Depuración básica DNS Security cuando faltan datos en AutoFocus la nube
50935
Created On 02/24/21 23:01 PM - Last Modified 08/13/24 08:54 AM
Objective
En este artículo, enumeramos los pasos básicos de verificación y depuración para la DNS- seguridad. Si está experimentando un problema con DNS- Seguridad, depure el problema paso a paso.
En la mayoría de los casos, le ayudará a identificar y resolver el problema, si el problema aún no se resuelve, abra un caso de soporte con el soporte técnico de Palo Alto Networks con esta información.
Environment
- Cualquier Palo Alto Firewall
- PAN-OS 9.x.x y 10.x.x
- DNS security Licencia
Procedure
A continuación se indican los pasos básicos de depuración para la verificación de DNS- configuración de características de seguridad, la licencia y la conectividad en la nube. Durante el proceso, puede identificar el problema por sí mismo, Si no, abra un caso de soporte con la siguiente información.
1. Compruebe la licencia en el Firewall
> request license info Note: The result should look like as follows. License entry: Feature: DNS Security Description: Palo Alto Networks DNS Security License Serial: xxxxxxxxxxxx Issued: January xx, 2021 Expires: January xx, 2024 Expired?: no Base license: PA-VM
2. Compruebe AutoFocus el estado visitando https://status.paloaltonetworks.com/
3. Compruebe la información de conexión
> show dns-proxy dns-signature info Note: The result should look as following: Cloud URL: dns.service.paloaltonetworks.com:443 Last Result: Good ( 46 sec ago ) Last Server Address: 130.211.8.196 Parameter Exchange: Interval 1800 sec Whitelist Refresh: Interval 86400 sec ( Due 71954 sec ) Request Waiting Transmission: 0 Request Pending Response: 0 Cache Size: 10000
4. Para que la DNS- función seguridad se habilite y funcione, la acción dns-security debe ser "sumidero", "alerta" o "bloque". Cuando se crea un nuevo perfil de spyware, la acción predeterminada viene dictada por la versión de Contenido de PaloAlto, compruebe la acción.Si la acción es "permitir", DNS security no funcionará.
- Para PAN-OS 9.x.x añadir "Palo Alto DNS Security Network" de la siguiente manera.
- Para PAN-OS 10.x.x, debe seleccionar en función de las diferentes categorías proporcionadas por DNS- Seguridad.
5. Compruebe los DNS- contadores de proxy, ya que proporcionan toneladas de información útil en varias filas de contadores, I sólo han mantenido algunos interesantes.
- En estas filas, compruebe la "consulta de API firma" donde desea comprobar la solicitud y reques_error contadores.
- Estos contadores tienen tres columnas, la primera columna es acumulativa, la segunda columna el delta desde el último número de comando de operación, la tercera columna es el delta por segundo.
- Otro contador a los avisos es la latencia. El tiempo es de milisegundos (ms), incluyendo max, min, avg, seguido de un desglose de datos con cubos.
>show dns-proxy dns-signature counters Signature query API: [request ] : 59 +7 +0 /sec [request_error ] : 0 +0 +0 /sec [initial_connection ] : 40 +6 +0 /sec [response ] : 59 +7 +0 /sec Note: Another counter to notices are latency. [latency ] : max 21 (ms) min 0(ms) avg 17(ms) 50 or less : 19 100 or less : 0 200 or less : 0 400 or less : 0 else : 0
6. El valor de latencia predeterminado es 100 ms. En caso de que vea que DNS la solicitud está cayendo en "200 o menos : 0", puede configurar "cloud-dns-timeout" como se muestra a continuación.
# set deviceconfig setting ctd cloud-dns-timeout
<value> <0-60000> set cloud DNS signature query timeout in milliseconds
7. Puede comprobar la caché para el DNS- proxy por el siguiente comando. Este comando enumerará toda la caché y puede ser una lista larga. Esto se puede reducir seleccionando solo uno.> show dns-proxy dns-signature cache ==> will bring all 10000 entries, please select one. Cache size: 10000 >show dns-proxy dns-signature cache fqdn < name for only one domain> >show dns-proxy dns-signature cache fqdn italic.com Domain Verdict GTID TTL Hits ---------------------------------------------------------------------------- *.italic.com White list 31388 0
