servidor DNS interno se verán como un origen.
Actualmente, el cortafuegos de Palo Alto Networks no puede identificar qué cliente final está intentando acceder a un sitio web malicioso con la ayuda de los registros de amenazas, ya que todos los registros de amenazas tendrán la dirección IP del servidor DNS interno como fuente. Sin embargo, el cortafuegos debe poder determinar la dirección IP del cliente final con la ayuda de registros de tráfico.
A continuación se muestra un ejemplo en el que el usuario está intentando acceder a un sitio web malicioso. El sistema cliente enviará la consulta DNS a un servidor DNS interno para adquirir la dirección IP del sitio web malicioso. Aquí, el servidor DNS interno reenviará la consulta DNS a un servidor DNS externo. El cortafuegos recibirá una consulta DNS desde el servidor DNS interno.
El cortafuegos secuestrará la consulta DNS y dará la dirección IP del sumidero DNS al servidor DNS interno. El servidor DNS interno reenviará la respuesta al sistema cliente y el usuario debería poder ver registros de amenazas con la dirección IP del servidor DNS interno como origen. Sin embargo, Palo Alto Networks Firewall debería poder ver la dirección IP del cliente en los registros de tráfico porque el cliente intentará acceder a ese sitio web con la dirección IP del sumidero DNS, como se muestra en la siguiente captura de pantalla:
Configuración de propiedades del cliente TCP/IP
Registros de la amenaza
En los registros de amenazas, el cortafuegos sólo muestra la dirección IP del servidor DNS interno "10.50.240.101" como origen, ya que el sistema cliente utiliza la IP del servidor DNS interno. Aquí el Firewall no es capaz de determinar qué cliente final está tratando de acceder a ese sitio Web.
Registros de tráfico
Sin embargo, tan pronto como el cliente obtenga la dirección IP del servidor DNS, generará tráfico hacia la dirección IP del sumidero (72.5.65.111). Por lo tanto, el Firewall mostrará la dirección IP del cliente final "192.168.27.192" en los registros de tráfico, como se muestra a continuación:
Salida de cliente cuando se utiliza un servidor DNS interno
$ nslookup 4cdf1kuvlgl5zpb9.PMR.CC
Server: 192.168.27.189
Dirección: 192.168.27.189 # 53
respuesta no autoritaria:
nombre: 4cdf1kuvlgl5zpb9.PMR.CC
Dirección: 72.5.65.111
La captura de pantalla de arriba muestra un host Machine 192.168.27.192 realizando una solicitud de DNS para 4cdf1kuvlgl5zpb9.PMR.CC (una URL sospechosa) con la respuesta de 72.5.65.111. Esto comprueba que el sumidero DNS funciona como se desee.
Ver también
Cómo lidiar con el conformador usando el sumidero DNS
Dónde obtener una consulta DNS sospechosa para probar el sumidero DNS
Para ver video tutoriales sobre el sumidero DNS, por favor vea:
Video Tutorial: Cómo configurar DNS Sinkhole
Video Tutorial: Cómo comprobar DNS Sinkhole
Propietario: sbabu