DNS consulta no se resuelve en el sumidero IP a partir de las PAN-OS 9.0 en adelante
41974
Created On 03/10/20 04:06 AM - Last Modified 03/26/21 18:09 PM
Symptom
1. Antes de PAN-OS la 9.0, realizar una DNS consulta a un dominio malicioso que coincida con la firma palo alto networks se DNS resolverá en la dirección del sumidero: IP 75.5.65.111.
2. Antes de PAN-OS la 9.0, ping a un dominio malicioso que coincide con la firma Palo Alto Networks DNS que se resuelve a 75.5.65.111 funciona bien.
3. A partir de PAN-OS las 9.0 realizar una DNS consulta a un dominio malintencionado que coincida con la firma o el servicio de Palo Alto Networks DNS no se resuelve en direcciones de DNS Security sumidero. IP
4. Ping a un dominio malicioso que coincide con la firma palo alto networks DNS falla con el error de host desconocido.
Environment
- Uso de una herramienta de nslookup de cliente para el sistema windows o una herramienta de excavación para el sistema basado en Unix para realizar DNS consultas para el dominio que coincide con la firma Palo Alto Networks DNS
- PAN-OS 9.0 y superiores
- Palo Alto Firewall .
Cause
Las direcciones de sumidero predeterminadas de Palo Alto Networks se cambiarán a registros a partir de las IP CNAME PAN-OS 9.0 en adelante. Los registros de nombres canónicos también conocidos CNAME como , actúan como alias, apuntando a otro nombre en lugar de DNS IP .
- Cuando se realiza una DNS búsqueda a un dominio malicioso, esto se CNAME devolverá en lugar de un A registro o AAAA
- La seguridad y IR los equipos pueden investigar a cualquier cliente que solicite la resolución de estos dominios
El registro predeterminado CNAME es sinkhole.paloaltonetworks.com y esto se puede actualizar a través de la actualización de contenido.
Antes de PAN-OS las 9.0:
PAN-OS 9.0 y superior:
Resolution
Para sistemas Windows que NSLOOKUP funcionan:
1. Inicie el símbolo del sistema de Windows navegando hasta Iniciar > símbolo del sistema o a través de Ejecutar > CMD.
2. Escriba NSLOOKUP y pulse Intro. El servidor predeterminado se establece en DNS local, la dirección será la IP local.
3. Establezca el DNS tipo de registro que desea buscar escribiendo set type=## donde ## es el tipo de registro y, a continuación, pulse Intro. El tipo de registro de recursos predeterminado A es, por lo tanto, esta es la razón por la que no estamos obteniendo una respuesta como se mostró anteriormente. En este caso, usaremos CNAME el tipo de registro en lugar de la resolución.
4. Ahora escriba el nombre de dominio malintencionado que desea consultar y, a continuación, pulse Intro. Lo mismo se aplica a los dominios de prueba enumerados en la documentación.
5. NSLOOKUP ahora devolverá el CNAME registro sinkhole.paloaltonetworks.com
6. Dependiendo del comportamiento del host/aplicación/host infectado, se puede realizar una segunda DNS búsqueda para obtener la dirección del registro IP CNAME sinkhole.paloaltonetworks.com.
7. Usted debe esperar una respuesta al hacer ping a sinkhole.paloaltonetworks.com
o
Uso de Linux Dig (Domain Information Groper) es una herramienta de línea de comandos para consultar servidores de DNS nombres. El comando dig le permite consultar información sobre varios DNS registros, incluidas direcciones host, intercambios de correo y servidores de nombres. Es la herramienta más utilizada entre los administradores del sistema para solucionar DNS problemas debido a su flexibilidad y facilidad de uso.
Additional Information
Siempre que se produzca una DNS búsqueda que coincida con la firma activa de Palo Alto DNS Networks, se generará un evento de tipo spyware correspondiente en el registro de amenazas.
Aquí puede consultarse una referencia externa sobre el DNS proceso de resolución CNAME deregistros.