Cómo agregar una excepción para dominios de seguridad DNS antes y después de PAN-OS 10.x.x

62891

Created On 04/15/20 19:33 PM - Last Modified 08/15/23 12:09 PM

Objective

Nota: Si cree que alguna categoría de dominio necesita ser corregida, envíe una "solicitud de cambio" aquí, y el proceso se define aquí. El cambio en el dominio o la URL se propagará a la nube de seguridad de DNS y a la base de datos Anti-Spyware.
Sin embargo, puede agregar una excepción como se describe en este documento en caso de que sea urgente que no pueda esperar a las actualizaciones de PAN. Esta excepción es local para su firewall y no propagará los reinicios del firewall.

Nota: Agregar una excepción de seguridad DNS difiere entre PAN-OS 9.x.x y PAN-OS 10.x.x o superior. PAN-OS 9.x.x no tiene la opción de agregar una excepción usando un FQDN o el UTID (ID de amenaza único) de la firma DNS, mientras que PAN-OS >=10.x.x nos permite agregar una excepción basada en FQDN o UTID.

Información general:
PAN-OS 9.x.x:
Cuando las categorías DNS Security bloquean el tráfico DNS, vemos el UTID de DNS Security; por ejemplo, la categoría DGA TID es 109000001.Esto significa que diferentes dominios pueden ser identificados por el mismo UTID de la seguridad DNS, es decir, todos los dominios DGA mostrarán un ID de amenaza -> 109000001.
En tal situación, si un dominio es falso positivo, la única opción es agregar una excepción para toda la categoría (DGA). Sin embargo, puede agregar una excepción para ese dominio mediante el UTID de la seguridad de DNS por CLI.
En este artículo se explica cómo agregar la excepción para un dominio mientras se bloquean todos los demás dominios en esas categorías de seguridad DNS.

PAN-OS 10.x.x:
En PAN-OS 10.x.x, la excepción se puede agregar mediante FQDN o el UTID de la firma DNS. La lista de las categorías de seguridad de DNS se puede encontrar aquí.

Environment

PAN-OS 9.x.x
PAN-OS 10.x.x y superior
Palo Alto Firewall
Licencia de seguridad DNS

Procedure

A continuación se presentan dos posibles soluciones para PAN-OS 9.x.x.

Solución:1

Puede cambiar el veredicto del dominio a benigno o incluir el dominio en la lista blanca. Esto se puede hacer desde los comandos de la CLI del firewall de la siguiente manera.

Paso 1:

Supongamos que el dominio 'abc.com' se identifica como DGA. en este caso, si cualquier host detrás del firewall realizó una consulta DNS, se resolverá en una dirección de sumidero.
Este es un ejemplo de ejecución del comando nslookup en una máquina con Windows que está conectada a la red.

> nslookup abc.com abc.com
nombre canónico = sinkhole.paloaltonetworks.com.

Los registros de amenazas del cortafuegos se pueden ver de la siguiente manera.

Registros de amenazas para el dominio identificado como spyware.

Paso-2:

Compruebe el estado del veredicto de dominio mediante el siguiente comando en la CLI del firewall.

> mostrar caché de firmas DNS de proxy DNS | coincidencia abc.com
*.abc.com C2 109000001 86327 0

Cambie el estado del veredicto de dominio a benigno mediante el siguiente comando.Tenga en cuenta que está agregando este dominio como una lista blanca en su firewall de Palo Alto Networks. Esta entrada solo será efectiva en su Firewall localmente.

> debug dnsproxyd dns-signature response verdict <new verdict you want> fqdn <FQDN> ttl <Time to live> gtid <preferably higher number> match-subdomain <yes|no>

Ejemplo para abc.com:

> debug dnsproxyd dns-signature response verdict Whitelist gtid 420000700 ttl 30758400 fqdn abc.com match-subdomain yes

Puede confirmar que el dominio está en la lista blanca. El último número, cero, indica el número de visitas a este dominio.

> mostrar caché de firmas DNS de proxy DNS | match abc
*.abc.com Lista blanca 420000700 30758373 0

También puede confirmar que el veredicto se cambia a benigno en el plano de datos.

> debug dataplane show dns-cache print | Match ABC
abc.com, comodín: sí, TTL: 0/331353/0, temp: 0, veredicto benigno, UTID: 420000700

Paso 3:

Envíe una consulta DNS de nuevo en el mismo dominio y se resolverá en la dirección IP correcta.

> nslookup abc.com Nombre: abc.com

Dirección: 13.227.74.129

Nota: La memoria caché caducará en función del valor TTL. El TTL máximo que podemos establecer es de 30758400 seg, que es un año. La caché también puede desaparecer al reiniciar el firewall.

Nota: Antes de ejecutar los comandos de depuración enumerados en el artículo, consulte este artículo que explica los riesgos involucrados.

Solución:2

Cree una lista dinámica extendida con los dominios que deben permitirse.
Advertencia: El estado de EDL debe ser "alerta" no "permitir", de lo contrario, el módulo EDL se saltará, se llevará a cabo la acción DNS-Security. Estoy agregando el resumen, puedes encontrar todos los detalles aquí .
- Cuando la acción EDL se establece en 'permitir., la configuración EDL simplemente se ignora. Como resultado, se lleva a cabo una acción de seguridad DNS. ==> Por lo tanto, el tráfico DNS todavía puede ser bloqueado por DNS Security.
- Cuando la acción EDL se establece en 'alertar', la acción EDL tiene lugar. Como resultado, se omite la acción de seguridad DNS.
- Cuando se permite el tráfico DNS, verá el registro de amenazas (TID: 12000000, "Dominio sospechoso") debido a que la acción es 'alerta'. Por favor, ignore los registros.

Additional Information

En la versión PAN-OS 10.x.x, puede agregar una excepción de seguridad DNS mediante FQDN o mediante el UTID de la firma DNS.

Paso 1:

Agregar excepciones por el FQDN es útil cuando una firma DNS está disponible en la nube y el UTID de la firma DNS no es visible desde ThreatVault. Eso significa que no se conoce el UTID de la firma DNS.
La excepción también se puede agregar en el subdominio como se muestra a continuación.
Vaya a Objeto -> Perfil antispyware -> Excepciones de DNS

CLI:

> set profiles spyware based-default botnet-domains whitelist 10yxnzg0k9f64ah804u532vwzhzq66.ipgreat.com description "allowing this domain"