¿Por qué hay DNS consultas sospechosas procedentes de la Gestión IP de la Firewall Panorama o?

• Palo Alto Networks Firewall
• Palo Alto Networks Panorama
• Todas las PAN-OS versiones

Observar consultas maliciosas o DNS sospechosas procedentes de la administración IP 's de la Firewall o puede ser bastante Panorama alarmante. La suposición inmediata es que el Firewall o Panorama puede verse comprometido, sin embargo, hay otras razones a menudo pasadas por alto y benignas para la actividad observada. Algunas de estas razones podrían ser:

1. Hubo una observación del dominio malicioso en los URL registros de filtrado. Los Firewall Panorama informes predefinidos y tienen habilitados de forma predeterminada los informes predefinidos. A menudo, el dominio malintencionado aparece en una botnet o en un informe de sitios bloqueados. El motor de informes intentará resolver la IP dirección del dominio para rellenarlo en el informe o,
2. Hay un FQDN objeto de dirección configurado con el dominio infractor y actualmente se aplica como la dirección de origen o destino de un Policy archivo . El firewall will intentará periódicamente resolver el objeto address FQDN para que se use durante la coincidencia de sesiones o la búsqueda de IP Policy seguridad.

1. El firewall puede resolver el dominio en un , pero la resolución puede dar lugar a diferentes técnicas IP de equilibrio de carga DNS IP resueltos , por lo tanto, los hosts se resolverán DNS independientemente de la firewall , y pueden resolver el dominio a un diferente , por lo IP tanto, omitir la seguridad Policy que se configuró para bloquearlo.
2. Si DNS el tráfico procedente de los firewall recorridos de su propia ruta de acceso de datos inspeccionada Anti-Spyware o la de firewall otro, observará sus DNS propias consultas como DNS detecciones maliciosas.