8. Comprobación de los contadores globales, compruebe el contador global antes y después de la DNS solicitud.
admin@PA-VM> > show counter global | match ctd_dns
ctd_dns_req_lookup_action 1 0 info ctd pktproc DNS request signature lookup yield actions
ctd_dns_req_lookup_noaction 1151 0 info ctd pktproc DNS request signature lookup yield no actions
ctd_dns_req_lookup_miss 83 0 info ctd pktproc DNS request signature lookup not found
ctd_dns_wait_pkt_drop 87 0 drop ctd pktproc DNS packet drop when waiting
ctd_dns_sess_state_verify_failed 1 0 drop ctd pktproc DNS packet drop due to session state invalid
ctd_dns_malicious_reply 2 0 info ctd pktproc MP malicious response received
ctd_dns_benign_reply 72 0 info ctd pktproc MP benign response received
ctd_dns_failed_reply 10 0 info ctd pktproc MP failed response received
Note: only some lines are kept.
9. Este es uno de los comandos debug importantes que pueden probar la DNS funcionalidad desde el como este comando Firewall activará la búsqueda de la firma de Firewall MP .
This will clear the clounters. >clear dns-proxy dns-signature counters Following command is an op command that emulate the dns query from managment plan and help to check the connectivity. > debug dnsproxyd dns-signature query bypass-cache yes fqdn test-malware.testpanw.come Debug dns-signature command successful. Note: In the next command you can see the counter are increased. Output has been modified to show only the relevant counters. > show dns-proxy dns-signature counters [response_send ] : 1 +0 +0 /sec [request_enqueue ] : 1 +0 +0 /sec [request_process ] : 1 +0 +0 /sec [request_batch ] : 1 +0 +0 /sec [response_batch ] : 1 +0 +0 /sec [response_complete ] : 1 +0 +0 /sec [cloud_query ] : 1 +0 +0 /sec Signature query API: [request ] : 1 +0 +0 /sec [response ] : 1 +0 +0 /sec [latency ] : max 12 (ms) min 0(ms) avg 12(ms) 50 or less : 1 100 or less : 0 200 or less : 0 400 or less : 0 else : 0
10. Ahora seleccione un cliente que esté detrás firewall del y asegúrese de que el tráfico del cliente está golpeando el policy que tiene un perfil de spyware con DNS security habilitado. Envíe una DNS solicitud de búsqueda a un dominio malintencionado y vuelva a recopilar los contadores globales. Si los contadores están cambiando, significa que se envía y recibe una solicitud.
From PAN CLI: clear the NGFW DNS : > clear dns-proxy dns-signature cache fqdn test-malware.testpanw.com From client: $ nslookup test-malware.testpanw.com ;; connection timed out; no servers could be reached ===> most of the time it may timeout $ nslookup test-dga.testpanw.com $ nslookup test-malware.testpanw.com From Firewall: > show counter global filter delta yes | match ctd_dns ctd_dns_req_lookup_action 1 0 info ctd pktproc DNS request signature lookup yield actions ctd_dns_req_lookup_miss 1 0 info ctd pktproc DNS request signature lookup not found ctd_dns_malicious_reply 1 0 info ctd pktproc MP malicious response received ctd_dns_wildcard_reply 1 0 info ctd pktproc MP wildcard response received ctd_dns_req_lookup_em 1 0 info ctd pktproc DNS cache lookup matched ctd_dns_request_mp 1 0 info ctd pktproc number of requests sent to MP ctd_dns_telemetry_req 2 0 info ctd pktproc number of telemetry requests sent to MP ctd_dns_pkt_denied 1 0 info ctd pktproc number of DNS pkt denied ctd_dns_action_block 2 0 info ctd pktproc DNS signature trigger block action ctd_dns_action_log 2 0 info ctd pktproc DNS signature trigger log action ctd_dns_action_pktlog 2 0 info ctd pktproc DNS signature trigger packet capture action11. Inicie sesión en su AutoFocus y compruebe la DNS Security pestaña, si el dns-se está trabajando correctamente usted será capaz de ver su DNS solicitud de consulta.
12. Adjunte toda esta información a un caso de soporte.
Additional Information
Cómo configurar cómo DNS security
agregar una excepción para un solo dominio mientras se bloquea la DGA DGA categoría