Grundlegendes DNS Security Debuggen, wenn Daten in der Cloud fehlen AutoFocus
50943
Created On 02/24/21 23:01 PM - Last Modified 08/13/24 08:54 AM
Objective
In diesem Artikel listen wir grundlegende Überprüfungs- und Debugschritte für die DNS- Sicherheit auf. Wenn ein Problem mit DNS- Security auftritt, debuggen Sie das Problem bitte Schritt für Schritt.
In den meisten Fällen wird es Ihnen helfen, das Problem zu identifizieren und zu lösen, wenn das Problem immer noch nicht behoben ist, öffnen Sie bitte einen Support-Fall mit Palo Alto Networks Support mit diesen Informationen.
Environment
- Jedes Palo Alto Firewall
- PAN-OS 9.x.x und 10.x.x
- DNS security Lizenz
Procedure
Im Folgenden finden Sie grundlegende Debugschritte für die DNS- Überprüfung der Sicherheitsfunktion, Lizenz und Cloudkonnektivität. Während des Prozesses können Sie das Problem selbst identifizieren, Wenn nicht, öffnen Sie bitte einen Support-Fall mit den folgenden Informationen.
1. Überprüfen Sie die Lizenz auf der Firewall
> request license info Note: The result should look like as follows. License entry: Feature: DNS Security Description: Palo Alto Networks DNS Security License Serial: xxxxxxxxxxxx Issued: January xx, 2021 Expires: January xx, 2024 Expired?: no Base license: PA-VM
2. Überprüfen Sie AutoFocus den Status, indem Sie https://status.paloaltonetworks.com/
3 besuchen. Überprüfen der Verbindungsinformationen
> show dns-proxy dns-signature info Note: The result should look as following: Cloud URL: dns.service.paloaltonetworks.com:443 Last Result: Good ( 46 sec ago ) Last Server Address: 130.211.8.196 Parameter Exchange: Interval 1800 sec Whitelist Refresh: Interval 86400 sec ( Due 71954 sec ) Request Waiting Transmission: 0 Request Pending Response: 0 Cache Size: 10000
4. Damit die DNS- Sicherheitsfunktion aktiviert und funktioniert, sollte die dns-Security-Aktion "Sinkhole", "alert" oder "block" sein. Wenn ein neues Spyware-Profil erstellt wird, wird die Standardaktion durch die PaloAlto Content-Version diktiert, überprüfen Sie bitte die Aktion.Wenn die Aktion "zulassen" ist, DNS security funktioniert sie nicht.
- Für PAN-OS 9.x.x fügen Sie "Palo Alto Network DNS Security " wie folgt hinzu.
- Für PAN-OS 10.x.x sollten Sie basierend auf den verschiedenen Kategorien auswählen, die von Security bereitgestellt DNS- werden.
5. Überprüfen Sie die DNS- Proxy-Zähler, wie sie Tonnen von nützlichen Informationen in mehreren Reihen von Zählern liefern, I haben nur ein paar interessante gehalten.
- Überprüfen Sie in diesen Zeilen die "Signaturabfrage", in der API Sie die Anforderung überprüfen möchten, und reques_error Leistungsindikatoren.
- Diese Leistungsindikatoren haben drei Spalten, die erste Spalte ist kumulativ, die zweite Spalte das Delta seit der letzten Ausgabe des Op-Befehls, die dritte Spalte ist das Delta pro Sekunde.
- Ein weiterer Zähler für Mitteilungen ist die Latenz. Die Zeit ist in Millisekunde (ms), einschließlich max, min, avg, gefolgt von einer Bucketed-Aufschlüsselung von Daten.
>show dns-proxy dns-signature counters Signature query API: [request ] : 59 +7 +0 /sec [request_error ] : 0 +0 +0 /sec [initial_connection ] : 40 +6 +0 /sec [response ] : 59 +7 +0 /sec Note: Another counter to notices are latency. [latency ] : max 21 (ms) min 0(ms) avg 17(ms) 50 or less : 19 100 or less : 0 200 or less : 0 400 or less : 0 else : 0
6. Der Standard-Latenzwert ist 100ms. Falls Sie sehen, dass DNS die Anforderung in "200 oder weniger : 0" fällt, können Sie "cloud-dns-timeout" wie folgt konfigurieren.
