Débogage de base DNS Security lorsque les données sont manquantes dans le AutoFocus cloud
50939
Created On 02/24/21 23:01 PM - Last Modified 08/13/24 08:54 AM
Objective
Dans cet article, nous énumérons les étapes de vérification et de débogage de base pour la DNS- sécurité. Si vous rencontrez un problème avec DNS- Security, veuillez déboger le problème étape par étape.
Dans la plupart des cas, il vous aidera à identifier et résoudre le problème, si le problème n’est toujours pas résolu s’il vous plaît ouvrir un cas de soutien avec Palo Alto Networks Support avec ces informations.
Environment
- N’importe quel Palo Alto Firewall
- PAN-OS 9.x.x et 10.x.x
- DNS security Licence
Procedure
Voici les étapes de débogage de base pour DNS- la vérification de configuration des fonctionnalités de sécurité, la licence et la connectivité cloud. Au cours du processus, vous pouvez identifier le problème par vous-même, sinon, s’il vous plaît ouvrir un cas de soutien avec les informations suivantes.
1. Vérifiez la licence sur le Firewall
> request license info Note: The result should look like as follows. License entry: Feature: DNS Security Description: Palo Alto Networks DNS Security License Serial: xxxxxxxxxxxx Issued: January xx, 2021 Expires: January xx, 2024 Expired?: no Base license: PA-VM
2. Vérifiez AutoFocus l’état en visitant https://status.paloaltonetworks.com/
3. Vérifiez les informations de connexion
> show dns-proxy dns-signature info Note: The result should look as following: Cloud URL: dns.service.paloaltonetworks.com:443 Last Result: Good ( 46 sec ago ) Last Server Address: 130.211.8.196 Parameter Exchange: Interval 1800 sec Whitelist Refresh: Interval 86400 sec ( Due 71954 sec ) Request Waiting Transmission: 0 Request Pending Response: 0 Cache Size: 10000
4. Pour que DNS- la fonction de sécurité soit activée et fonctionne, l’action de sécurité dns doit être « gouffre », « alerte », ou « bloc ». Lorsqu’un nouveau profil de logiciel espion est créé, l’action par défaut est dictée par la version PaloAlto Content, veuillez vérifier l’action.Si l’action est « permettre », DNS security ne fonctionnera pas.
- Pour PAN-OS 9.x.x ajouter « Palo Alto DNS Security Network » comme suit.
- Pour PAN-OS 10.x.x, vous devez sélectionner en fonction des différentes catégories fournies par DNS- Security.
5. Vérifiez les DNS- compteurs proxy car ils fournissent des tonnes d’informations utiles dans plusieurs rangées de compteurs, I n’ont gardé que quelques intéressants.
- À partir de ces lignes, vérifiez la « requête de signature API » où vous souhaitez vérifier la demande, et reques_error compteurs.
- Ces compteurs ont trois colonnes, la première colonne est cumulative, la deuxième colonne le delta depuis le dernier numéro de l’op-command, la troisième colonne est le delta par seconde.
- Un autre contrepoids aux avis est la latence. Le temps est en milliseconde (ms), y compris max, min, avg, suivie d’une panne seau de données.
>show dns-proxy dns-signature counters Signature query API: [request ] : 59 +7 +0 /sec [request_error ] : 0 +0 +0 /sec [initial_connection ] : 40 +6 +0 /sec [response ] : 59 +7 +0 /sec Note: Another counter to notices are latency. [latency ] : max 21 (ms) min 0(ms) avg 17(ms) 50 or less : 19 100 or less : 0 200 or less : 0 400 or less : 0 else : 0
6. La valeur de latence par défaut est de 100ms. Dans le cas DNS où vous voyez la demande tombe dans« 200 ou moins: 0 », vous pouvez configurer « cloud-dns-timeout » comme suit.
