Comment vérifier DNS Sinkhole fonction est travail
Resolution
Détails
Ce document est conçu pour aider à vérifier si la fonction de gouffre DNS fonctionne correctement à travers un pare-feu de Palo Alto Networks.
Les 2 scénarios suivants sont couverts:
- Client utilisant un serveur DNS externe
- Client utilisant le serveur DNS interne
Configuration du gouffre DNS
Pour plus d'informations sur la configuration du gouffre DNS, veuillez consulter:
Comment faire pour configurer DNS doline
Aussi, nous avons un tutoriel vidéo sur la façon de configurer le gouffre DNS:
Tutoriel vidéo : Comment faire pour configurer DNS doline
Client utilisant un serveur DNS externe
Remarque: DNS gouffre IP doit être dans le chemin du pare-feu et le client afin que vous puissiez voir les journaux de celui-ci. Par exemple, le pare-feu de Palo Alto Networks se trouve entre un client infecté et le centre de données, mais il ne voit pas Internet. Dans ce scénario, si le gouffre DNS est configuré avec une adresse IP Internet, le pare-feu ne verra jamais le client infecté essayant d'atteindre son serveur de commande et de contrôle.
Lorsque la fonctionnalité de gouffre DNS est configurée sur le pare-feu de Palo Alto Networks et que le système client utilise un serveur DNS externe, la requête DNS du client passe par le pare-feu de Palo Alto Networks au serveur DNS externe (le client et le serveur DNS sont dans différents sous-réseaux). Comme prévu, l'utilisateur doit être en mesure de voir les journaux de menaces avec l'adresse IP du client en tant que source.
- L'utilisateur tente d'accéder à un site Web malveillant. Le système client enverra la requête DNS à un serveur DNS externe pour obtenir l'adresse IP du site Web malveillant. Le pare-feu recevra la requête DNS directement à partir du système client.
- Le pare-feu détournera la requête DNS et donnera une adresse IP du gouffre DNS au client et devrait être en mesure de voir les journaux de menace avec l'adresse IP du client comme une source.
Configuration des propriétés TCP/IP du client
Consultez L'exemple de configuration suivant:
Journaux de menace
Lors de l'utilisation d'un serveur DNS externe, les journaux de menaces affichent l'adresse IP du client «192.168.27.192» en tant que source qui tente d'accéder à un site Web malveillant:
Sortie client lors de L'Utilisation du serveur DNS externe
$ nslookup 79fe3m5f4nx8c1.PMR.cc
Server: 195.130.131.4
adresse: 195.130.131.4 # 53
réponse non autorisée:
nom: 79fe3m5f4nx8c1.PMR.cc
adresse: 72.5.65.111
La capture d'écran ci-dessus montre une machine hôte 192.168.27.192 effectuant une demande DNS pour "79fe3m5f4nx8c1.PMR.CC" (une URL suspecte) et la réponse étant 72.5.65.111. Montrant ainsi que le gouffre DNS fonctionne comme désiré.
Client utilisant le serveur DNS interne
Si un système client utilise un serveur DNS interne (le client et le serveur DNS se trouvent dans le même sous-réseau), la requête DNS du client ira au serveur DNS interne. Le serveur DNS interne transmet cette requête à un serveur DNS externe, et les journaux de menaces avec l'adresse IP du serveur DNS interne sont considérés comme une source.
Actuellement, le pare-feu de Palo Alto Networks ne peut pas identifier quel client final tente d'accéder à un site Web malveillant à l'Aide des journaux de menace, parce que tous les journaux de menace auront l'adresse IP du serveur DNS interne comme une source. Toutefois, le pare-feu doit être en mesure de déterminer l'adresse IP du client final à l'Aide de journaux de trafic.
Ci-dessous est un exemple où l'utilisateur tente d'accéder à un site Web malveillant. Le système client enverra la requête DNS à un serveur DNS interne pour acquérir l'adresse IP du site Web malveillant. Ici, le serveur DNS interne transmet la requête DNS à un serveur DNS externe. Le pare-feu recevra une requête DNS à partir du serveur DNS interne.
Le pare-feu va pirater la requête DNS et donner l'adresse IP du gouffre DNS au serveur DNS interne. Le serveur DNS interne transmet la réponse au système client et l'utilisateur doit être en mesure de voir les journaux de menaces avec l'adresse IP du serveur DNS interne comme source. Cependant, le pare-feu de Palo Alto Networks devrait pouvoir voir l'adresse IP du client dans les journaux de trafic parce que le client essaiera d'accéder à ce site Web avec l'adresse IP de gouffre de DNS, comme montré dans la capture d'écran suivante:
Configuration des propriétés TCP/IP du client
Journaux de menace
Dans les journaux de menaces, le pare-feu affiche uniquement l'adresse IP du serveur DNS interne «10.50.240.101» en tant que source, car le système client utilise l'IP du serveur DNS interne. Ici, le pare-feu n'est pas en mesure de déterminer quel client final tente d'accéder à ce site.
Journaux de circulation
Toutefois, dès que le client obtenir l'adresse IP à partir du serveur DNS, il va générer du trafic vers l'adresse IP du gouffre (72.5.65.111). Par conséquent, le pare-feu affiche l'adresse IP du client final "192.168.27.192" dans les journaux de trafic, comme indiqué ci-dessous:
Sortie client lors de L'Utilisation du serveur DNS interne
$ nslookup 4cdf1kuvlgl5zpb9.PMR.cc
Server: 192.168.27.189
adresse: 192.168.27.189 # 53
réponse non autorisée:
nom: 4cdf1kuvlgl5zpb9.PMR.cc
adresse: 72.5.65.111
La capture d'écran ci-dessus montre une machine hôte 192.168.27.192 effectuant une demande DNS pour 4cdf1kuvlgl5zpb9.PMR.CC (une URL suspecte) avec la réponse de 72.5.65.111. Cela vérifie que le gouffre DNS fonctionne comme désiré.
Voir aussi
Comment faire face à Conficker utilisant DNS gouffre
Où obtenir des requêtes DNS suspectes pour tester le gouffre DNS
Pour les didacticiels vidéo sur le gouffre DNS, S'il vous plaît voir:
Tutoriel vidéo : Comment faire pour configurer DNS doline
Tutoriel vidéo : Comment vérifier les DNS doline
propriétaire : naima