DNS の陥没穴を構成する方法
Resolution
dns 陥没は、疑わしい悪質な url のホスト名の解決を防ぐために、dns サーバーを偽装する方法です。これは、特定の URL に偽の IP アドレスを返すように DNS フォワーダを構成することによって実現されます。DNS sinkholing は、エンタープライズレベルの悪質な url へのアクセスを防止するために使用できます。悪意のある url へのアクセスは、偽の IP アドレスへのアクセスを拒否するセキュリティポリシーを追加することによってブロックできます。以下のビデオを見て、パロアルトネットワークファイアウォールで DNS 陥没を構成する方法を学習してください。
ビデオトランスクリプト: DNS 陥没を構成する方法
こんにちは、これは、パロアルトネットワークコミュニティチームからジョー Delio です。
このビデオチュートリアルでは、私はどのように DNS の陥没を構成するカバーされます。
私はどのようにパロアルトネットワークファイアウォール上の DNS 陥没を構成する方法を紹介します。
dns 陥没がどのようなものであるか、およびこれが記事でどのように構成されているかについての詳細は、https://live.paloaltonetworks.com/docs/DOC-6220 で dns 陥没を構成する方法を参照してください。
また、dns 陥没の設定を確認する方法を知っておく必要がある場合は、この資料を参照してください: どのように dns の陥没を確認する: https://live.paloaltonetworks.com/docs/DOC-7783と私は別のチュートリアルビデオでそれをカバーすることがあります。
PAN-OS 6.0 以降では、DNS 陥没は、アンチスパイウェアプロファイルで有効にすることができる新しいアクションです。
手順:
- 最新のウイルス対策アップデートがパロアルトネットワークデバイスにインストールされていることを確認します。
- アンチスパイウェアプロファイル内の DNS 陥没保護を構成します。
- アンチスパイウェアプロファイルを送信インターネットルールに配置します。
- 手順2で選択した IP アドレスへのアクセスをブロックするようにセキュリティポリシールールを構成します。
ステップ 1。 最新のウイルス対策アップデートがパロアルトネットワークデバイスにインストールされていることを確認します。
では、WebGUI にログインし、デバイスに、左の動的更新を始めましょう。
左下の [今すぐ確認] をクリックして、ウイルス対策アップデートが最新であることを確認してください。
今場合は、続行する前に、ください。設定されていない場合は、常に自動更新を構成できます。
大事な!DNS 陥没関数が正常に動作するには、有料のアンチウイルスサブスクリプションが必要です。
ステップ 2。 アンチスパイウェアプロファイル内の DNS 陥没保護を構成する
次に、アンチスパイウェアプロファイルを設定してみましょう。
[オブジェクト] を選択し、左側の [セキュリティプロファイル] でスパイウェア対策を行います。
既存のプロファイルを使用するか、新しいプロファイルを作成する必要があります。簡単にするために、私はすでに持っているプロファイルを再利用するつもりだ、' 警告-すべての。
プロファイルの名前をクリックし、[すべてのアラート] を選択して、[DNS 署名] を選びます。
あなたがする必要がある最初の事は警告からの陥没に「DNS 照会の処置」を変えることである。
次に、陥没の IPv4 フィールドをクリックし、偽の IP アドレスを入力します。私は簡単に1.1.1.1 を使用していますが、限り、IP アドレスは、ネットワーク内で使用されていない場合は、[OK] をする必要があります。
注: 何か非常に重要なこの ' 偽の IP アドレスを選択する。この ip アドレスは、ネットワーク内のどこにも存在しない架空の ip アドレスである必要があります。 DNS と HTTP トラフィックは、悪意のある URL を検出するためにファイアウォールを通過し、偽の IP アドレスへのアクセスを停止する必要があります。偽の IP が別の場所にルーティングされ、ファイアウォールを経由していない場合、これは正常に動作しません。
次に、陥没 ipv6 を選択し、偽の ipv6 IP アドレスを入力します。まだ IPv6 を使用していない場合でも、何かを入力する必要があります。あなたが何を使用するかわからない場合は、:: 1 を使用しても大丈夫です。[OK] をクリックします。
注:陥没 IPv6 フィールドに対して何も入力しない場合は、[OK] をクリックすることはできません。
ルール名、重大度、およびアクションのすべてが既に完了していることに注目してください。これは、私はすでに存在していたアンチスパイウェアのプロファイルを選択することを決めた理由です。
ステップ 3。 アンチスパイウェアプロファイルを送信インターネットルールに配置する
これが完了したら、送信トラフィックのセキュリティ規則 (DNS 要求の場合) がそのスパイウェア対策プロファイルを使用していることを確認する必要があります。
[ポリシー] を選択し、左側の [セキュリティ] をクリックします。
ルール内で、DNS トラフィックの発信を許可するルールを見つけ、名前をクリックして [アクション] タブに移動し、適切なスパイウェア対策プロファイルが選択されていることを確認します。[OK] をクリックします。
ステップ 4。 手順2で選択した IP アドレスへのアクセスをブロックするようにセキュリティポリシールールを構成する
最後に、IPv6 を使用している場合は、偽の IP 1.1.1.1 へのすべてのアクセスをブロックするセキュリティルールと:: 1 が必要です。アプリケーションが決定される前に、すべてのアクセスを停止したいので、アプリケーションは必要ありません。細かくする必要がある場合は、サービス HTTP (80) と HTTPS (443) を追加できますが、必要ありません。その後、アクションがブロックされていることを確認します。
変更をコミットしたら、完了です。
このビデオへのフォローアップでは、どのように DNS の陥没が動作していることを確認するには、我々はテストし、あなたがこれを設定し、正常に動作していることを確認します。Ify ou は、下の近くにトランスクリプト内のリンクを使用してください、記事を好むだろう。
DNS 陥没機能が動作していることを確認する 方法へのドキュメントリンク。
https://live.paloaltonetworks.com/docs/DOC-7783
dns 陥没がどのようなものであるか、およびこれが記事でどのように構成されているかについての詳細は、https://live.paloaltonetworks.com/docs/DOC-6220 で dns 陥没を構成する方法を参照してください。
また、dns 陥没の設定を確認する方法を知っておく必要がある場合は、この資料を参照してください: どのように dns の陥没を確認する: https://live.paloaltonetworks.com/docs/DOC-7783と私は別のチュートリアルビデオでそれをカバーすることがあります。
見ていただきありがとうございます。
ご安心ください。