Comment ajouter une exception pour les domaines de sécurité DNS avant et après PAN-OS 10.x.x
62871
Created On 04/15/20 19:33 PM - Last Modified 08/15/23 12:09 PM
Objective
Note: Si vous pensez qu'une catégorie de domaine doit être corrigée, soumettez une « demande de modification » ici, et le processus est défini ici. Le changement de domaine ou d’URL se propage à la base de données DNS Security Cloud et Anti-Spyware.
Cependant, vous pouvez ajouter une exception comme décrit dans ce document au cas où il est urgent que vous ne pouvez pas attendre les mises à jour PAN. Cette exception est locale à votre pare-feu et ne propage pas les redémarrages du pare-feu.
Note: L’ajout d’une exception de sécurité DNS diffère entre PAN-OS 9.x.x et PAN-OS 10.x.x ou version ultérieure. PAN-OS 9.x.x n'a pas la possibilité d'ajouter une exception à l'aide d'un nom de domaine complet ou de l'UTID (Unique Threat ID) de la signature DNS, tandis que PAN-OS >=10.x.x nous permet d'ajouter une exception basée sur FQDN ou UTID.
Informations générales
:PAN-OS 9.x.x :
Lorsque les catégories de sécurité DNS bloquent le trafic DNS, nous voyons l’UTID de la sécurité DNS ; par exemple, la catégorie DGA TID est 109000001.Cela signifie que différents domaines peuvent être identifiés par le même UTID de la sécurité DNS, c’est-à-dire que tous les domaines DGA afficheront un ID de menace -> 109000001.
Dans une telle situation, si un domaine est faussement positif, la seule option est d’ajouter une exception pour l’ensemble de la catégorie (DGA). Toutefois, vous pouvez ajouter une exception pour ce domaine à l’aide de l’UTID de l’interface de ligne de commande DNS Security by CLI.
Cet article explique comment ajouter l’exception pour un domaine tout en bloquant tous les autres domaines sous ces catégories de sécurité DNS.
PAN-OS 10.x.x :
Dans PAN-OS 10.x.x, l’exception peut être ajoutée par nom de domaine complet ou par l’UTID de la signature DNS. La liste des catégories de sécurité DNS peut être trouvée ici.
Environment
- PAN-OS 9.x.x
- PAN-OS 10.x.x et versions ultérieures
- Pare-feu De Palo Alto
- Licence de sécurité DNS
Procedure
Voici deux solutions possibles pour PAN-OS 9.x.x.
Solution:1
Vous pouvez modifier le verdict du domaine en bénin ou en liste blanche du domaine. Cela peut être fait à partir des commandes CLI du pare-feu comme suit.
Étape 1 :
- Supposons que le domaine 'abc.com' soit identifié comme DGA. dans ce cas, si une requête DNS a été effectuée par un hôte derrière le pare-feu, elle sera résolue dans une adresse de gouffre.
- Il s’agit d’un exemple d’exécution de la commande nslookup sur une machine Windows connectée au réseau.
> nslookup abc.com abc.com
nom canonique = sinkhole.paloaltonetworks.com.
- Les journaux de menace pare-feu peuvent être considérés comme suit.
Étape-2:
- Vérifiez l’état du verdict de domaine à l’aide de la commande suivante sur l’interface de ligne de commande du pare-feu.
> afficher le cache de signatures DNS proxy DNS | match abc.com*.abc.com
C2 109000001 86327 0
- Modifier le statut du verdict de domaine à bénigne par la commande suivante.Veuillez noter que vous ajoutez ce domaine en tant que liste blanche sur votre pare-feu Palo Alto Networks. Cette entrée ne sera efficace que sur votre pare-feu localement.
> debug dnsproxyd dns-signature response verdict <new verdict you want> fqdn <FQDN> ttl <Time to live> gtid <preferably higher number> match-subdomain <yes|no>
Exemple pour abc.com :
> déboguer dnsproxyd réponse de signature dns verdict Liste blanche gtid 420000700 ttl 30758400 fqdn abc.com match-subdomain yes
- Vous pouvez confirmer que le domaine est sur liste blanche. Le dernier chiffre, zéro indique le nombre d’accès à ce domaine.
> afficher le cache de signatures DNS proxy DNS | match abc
*.abc.com Liste blanche 420000700 30758373 0
- Vous pouvez également confirmer que le verdict est modifié en bénin dans le plan de données.
> plan de données de débogage afficher l’impression du cache DNS | Match ABC
abc.com, Wildcard: Oui, TTL: 0/331353/0, Temp: 0, Verdict bénin, UTI: 420000700
Étape 3 :
- Envoyez à nouveau une requête DNS sur le même domaine et elle sera résolue à l’adresse IP correcte.
> nslookup abc.com
Nom: abc.com
Adresse: 13.227.74.129
Note: Le cache expirera en fonction de la valeur TTL. La durée de vie maximale que nous pouvons définir est de 30758400 sec, soit un an. Le cache peut également disparaître lors du redémarrage du pare-feu.
Note: Avant d’exécuter les commandes de débogage répertoriées dans l’article, veuillez consulter cet article qui explique les risques encourus.
Solution :2
- Créez une liste dynamique étendue avec les domaines qui doivent être autorisés.
- Avertissement: Le statut EDL doit être « alerte » et non « autoriser » sinon, le module EDL sera ignoré, l’action DNS-Security aura lieu. J’ajoute le résumé, vous pouvez trouver tous les détails ici .
- Lorsque l'action EDL est définie sur 'allow., le paramètre EDL est simplement ignoré. Par conséquent, une action de sécurité DNS a lieu. ==> Ainsi, le trafic DNS peut toujours être bloqué par la sécurité DNS.
- Lorsque l'action EDL est définie sur « alerter », l'action EDL a lieu. Par conséquent, l’action de sécurité DNS est contournée.
- Lorsque le trafic DNS est autorisé, vous verrez le journal des menaces (TID: 12000000, « Domaine suspect ») car l'action est « alerte ». Veuillez ignorer les journaux.
Additional Information
Dans la version PAN-OS 10.x.x, vous pouvez ajouter une exception de sécurité DNS par nom de domaine complet ou par l’UTID de la signature DNS.
Étape 1 :
- L’ajout d’exceptions par le nom de domaine complet est utile lorsqu’une signature DNS est disponible dans le cloud et que l’UTID de la signature DNS n’est pas visible à partir de ThreatVault. Cela signifie que l’UTID de la signature DNS n’est pas connu.
- L’exception peut également être ajoutée sur le sous-domaine comme indiqué ci-dessous.
- Accédez à Objet -> Profil anti-spyware -> Exceptions DNS
- CLI:
> set profiles spyware based-default botnet-domains whitelist 10yxnzg0k9f64ah804u532vwzhzq66.ipgreat.com description "allowing this domain"
- Si l’UTID de la signature DNS est connu, une exception peut être ajoutée par l’UTID.
- CLI:
> set profiles spyware based-default threat-exception 78069521 action allow
Remarque: La commande ci-dessous peut s’exécuter à partir de Panorama pour appliquer une exception:
# set shared profiles spyware XXX threat-exception XXXX action allow