Comment vérifier DNS sinkholing sur 9.0 et 9.1
Objective
Avant PAN-OS 9.0, DNS l’exécution d’une requête à un domaine malveillant qui correspond à palo Alto Networks DNS signature se résoudra à l’adresse gouffre: IP 75.5.65.111.
À PAN-OS partir de 9.0, l’exécution DNS d’une requête vers un domaine malveillant qui correspond à la signature ou au service de Palo Alto Networks DNS ne DNS Security se résout pas aux adresses de IP gouffre.
Quand une DNS recherche à un domaine malveillant est effectuée, cela sera retourné au lieu CNAME d’un A ou d’enregistrer C’est pourquoi quand vous regardez la boîte de paramètres Sinkhole vous voyez AAAA DNS Sinkhole IPv4 Palo Alto Networks Sinkhole IP (sinkhole.paloaltonetworks.com) au lieu de ce que vous avezl’habitude de voir sur les anciens OS, Palo Alto Networks Sinkhole IP (75.5.65.111)
Lors du passage de 8. OS lignes cela peut être déroutant. Nous avons l’habitude de voir l’adresse palo alto sinkhole. (75.5.65.111)
Procedure
Pour tester les fonctions DNS de gouffre, il est préférable d’obtenir URL un nouveau de la dernière liste publiée d’URL malveillantes.
Pour obtenir cette liste aller à l’onglet Périphérique et sélectionnez mises à Djour ynamic et vérifier les notes de sortie pour le contenu actuellement AV installé.
La liste s’affiche dans une nouvelle fenêtre, il suffit de faire défiler la liste jusqu’à ce que de nouvelles signatures spyware est vu.
Sélectionnez n’importe quel domaine de la liste. Assurez-vous de ne sélectionner que FQDN la signature et non la signature.
La première partie est le nom de signature Backdoor.bladabindi la deuxième moitié est la FQDN partie que vous devez utiliser pour tester.
Par exemple Backdoor.bladabindi:flexin.duckdns.org la seule partie dont vous avez besoin est flexin.duckdns.org.
Lors de l’exécution d’un Nslookup sur un firewall avecOS un de 8.1 IP nous voyons le Gouffre De Palo Alto
Maintenant, avec 9.0 nous voyons la réponse non autoritaire, mais pas d’adresse. C’est parce que la réponse est un nom de c’est pas une adresse.
Si nous tapons dans >set type=cname nous obtenons ce qui suit.
Comme vous pouvez le DNS voir, la demande renvoie maintenant le nom C sinkhole.paloaltonetworks.com.
Si vous avez besoin d’une IP adresse pour afficher, il est recommandé d’utiliser l’une de vos propres adresses de IP gouffre ou l’adresse loopback.
Le 9.0 et le 9.1 Palo Alto Networks DNS signature ou service ne se DNS Security résout pas à gouffre IP adresses. Il ne résoudra un nom de cname et seulement si vous définissez nslookup pour le montrer.
La demande sera toujours sinkholed et bloqué il ne résout tout simplement pas une IP adresse.
Si défini à l’adresse loopback ou une adresse de votre choix le retour sera cette adresse, et la demande sera toujours sinkholed.