So fügen Sie eine Ausnahme für DNS-Sicherheitsdomänen vor und nach PAN-OS 10.x.x hinzu

62819

Created On 04/15/20 19:33 PM - Last Modified 08/15/23 12:09 PM

Objective

Anmerkung: Wenn Sie der Meinung sind, dass eine Domainkategorie korrigiert werden muss, reichen Sie hier einen Änderungsantrag ein, und der Prozess wird hier definiert. Die Änderung der Domäne oder URL wird an die DNS-Sicherheitscloud und die Anti-Spyware-Datenbank weitergegeben.
Sie können jedoch eine Ausnahme hinzufügen, wie in diesem Dokument beschrieben, falls es dringend ist, dass Sie nicht auf PAN-Updates warten können. Diese Ausnahme gilt lokal für Ihre Firewall und wird keine Firewall-Neustarts propagiert.

Anmerkung: Das Hinzufügen einer DNS-Sicherheitsausnahme unterscheidet sich zwischen PAN-OS 9.x.x und PAN-OS 10.x.x oder höher. PAN-OS 9.x.x hat nicht die Möglichkeit, eine Ausnahme mit einem FQDN oder der UTID (Unique Threat ID) der DNS-Signatur hinzuzufügen, während PAN-OS >=10.x.x es uns ermöglicht, eine Ausnahme basierend auf FQDN oder UTID hinzuzufügen.

Hintergrundinformationen:
PAN-OS 9.x.x:
Wenn die DNS-Sicherheitskategorien den DNS-Verkehr blockieren, sehen wir die UTID der DNS-Sicherheit; z.B. ist die DGA-Kategorie TID 109000001.Dies bedeutet, dass verschiedene Domänen durch dieselbe UTID der DNS-Sicherheit identifiziert werden können, d.h. alle DGA-Domänen zeigen eine Bedrohungs-ID an -> 109000001.
Wenn in einer solchen Situation eine Domäne falsch positiv ist, besteht die einzige Möglichkeit darin, eine Ausnahme für die gesamte Kategorie (DGA) hinzuzufügen. Sie können jedoch eine Ausnahme für diese Domäne hinzufügen, indem Sie die UTID der DNS Security by CLI verwenden.
In diesem Artikel wird erläutert, wie Sie die Ausnahme für eine Domäne hinzufügen und gleichzeitig alle anderen Domänen unter diesen DNS-Sicherheitskategorien blockieren.

PAN-OS 10.x.x:
In PAN-OS 10.x.x kann die Ausnahme durch FQDN oder die UTID der DNS-Signatur hinzugefügt werden. Die Liste der DNS-Sicherheitskategorien finden Sie hier.

Environment

PAN-OS 9.x.x
PAN-OS 10.x.x und höher
Palo Alto Firewall
DNS-Sicherheitslizenz

Procedure

Im Folgenden finden Sie zwei mögliche Lösungen für PAN-OS 9.x.x.

Lösung:1

Sie können das Urteil der Domain in gutartig ändern oder die Domain auf die Whitelist setzen. Dies kann über die Firewall-CLI-Befehle wie folgt erfolgen.

Schritt-1:

Angenommen, die Domäne "abc.com" wird als DGA identifiziert. In diesem Fall wird eine DNS-Abfrage, die von einem Host hinter der Firewall durchgeführt wurde, in eine Sinkhole-Adresse aufgelöst.
Dies ist ein Beispiel für das Ausführen des Befehls nslookup auf einem Windows-Computer, der mit dem Netzwerk verbunden ist.

> nslookup abc.com
abc.com kanonischen Namen = sinkhole.paloaltonetworks.com.

Firewall-Bedrohungsprotokolle können wie folgt angezeigt werden.

Bedrohungsprotokolle für die als Spyware identifizierte Domäne.

Schritt-2:

Überprüfen Sie den Status der Domänenbewertung mit dem folgenden Befehl in der Firewall-CLI.

