如何在 PAN-OS 10.xx 之前和之后添加 DNS 安全域的例外

如何在 PAN-OS 10.xx 之前和之后添加 DNS 安全域的例外

62881
Created On 04/15/20 19:33 PM - Last Modified 08/15/23 12:09 PM


Objective


笔记:如果您认为任何域名类别需要更正,请提交“更改请求”这里,并且过程被定义这里。 域或 URL 的更改将传播到 DNS 安全云和反间谍软件数据库。
但是,如果您迫不及待地等待 PAN 更新,您可以按照本文档中的说明添加例外。 此异常是您的防火墙本地的,并且不会传播防火墙重新启动。

笔记:添加 DNS 安全例外在 PAN-OS 9.xx 和 PAN-OS 10.xx 或更高版本之间有所不同。 PAN-OS 9.xx 无法选择使用 FQDN 或 DNS 签名的 UTID(唯一威胁 ID)添加例外,而 PAN-OS >=10.xx 允许我们基于 FQDN 添加例外或 UTID。

背景资料:
泛操作系统 9.xx:
当 DNS 安全类别阻止 DNS 流量时,我们会看到 DNS 安全的 UTID;例如,DGA 类别 TID 为 109000001。这意味着不同的域可以通过 DNS 安全性的相同 UTID 来识别,即所有 DGA 域都将显示一个威胁 ID -> 109000001。
在这种情况下,如果某个域误报,唯一的选择是为整个类别(DGA)添加例外。 但是,您可以通过 CLI 使用 DNS 安全性的 UTID 为该域添加例外。
本文介绍如何为一个域添加例外,同时阻止该 DNS 安全类别下的所有其他域。

泛操作系统 10.xx:
在 PAN-OS 10.xx 中,可以通过 FQDN 或 DNS 签名的 UTID 添加例外。 可以找到 DNS 安全类别列表这里

Environment


  • 泛操作系统 9.xx
  • 泛操作系统 10.xx 及更高版本
  • 帕洛阿尔托防火墙
  • DNS安全许可证

Procedure


以下是 PAN-OS 9.xx 的两种可能的解决方案
 

解决方案:1

您可以将域的判定更改为良性域或将域列入白名单。 这可以通过防火墙 CLI 命令来完成,如下所示。

步骤1:

  • 假设域“abc.com”被识别为 DGA。在这种情况下,如果防火墙后面的任何主机发出 DNS 查询,它将被解析为污水坑地址。
  • 这是一个运行的例子查找连接到网络的 Windows 计算机上的命令。

> nslookup abc.com
abc.com 规范名称 = sinkhole.paloaltonetworks.com。

 
  • 防火墙威胁日志可以看到如下。
被识别为间谍软件的域的威胁日志。  
 

第2步:

  • 在防火墙 CLI 上通过以下命令检查域判定的状态。

> 显示 dns 代理 dns 签名缓存 |匹配 abc.com
*.abc.com C2 109000001 86327 0

 
  • 通过以下命令将域判定的状态更改为良性。请注意,您正在将此域添加为帕洛阿尔托网络防火墙上的白名单。 此条目仅在您本地的防火墙上有效。
> debug dnsproxyd dns-signature response verdict <new verdict you want> fqdn <FQDN> ttl <Time to live> gtid <preferably higher number> match-subdomain <yes|no>
abc.com 的示例:

>> 调试 dnsproxyd dns 签名响应判决白名单 gtid 420000700 ttl 30758400 fqdn abc.com 匹配子域是

 
  • 您可以确认该域已列入白名单。 最后一个数字零表示该域的点击数。   

> 显示 dns 代理 dns 签名缓存 |匹配 abc
*.abc.com 白名单 420000700 30758373 0

 
  • 您还可以确认数据平面中的判决已更改为良性。

> 调试数据平面显示 dns-cache 打印 |匹配 abc
abc.com,通配符:是,ttl:0/331353/0,临时:0,判决良性,utid:420000700

 

步骤3

  • 在同一域上再次发送 DNS 查询,它将解析为正确的 IP 地址。

> nslookup abc.com
名称: abc.com
地址:13.227.74.129


笔记:缓存将根据 TTL 值过期。 我们可以设置的最大 TTL 是 30758400 秒,即一年。 防火墙重新启动后缓存也可能消失。

笔记:在运行本文中列出的任何调试命令之前,请先阅读本文这解释了所涉及的风险。


解决方案:2

  • 创建一个扩展动态列表与需要允许的域。
  • 警告: EDL 状态应为“警报”而不是“允许”,否则 EDL 模块将跳过,DNS 安全操作将发生。 我正在添加摘要,您可以找到完整的详细信息这里
    • 当 EDL 操作设置为 '允许。, EDL 设置将被忽略。 结果,DNS 安全操作发生。 ==> 所以,DNS流量还是可以的被阻止通过 DNS 安全。
    • 当 EDL 操作设置为 '警报。' EDL 操作发生。 结果,DNS 安全操作被绕过。
    • 当 DNS 流量为允许,您将看到威胁日志(TID:12000000,“可疑域”),因为操作是“警报”。 请忽略日志。

 

Additional Information


在 PAN-OS 10.xx 版本中,您可以通过 FQDN 或 DNS 签名的 UTID 添加 DNS 安全例外。
步骤1
  • 当 DNS 签名在云中可用并且 DNS 签名的 UTID 在 ThreatVault 中不可见时,通过 FQDN 添加例外非常有用。 这意味着 DNS 签名的 UTID 未知。
  • 也可以在子域上添加例外,如下所示。
  • 请转至对象 -> 反间谍软件配置文件 -> DNS 例外
用户添加的图像
  • 命令行界面:
> set profiles spyware based-default botnet-domains whitelist 10yxnzg0k9f64ah804u532vwzhzq66.ipgreat.com description "allowing this domain"
 
第2步:
  • 如果 DNS 签名的 UTID 已知,则可以通过 UTID 添加例外。
用户添加的图像
  • 命令行界面:
> set profiles spyware based-default threat-exception 78069521 action allow



注意:以下命令可以从全景运行以应用例外:

            # set shared profiles spyware XXX threat-exception XXXX action allow

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPdBCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language