Cómo verificar el sumidero DNS
Resolution
Si desea comprobar que la función de sumidero DNS está funcionando correctamente a través de un cortafuegos de Palo Alto Networks, querrá ver este vídeo.
Video tutorial transcripción: Cómo verificar el sumidero DNS
Este es un video tutorial de Palo Alto Networks, Cómo verificar el sumidero DNS.
Mi nombre es Joe Delio y soy ingeniero de soluciones del equipo comunitario de Palo Alto Networks.
Este vídeo ayuda a verificar si la función de sumidero DNS está funcionando correctamente a través de un cortafuegos de Palo Alto Networks.
Para simplificar, voy a estar hablando de verificar un cliente utilizando un servidor DNS externo.
Nota: también, estamos asumiendo que usted ya ha configurado la función de sumidero DNS, y quiere asegurarse de que está funcionando correctamente.
Si desea leer acerca de cómo verificar tanto el servidor DNS interno como el externo con el sumidero DNS, consulte:
Cómo verificar la función de sumidero de DNS es trabajo
He hablado de cómo configurar el sumidero DNS en un vídeo anterior:
Video Tutorial: Cómo configurar DNS Sinkhole
Para obtener un documento acerca de cómo configurar el sumidero DNS, consulte:
¿Cómo funciona la función de sumidero DNS?
Hablaré con usted hoy sobre un cliente que utiliza un servidor DNS externo que hace una solicitud de DNS maliciosa.
A continuación se da una visión general de cómo funciona la protección del sumidero DNS:
1. El cortafuegos ve la solicitud de DNS sospechosa.
2. El Firewall bloquea esta solicitud y envía una IP falsa para responder a la solicitud DNS.
3. El cliente infectado obtiene su respuesta de DNS falso y trys para llegar a su servidor de comando y control haciendo la llamada http/https a la IP del sumidero.
4. Si está bloqueando el acceso a esta IP falsa, es así como podemos determinar qué cliente está infectado.
Nota: el cortafuegos de Palo Alto Networks debe estar en la ruta de la solicitud DNS a una URL sospechosa y también en la misma ruta que el equipo infectado intenta acceder a la IP del sumidero DNS.
Ahora, con un poco más de detalle.
Cuando el sistema cliente accede a una dirección URL malintencionada conocida mediante un servidor DNS externo, la consulta DNS va desde el cliente, a través del cortafuegos de Palo Alto Networks, y luego al servidor DNS externo. El cortafuegos secuestra la consulta DNS y responde como el servidor DNS con la dirección IP del sumidero DNS al cliente. En este ejemplo, 1.1.1.1 se está utilizando como la IP del sumidero DNS falso. Dentro de los registros de amenazas, debería poder ver la dirección IP del cliente como un origen cuando se realice la solicitud de DNS sospechosa.
El siguiente paso sería buscar el cliente intentando acceder al sumidero DNS IP 1.1.1.1. Si ha configurado correctamente el cortafuegos, debe bloquear todo el acceso, o en un puerto de servicio mínimo 80 (http) o en el puerto 443 (https). Dentro de los registros de tráfico, verá el tráfico caído a 1.1.1.1.
Ahora, echemos un vistazo a esto desde una perspectiva de cliente.
Sabemos que el siguiente dominio es considerado un ' dominio sospechoso '.
gdcqia.com
Cuando tenemos el sumidero DNS configurado correctamente, y alguien resuelve ese dominio, el falso sumidero DNS IP debe resolver en lugar de la dirección IP del dominio real.
Ver cómo 1.1.1.1 está apareciendo.
Mediante la realización manual de esta búsqueda con una URL sospechosa, ahora se puede ver de primera mano que el sumidero DNS está trabajando para proporcionar la IP falsa.
La segunda parte de esto es fingir que usted es un anfitrión infectado, abrir un navegador web y tratar de visitar la URL sospechosa con la IP dada 1.1.1.1.
El acceso al sitio no funcionará, ya que es una IP falsa, que está bien. En un minuto, verás cómo esto es importante para los registros de tráfico.
Ahora, si miran dentro de los registros de amenazas,
De nuevo dentro del webgui, seleccione monitor > registros de amenazas. Busco la dirección IP del cliente que estoy usando, que es 172.16.77.209. Los registros de amenazas muestran la solicitud DNS sospechosa y se ve la dirección IP del cliente 172.16.77.209 como el atacante.
Haga clic en la lupa para obtener más detalles:
Observe cómo la acción es sumidero, la aplicación es DNS y la fuente es 172.16.77.209, porque mi propio cliente está tratando de salir a 8.8.8.8 y resolver esta dirección URL.
Sabemos que este es el cliente que hace esta solicitud de DNS. Pero, si tuviera un servidor DNS interno, esa IP se mostraría en lugar de la IP del cliente (siempre que el tráfico DNS pasara por este cortafuegos). En ese caso, podemos saltar al siguiente paso.
También, dentro de la sección de detalles, verá ' spyware ' como el tipo de amenaza, y ' consulta DNS sospechosa ' como el nombre de la amenaza.
A continuación, podemos echar un vistazo a los registros de tráfico de la IP de destino de 1.1.1.1, y podemos ver el tráfico se está eliminando, si configuró sus reglas de bloqueo correctamente. Así es como podemos determinar quiénes son los clientes infectados. Dado que 1.1.1.1 es una IP falsa, sólo las máquinas que hacen estas solicitudes de DNS sospechosas van a tratar de acceder a estos sitios, y luego, a su vez, se negó. Puede buscar en sus registros de tráfico o realizar informes simples sobre esta regla para obtener una lista de las máquinas que necesita restringir o visitar.
Que concluye este video tutorial. Esperábamos que te gustara este video, y gracias por mirar.