> dns-proxy dns-signature cache anzeigen | Übereinstimmung abc.com
*.abc.com C2 109000001 86327 0

Ändern Sie den Status des Domänenspruchs mit dem folgenden Befehl in gutartig.Bitte beachten Sie, dass Sie diese Domain als Whitelist zu Ihrer Palo Alto Networks Firewall hinzufügen. Dieser Eintrag ist nur lokal in Ihrer Firewall wirksam.

> debug dnsproxyd dns-signature response verdict <new verdict you want> fqdn <FQDN> ttl <Time to live> gtid <preferably higher number> match-subdomain <yes|no>

Beispiel für abc.com:

> debug dnsproxyd dns-signature response urteil Whitelist gtid 420000700 ttl 30758400 fqdn abc.com match-subdomain yes

Sie können bestätigen, dass die Domain auf der Whitelist steht. Die letzte Zahl, Null, gibt die Anzahl der Treffer für diese Domäne an.

> dns-proxy dns-signature cache anzeigen | match abc
*.abc.com Weiße Liste 420000700 30758373 0

Sie können auch bestätigen, dass das Urteil in der Datenebene in gutartig geändert wurde.

> Debug-Datenebene dns-cache print anzeigen | Spiel ABC
abc.com, Platzhalter: Ja, TTL: 0/331353/0, Temp: 0, Urteil gutartig, Harnwegsinfektion: 420000700

Schritt 3:

Senden Sie erneut eine DNS-Abfrage an dieselbe Domäne, und sie wird in die richtige IP-Adresse aufgelöst.

> nslookup abc.com Name: abc.com

Adresse: 13.227.74.129

Anmerkung: Der Cache läuft basierend auf dem TTL-Wert ab. Die maximale TTL, die wir einstellen können, beträgt 30758400 Sekunden, was einem Jahr entspricht. Der Cache kann auch beim Neustart der Firewall verschwinden.

Anmerkung: Bevor Sie die im Artikel aufgeführten Debug-Befehle ausführen, lesen Sie bitte diesen Artikel , in dem die damit verbundenen Risiken erläutert werden.

Lösung:2

Erstellen Sie eine erweiterte dynamische Liste mit den Domänen, die zugelassen werden müssen.
Warnung: Der EDL-Status sollte "alert" und nicht "allow" sein, andernfalls wird das EDL-Modul übersprungen, DNS-Sicherheitsaktion findet statt. Ich füge die Zusammenfassung hinzu, alle Details finden Sie hier .
- Wenn die EDL-Aktion auf "Zulassen" eingestellt ist, wird die EDL-Einstellung einfach ignoriert. Infolgedessen findet eine DNS-Sicherheitsaktion statt. ==> Der DNS-Verkehr kann also weiterhin von der DNS-Sicherheit blockiert werden.
- Wenn die EDL-Aktion auf "Alarm" eingestellt ist, wird die EDL-Aktion ausgeführt. Dadurch wird die DNS-Sicherheitsaktion umgangen.
- Wenn DNS-Datenverkehr zugelassen wird, wird das Bedrohungsprotokoll (TID:12000000, "Verdächtige Domäne") angezeigt, da die Aktion "Alarm" lautet. Bitte ignorieren Sie die Protokolle.

Additional Information

In der Version PAN-OS 10.x.x können Sie eine DNS-Sicherheitsausnahme entweder über den FQDN oder über die UTID der DNS-Signatur hinzufügen.

Schritt-1:

Das Hinzufügen von Ausnahmen durch den FQDN ist nützlich, wenn eine DNS-Signatur in der Cloud verfügbar ist und die UTID der DNS-Signatur im ThreatVault nicht sichtbar ist. Das bedeutet, dass die UTID der DNS-Signatur nicht bekannt ist.
Die Ausnahme kann auch für die Subdomain hinzugefügt werden, wie unten gezeigt.
Bitte gehen Sie zu Objekt -> Anti-Spyware-Profil -> DNS-Ausnahmen

CLI:

> set profiles spyware based-default botnet-domains whitelist 10yxnzg0k9f64ah804u532vwzhzq66.ipgreat.com description "allowing this domain"