# set deviceconfig setting ctd cloud-dns-timeout
<value> <0-60000> set cloud DNS signature query timeout in milliseconds
7. Sie können den Cache auf DNS- Proxy mit dem folgenden Befehl überprüfen. Dieser Befehl listet den gesamten Cache auf und kann eine lange Liste sein. Dies kann reduziert werden, indem Nur eine ausgewählt wird.> show dns-proxy dns-signature cache ==> will bring all 10000 entries, please select one. Cache size: 10000 >show dns-proxy dns-signature cache fqdn < name for only one domain> >show dns-proxy dns-signature cache fqdn italic.com Domain Verdict GTID TTL Hits ---------------------------------------------------------------------------- *.italic.com White list 31388 0
8. Überprüfen Sie die globalen Leistungsindikatoren, überprüfen Sie den globalen Zähler vor und nach der DNS Anforderung.
admin@PA-VM> > show counter global | match ctd_dns
ctd_dns_req_lookup_action 1 0 info ctd pktproc DNS request signature lookup yield actions
ctd_dns_req_lookup_noaction 1151 0 info ctd pktproc DNS request signature lookup yield no actions
ctd_dns_req_lookup_miss 83 0 info ctd pktproc DNS request signature lookup not found
ctd_dns_wait_pkt_drop 87 0 drop ctd pktproc DNS packet drop when waiting
ctd_dns_sess_state_verify_failed 1 0 drop ctd pktproc DNS packet drop due to session state invalid
ctd_dns_malicious_reply 2 0 info ctd pktproc MP malicious response received
ctd_dns_benign_reply 72 0 info ctd pktproc MP benign response received
ctd_dns_failed_reply 10 0 info ctd pktproc MP failed response received
Note: only some lines are kept.
9. Dies ist einer der wichtigen Debugbefehle, die die Funktionalität von der testen können, DNS da dieser Befehl die Firewall Signatursuche von aus Firewall MP löst.
This will clear the clounters. >clear dns-proxy dns-signature counters Following command is an op command that emulate the dns query from managment plan and help to check the connectivity. > debug dnsproxyd dns-signature query bypass-cache yes fqdn test-malware.testpanw.come Debug dns-signature command successful. Note: In the next command you can see the counter are increased. Output has been modified to show only the relevant counters. > show dns-proxy dns-signature counters [response_send ] : 1 +0 +0 /sec [request_enqueue ] : 1 +0 +0 /sec [request_process ] : 1 +0 +0 /sec [request_batch ] : 1 +0 +0 /sec [response_batch ] : 1 +0 +0 /sec [response_complete ] : 1 +0 +0 /sec [cloud_query ] : 1 +0 +0 /sec Signature query API: [request ] : 1 +0 +0 /sec [response ] : 1 +0 +0 /sec [latency ] : max 12 (ms) min 0(ms) avg 12(ms) 50 or less : 1 100 or less : 0 200 or less : 0 400 or less : 0 else : 0
10. Wählen Sie nun einen Client aus, der sich hinter dem befindet, firewall und stellen Sie sicher, dass der Clientdatenverkehr auf die trifft, die policy ein Spyware-Profil mit DNS security aktiviert hat. Senden Sie eine DNS Suchanforderung an eine böswillige Domäne, und sammeln Sie die globalen Leistungsindikatoren erneut. Wenn sich die Leistungsindikatoren ändern, bedeutet dies, dass eine Anforderung gesendet und empfangen wird.
From PAN CLI: clear the NGFW DNS : > clear dns-proxy dns-signature cache fqdn test-malware.testpanw.com From client: $ nslookup test-malware.testpanw.com ;; connection timed out; no servers could be reached ===> most of the time it may timeout $ nslookup test-dga.testpanw.com $ nslookup test-malware.testpanw.com From Firewall: > show counter global filter delta yes | match ctd_dns ctd_dns_req_lookup_action 1 0 info ctd pktproc DNS request signature lookup yield actions ctd_dns_req_lookup_miss 1 0 info ctd pktproc DNS request signature lookup not found ctd_dns_malicious_reply 1 0 info ctd pktproc MP malicious response received ctd_dns_wildcard_reply 1 0 info ctd pktproc MP wildcard response received ctd_dns_req_lookup_em 1 0 info ctd pktproc DNS cache lookup matched ctd_dns_request_mp 1 0 info ctd pktproc number of requests sent to MP ctd_dns_telemetry_req 2 0 info ctd pktproc number of telemetry requests sent to MP ctd_dns_pkt_denied 1 0 info ctd pktproc number of DNS pkt denied ctd_dns_action_block 2 0 info ctd pktproc DNS signature trigger block action ctd_dns_action_log 2 0 info ctd pktproc DNS signature trigger log action ctd_dns_action_pktlog 2 0 info ctd pktproc DNS signature trigger packet capture action11. Melden Sie sich bei Ihnen an AutoFocus und überprüfen Sie die DNS Security Registerkarte, wenn die DNS-sec richtig funktioniert, können Sie Ihre DNS Abfrageanfrage sehen.
12. Bitte fügen Sie alle diese Informationen an einen Support-Fall an.
Additional Information
Konfigurieren der DNS security
Möglichkeit, eine Ausnahme für nur eine Domäne DGA hinzuzufügen, während die DGA Kategorie blockiert wird