# set deviceconfig setting ctd cloud-dns-timeout
<value> <0-60000> set cloud DNS signature query timeout in milliseconds
7. Vous pouvez vérifier le cache pour DNS- proxy par la commande suivante. Cette commande énumére tous les caches et peut être une longue liste. Cela peut être réduit en sélectionnant un seul.> show dns-proxy dns-signature cache ==> will bring all 10000 entries, please select one. Cache size: 10000 >show dns-proxy dns-signature cache fqdn < name for only one domain> >show dns-proxy dns-signature cache fqdn italic.com Domain Verdict GTID TTL Hits ---------------------------------------------------------------------------- *.italic.com White list 31388 0
8. Vérifiez les compteurs mondiaux, vérifiez le compteur global avant et après la DNS demande.
admin@PA-VM> > show counter global | match ctd_dns
ctd_dns_req_lookup_action 1 0 info ctd pktproc DNS request signature lookup yield actions
ctd_dns_req_lookup_noaction 1151 0 info ctd pktproc DNS request signature lookup yield no actions
ctd_dns_req_lookup_miss 83 0 info ctd pktproc DNS request signature lookup not found
ctd_dns_wait_pkt_drop 87 0 drop ctd pktproc DNS packet drop when waiting
ctd_dns_sess_state_verify_failed 1 0 drop ctd pktproc DNS packet drop due to session state invalid
ctd_dns_malicious_reply 2 0 info ctd pktproc MP malicious response received
ctd_dns_benign_reply 72 0 info ctd pktproc MP benign response received
ctd_dns_failed_reply 10 0 info ctd pktproc MP failed response received
Note: only some lines are kept.
9. C’est l’une des commandes importantes de débogage qui peuvent tester la fonctionnalité de DNS la comme cette commande Firewall déclenchera la recherche de signature de Firewall MP .
This will clear the clounters. >clear dns-proxy dns-signature counters Following command is an op command that emulate the dns query from managment plan and help to check the connectivity. > debug dnsproxyd dns-signature query bypass-cache yes fqdn test-malware.testpanw.come Debug dns-signature command successful. Note: In the next command you can see the counter are increased. Output has been modified to show only the relevant counters. > show dns-proxy dns-signature counters [response_send ] : 1 +0 +0 /sec [request_enqueue ] : 1 +0 +0 /sec [request_process ] : 1 +0 +0 /sec [request_batch ] : 1 +0 +0 /sec [response_batch ] : 1 +0 +0 /sec [response_complete ] : 1 +0 +0 /sec [cloud_query ] : 1 +0 +0 /sec Signature query API: [request ] : 1 +0 +0 /sec [response ] : 1 +0 +0 /sec [latency ] : max 12 (ms) min 0(ms) avg 12(ms) 50 or less : 1 100 or less : 0 200 or less : 0 400 or less : 0 else : 0
10. Maintenant, sélectionnez un client qui est derrière le firewall et assurez-vous que le trafic client frappe le policy qui a un profil de logiciel espion avec DNS security activé. Envoyez une DNS demande de recherche à un domaine malveillant et récupérez à nouveau les compteurs mondiaux. Si les compteurs changent, cela signifie qu’une demande est envoyée et reçue.
From PAN CLI: clear the NGFW DNS : > clear dns-proxy dns-signature cache fqdn test-malware.testpanw.com From client: $ nslookup test-malware.testpanw.com ;; connection timed out; no servers could be reached ===> most of the time it may timeout $ nslookup test-dga.testpanw.com $ nslookup test-malware.testpanw.com From Firewall: > show counter global filter delta yes | match ctd_dns ctd_dns_req_lookup_action 1 0 info ctd pktproc DNS request signature lookup yield actions ctd_dns_req_lookup_miss 1 0 info ctd pktproc DNS request signature lookup not found ctd_dns_malicious_reply 1 0 info ctd pktproc MP malicious response received ctd_dns_wildcard_reply 1 0 info ctd pktproc MP wildcard response received ctd_dns_req_lookup_em 1 0 info ctd pktproc DNS cache lookup matched ctd_dns_request_mp 1 0 info ctd pktproc number of requests sent to MP ctd_dns_telemetry_req 2 0 info ctd pktproc number of telemetry requests sent to MP ctd_dns_pkt_denied 1 0 info ctd pktproc number of DNS pkt denied ctd_dns_action_block 2 0 info ctd pktproc DNS signature trigger block action ctd_dns_action_log 2 0 info ctd pktproc DNS signature trigger log action ctd_dns_action_pktlog 2 0 info ctd pktproc DNS signature trigger packet capture action11. Connectez-vous à votre onglet et vérifiez AutoFocus DNS Security l’onglet, si le dns-sec fonctionne correctement, vous serez en mesure de voir DNS votre demande de requête.
12. Veuillez joindre toutes ces informations à un cas à l’appui.
Additional Information
Comment configurer la façon DNS security
d’ajouter une exception pour un seul domaine DGA tout en bloquant la DGA catégorie