Comment vérifier le gouffre DNS

Comment vérifier le gouffre DNS

69323
Created On 09/26/18 13:44 PM - Last Modified 06/01/23 02:45 AM


Resolution


Si vous souhaitez vérifier que la fonction de gouffre DNS fonctionne correctement à travers un pare-feu de Palo Alto Networks, vous aurez envie de regarder cette vidéo.

 

 

Transcription tutoriel vidéo: comment vérifier le gouffre DNS

Il s'agit d'un tutoriel vidéo Palo Alto réseaux, Comment vérifier le gouffre DNS.

Mon nom est Joe Delio et je suis un ingénieur de solutions de l'équipe de la communauté de Palo Alto Networks.

 

Cette vidéo permet de vérifier si la fonction de gouffre DNS fonctionne correctement à travers un pare-feu de Palo Alto Networks.

Pour simplifier, je vais parler de la vérification d'un client à l'aide d'un serveur DNS externe.

 

Note: aussi, nous supposons que vous avez déjà configuré la fonctionnalité de gouffre DNS, et que vous voulez vous assurer qu'il fonctionne correctement.

 

Si vous souhaitez en savoir plus sur la vérification du serveur DNS interne et externe avec le gouffre DNS, veuillez consulter:

Comment vérifier DNS Sinkhole fonction est travail

 

J'ai parlé de la façon de configurer le gouffre DNS dans une vidéo précédente:

Tutoriel vidéo : Comment faire pour configurer DNS doline

 

Pour un document sur la configuration du gouffre DNS, veuillez consulter:

Comment faire pour configurer DNS doline

 

Comment fonctionne le dispositif de gouffre DNS?

Je vais vous parler aujourd'hui d'un client utilisant un serveur DNS externe faisant une demande DNS malveillante.

 

Voici une vue d'ensemble sur la façon dont les travaux de protection de gouffre de DNS:

1. La requête DNS suspecte est vue par le pare-feu.

2. Le pare-feu bloque cette demande et envoie une fausse adresse IP pour répondre à la demande DNS.

3. Le client infecté obtient votre fausse réponse DNS et trys pour atteindre son serveur de commande et de contrôle en faisant l'appel HTTP/HTTPS à l'IP du gouffre.

4. Si vous bloquez l'accès à cette fausse adresse IP, alors c'est la façon dont nous pouvons déterminer quel client est infecté.

 

Note: le pare-feu de Palo Alto Networks doit être dans le chemin de la demande DNS à une URL suspecte et aussi dans le même chemin que la machine infectée tente d'accéder à l'IP du gouffre DNS.

 

Maintenant avec un peu plus deDétails

 Lorsque le système client accède à une URL malveillante connue à l'aide d'un serveur DNS externe, la requête DNS va du client, via le pare-feu de Palo Alto Networks, puis vers le serveur DNS externe. Le pare-feu détourne la requête DNS et répond en tant que serveur DNS avec l'adresse IP du gouffre DNS au client. Dans cet exemple, 1.1.1.1 est utilisé comme le faux DNS gouffre IP. À l'intérieur des journaux de menaces, vous devriez être en mesure de voir l'adresse IP du client en tant que source lorsque la demande DNS suspect est faite.

 

L'étape suivante serait à la recherche pour le client tente d'accéder à l' 1.1.1.1 DNS gouffre IP.  Si vous avez configuré votre pare-feu correctement, vous devez bloquer tous les accès, ou à un service minimum port 80 (http) ou port 443 (https). À l'intérieur des journaux de trafic, vous verrez le trafic a chuté à 1.1.1.1.

 

Maintenant, nous allons jeter un oeil à cela du point de vue des clients.

 

Nous savons que le domaine suivant est considéré comme un «domaine suspect». 

 

gdcqia.com

 

Lorsque nous avons le gouffre DNS configuré correctement, et quelqu'un résout ce domaine, le faux DNS gouffre IP devrait résoudre au lieu de l'adresse IP du domaine réel.

Voyez comment 1.1.1.1 se montre.

En effectuant manuellement cette recherche avec une URL suspecte, vous pouvez maintenant voir de première main que le gouffre DNS fonctionne pour fournir la fausse adresse IP.

La deuxième partie de ceci est de prétendre que vous êtes un hôte infecté, ouvrez un navigateur Web et essayez de visiter l'URL suspecte avec la donnée IP-1.1.1.1.

L'accès au site ne fonctionnera pas, car c'est une fausse adresse IP, qui est OK. Dans une minute, vous verrez comment cela est important pour les journaux de circulation.

 

Maintenant, si vous regardez à l'intérieur des journaux des menaces-

Retour à l'intérieur du WebGUI, sélectionnez Monitor > journaux des menaces. Je cherche l'adresse IP du client que j'utilise, qui est 172.16.77.209. Les journaux de menaces affichent la requête DNS suspecte et vous voyez l'adresse IP du client 172.16.77.209 comme attaquant.

 

Cliquez sur la loupe pour obtenir plus deDétails

Remarquez comment l'action est gouffre, l'application est DNS et la source est 172.16.77.209, parce que mon client lui-même essaie d'aller à 8.8.8.8 et de résoudre cette URL.

Nous savons que c'est le client qui fait cette demande DNS. Mais, si vous aviez un serveur DNS interne, que l'IP serait apparaître au lieu de l'IP du client (aussi longtemps que le trafic DNS est passé par ce pare-feu). Dans ce cas, nous pouvons passer à l'étape suivante.

En outre, dans la section détails, vous voyez «Spyware» comme le type de menace, et «suspecte DNS Query» comme le nom de la menace.

 

Ensuite, nous pouvons jeter un oeil à la circulation des journaux pour l'IP de destination de 1.1.1.1, et nous pouvons voir le trafic est en cours d'abandon, si vous avez configuré vos règles de blocage correctement. C'est ainsi que nous pouvons déterminer qui sont les clients infectés. Puisque 1.1.1.1 est une fausse adresse IP, seules les machines qui font ces requêtes DNS suspectes vont essayer d'accéder à ces sites, puis à leur tour, être nié. Vous pouvez rechercher vos journaux de trafic, ou effectuer des rapports simples sur cette règle pour obtenir une liste des machines que vous devez restreindre ou visiter.

 

Qui conclut ce tutoriel vidéo. Nous espérons que vous avez apprécié cette vidéo, et Merci pour regarder.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmFCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language