DNS requête ne se résout pas au gouffre IP à PAN-OS partir de 9.0
42106
Created On 03/10/20 04:06 AM - Last Modified 03/26/21 18:09 PM
Symptom
1. Avant PAN-OS 9.0, DNS l’exécution d’une requête à un domaine malveillant qui correspond à palo Alto Networks DNS signature se résoudra à l’adresse gouffre: IP 75.5.65.111.
2. Avant PAN-OS 9.0, ping à un domaine malveillant qui correspond à Palo Alto Networks DNS signature qui se résout à 75.5.65.111 fonctionne très bien.
3. À partir PAN-OS de 9.0, DNS l’exécution d’une requête vers un domaine malveillant qui correspond à la signature ou au service de Palo Alto Networks DNS ne se DNS Security résout pas aux adresses de IP gouffre.
4. Ping à un domaine malveillant qui correspond à Palo Alto Networks DNS signature échoue avec erreur hôte inconnu.
Environment
- Utilisation d’un outil de nslookup client pour le système windows ou d’un outil de creusement pour le système basé sur Unix DNS pour effectuer des requêtes pour l’appariement de domaine Palo Alto Networks DNS signature
- PAN-OS 9.0 et au-dessus
- Palo Alto Firewall .
Cause
Les adresses de gouffre par défaut de Palo Alto Networks IP seront changées CNAME en PAN-OS enregistrements à partir de 9h00. Noms canoniques enregistre aka CNAME , ils agissent comme alias, pointant vers un autre nom au lieu de DNS IP .
- DNSLorsqu’une recherche vers un domaine malveillant est effectuée, elle sera retournée au lieu CNAME d’un ou A d’un AAAA enregistrement
- La sécurité et IR les équipes peuvent enquêter sur tous les clients qui demandent la résolution de ces domaines
CNAMEL’enregistrement par défaut sinkhole.paloaltonetworks.com et cela peut être mis à jour via la mise à jour du contenu.
Avant PAN-OS 9.0:
PAN-OS 9.0 et plus :
Resolution
Pour les systèmes Windows NSLOOKUP performants :
1. Lancez Windows Command Prompt en naviguant pour démarrer > commande rapide ou via Run > CMD.
2. Tapez NSLOOKUP et frappez Entrez. Le serveur par défaut est défini sur votre DNS local, l’adresse sera votre local IP .
3. Définissez DNS le type d’enregistrement que vous souhaitez rechercher en tapant le type d’ensemble=## où ## est le type d’enregistrement, puis appuyez sur Entrez. Le type d’enregistrement des ressources par défaut A est donc la raison pour laquelle nous n’obtenons pas de réponse comme indiqué précédemment. Dans ce cas, nous utiliserons le CNAME type d’enregistrement au lieu de la résolution.
4. Maintenant, entrez le nom de domaine malveillant que vous souhaitez interroger, puis appuyez sur Entrer. Il en va de même pour les domaines de test énumérés dans la documentation.
5. NSLOOKUP va maintenant retourner le record CNAME sinkhole.paloaltonetworks.com
6. Selon le comportement hôte/application/hôte infecté, une deuxième recherche peut être effectuée DNS pour obtenir l’adresse IP pour enregistrer CNAME sinkhole.paloaltonetworks.com.
7. Vous devez vous attendre à une réponse lors du ping à sinkhole.paloaltonetworks.com
ou
L’utilisation de Linux Dig (Domain Information Groper) est un outil de ligne de commande pour interroger les serveurs DNS de noms. La commande dig vous permet de interroger des informations sur divers enregistrements, y compris DNS les adresses hôtes, les échanges de courrier et les serveurs de noms. Il est l’outil le plus couramment utilisé parmi les administrateurs système pour les problèmes de DNS dépannage en raison de sa flexibilité et la facilité d’utilisation.
Additional Information
Chaque fois DNS qu’une recherche se produit qui correspond à la signature active de Palo Alto DNS Networks, un événement correspondant de type spyware sera généré dans le journal des menaces.
Référence externe sur le DNS processus de résolution des dossiers peuvent être trouvés CNAME ici.