Warum werden verdächtige DNS Abfragen aus der Verwaltung des oder IP Firewall Panorama ?

• Palo Alto Networks Firewall
• Palo Alto Networks Panorama
• Alle PAN-OS Versionen

Das Beobachten bösartiger oder verdächtiger DNS Abfragen, die von den Managements der oder IP kann ziemlich alarmierend Firewall Panorama sein. Die unmittelbare Annahme ist, dass die Firewall oder Panorama kompromittiert werden kann, jedoch gibt es andere oft übersehene und gutartige Gründe für die beobachtete Aktivität. Einige dieser Gründe könnten sein:

1. Es wurde eine Beobachtung der bösartigen Domäne in den URL Filterprotokollen angezeigt. Die Firewall und Panorama haben vordefinierte Berichte standardmäßig aktiviert. Häufig wird die bösartige Domäne in einem Botnet oder in einem Bericht über blockierte Sites angezeigt. Das Berichtsmodul versucht, die IP Adresse der Domäne aufzulösen, um sie im Bericht auszufüllen, oder
2. Es ist ein FQDN Adressobjekt mit der beanstandeten Domäne konfiguriert und wird derzeit als Quell- oder Zieladresse einer Policy angewendet. Der firewall versucht in regelmäßigen Abständen, das FQDN Adressobjekt für eine während der IP Sitzungsabgleichs- oder Sicherheitssuche zu verwendende Adresse Policy aufzulösen.

1. Die firewall kann die Domäne in eine auflösen, aber die Auflösung kann zu IP DNS unterschiedlichen IP aufgelösten 's aufgrund von Lastenausgleichstechniken führen, daher werden Hosts unabhängig von der aufgelöst DNS und können die Domäne in eine andere firewall IP auflösen, wodurch die Sicherheit Policy umgangen wird, die zum Blockieren konfiguriert wurde.
2. Wenn DNS Der Datenverkehr, der von der firewall durchläuft, ihren eigenen Anti-Spyware-inspizierten Datenpfad oder den eines anderen firewall pfadiert, beachtet er seine eigenen Abfragen als bösartige DNS DNS Erkennungen.