Pourquoi y DNS a-t-il des requêtes suspectes provenant de IP la gestion du ou Firewall Panorama ?

• Palo Alto Networks Firewall
• Palo Alto Networks Panorama
• Toutes les PAN-OS versions

L’observation de DNS requêtes malveillantes ou suspectes provenant de la IP gestion de l’ou peut être tout à fait Firewall Panorama alarmant. L’hypothèse immédiate est que le Firewall ou Panorama peut être compromis, cependant, il ya d’autres raisons souvent négligées et bénignes pour l’activité observée. Voici quelques-unes de ces raisons :

1. Il y avait une observation du domaine malveillant dans les journaux URL de filtrage. Les Firewall rapports Panorama prédéfins et ont activé par défaut. Souvent, le domaine malveillant s’affiche dans un Botnet, ou dans un rapport sites bloqués. Le moteur de rapport tentera de résoudre IP l’adresse du domaine pour le remplir dans le rapport, ou,
2. Il y a un FQDN objet d’adresse configuré avec le domaine en infraction, et il est actuellement appliqué comme adresse source ou destination d’un Policy . Le firewall va périodiquement tenter de résoudre l’objet FQDN d’adresse pour un IP à utiliser pendant l’appariement de session ou Policy de recherche de sécurité.

1. Le firewall peut résoudre le domaine à un , mais la résolution peut entraîner différents IP DNS IP résolus en raison de techniques d’équilibrage de charge, donc les hôtes vont DNS résoudre indépendamment de la , et peut résoudre le domaine à un autre , donc en firewall contournant la sécurité qui a IP été Policy configuré pour le bloquer.
2. Si DNS le trafic provenant des firewall traversées de son propre anti-spyware inspecté chemin de données ou celui d’un firewall autre , il observera ses propres DNS requêtes que les DNS détections malveillantes.