Comment fonctionne la fonction « Resolve Hostname »
31095
Created On 12/09/20 15:32 PM - Last Modified 12/14/22 04:44 AM
Question
La case à cocher « Resolve Hostname » qui est disponible dans l’onglet Moniteur de l’interface Web de la / aide un administrateur PA firewall Panorama à résoudre les adresses IP dans les journaux pour les noms d’hôtes correspondants. Cela s’applique à une variété de journaux comme le trafic, la menace, le filtrage des données, etc.
Le but de cet article est de discuter de ce qui se passe dans les coulisses lorsque cette case à cocher est sélectionnée.
Environment
Palo Alto Firewall / Panorama WebUI
Answer
Par défaut, les journaux de l’onglet moniteur afficheront les adresses IP dans les champs ip source/destination comme indiqué ci-dessous.
La fonction « Resolve Hostname » peut résoudre l’adresse IP dans une entrée de journal à l’adresse IP correspondante à l’aide des objets d’adresse configurés sur firewall le ou en faisant une DNS recherchez.
Lorsque la case à cocher est sélectionnée, l’appareil vérifie d’abord s’il y a un objet d’adresse correspondant configuré. S’il est trouvé, il affichera la même chose. Dans cet exemple, l’adresse IP 192.168.1.20 a un objet d’adresse correspondant configuré.
Si un objet d’adresse n’est pas configuré sur l’appareil, l’appareil enverra DNS une demande pour PTR l’enregistrement de l’adresse IP. Dans cet exemple, l’appareil envoie une demande d’enregistrement correspondant comme le montre DNS PTR l’image
DNS
ci-dessous demande Cadre 5: 96 octets sur fil (768 bits), 96 octets capturés (768 bits) sur l’interface \Device\NPF_{20A9F1FB-D2FE-4391-A08D-BC87DCA7BE1A}, id 0
Ethernet II , Src: PaloAlto_e8:c0:12 (b4:0c:25:e8:c0:12), Tél: VMware_81:8f:92 (00:50:56:81:8f:92)
Protocole Internet Version 4, Src: 10.46.48.33, Dst: 10.46.223.14
User Datagram Protocol, Src Port: 37106, Dst Port: 53
Domain Name System (requête)
ID Transaction: 0x9869
Flags: 0x0100 Questions de requête
standard: 1
Réponse RRs: 0
Autorité RRs: 0 Authority RRs: 0
RR supplémentaires: 1
Requêtes 10.1.168.192.in-addr.arpa: type PTR , nom de IN
classe: 10.1.168.192.in-addr.arpa
[Longueur du nom: 25]
[Nombre d’étiquettes: 6]
Type: PTR (nom de domaine PoinTeR) (12)
Classe: IN (0x0001)
Enregistrements supplémentaires
[Réponse in : 6]
DNS réponse
Cadre 6: 143 octets sur fil (1144 bits), 143 octets capturés (1144 bits) sur interface \Device\NPF_{20A9F1FB-D2FE-4391-A08D-BC87DCA7BE1A}, id 0
Ethernet II , Src: VMware_81:8f:92 (00:50:56:81:8f:92), Tél. : PaloAlto_e8:c0:12 (b4:0c:25:e8:c0:12)
Internet Protocol Version 4, Src: 10.46.223.14, Dst: 10.46.48.33
Protocole datagram utilisateur, Src Port: 53, Dst Port: 37106
Domain Name System (response)
Transaction : 0x9869 ID
Flags: 0x8580 Standard query response, No error
Questions: 1
Answer RRs: 1
Authority RRs: 0
Additional RRs: 1
Queries
10.1.168.192.in-addr.arpa: type PTR , nom de IN
classe: 10.1.168.192.in-addr.arpa
[Nom Longueur: 25]
[Label Count: 6]
Type: PTR (nom de domaine PoinTeR) (12)
Classe: IN (0x0001)
Réponses
10.1.168.192.in-addr.arpa: type PTR , classe , IN testmachine01.pantac-223-14.local
Nom: 10.1.168.192.in-addr.arpa
Type: PTR (nom de domaine PoinTeR) (12)
Classe: IN (0x0001)
Temps de vivre : 3600 (1 heure)
Longueur des données: 35
Nom de domaine: testmachine01.pantac-223-14.local
Enregistrements supplémentaires
[Demande: 5]
[Temps: 0.000223000 secondes]
Note: Quand un objet d’adresse est configuré sur l’appareil pour une adresse particulière et quand il ya aussi une entrée pour cette adresse dans le DNS serveur, le « Resolve Hostname » résoudrait l’adresse de l’objet d’adresse configuré.