Cómo solucionar problemas de interrupción debido a que DNS security no firewall se muestran los registros

Cómo solucionar problemas de interrupción debido a que DNS security no firewall se muestran los registros

5487
Created On 02/05/21 04:56 AM - Last Modified 06/02/25 14:32 PM


Symptom


  • Firewall admin aplica Anti-Spyware policy estricto con DNS security habilitado que tiene acción como sumidero.
  • Una vez aplicados los cambios. Los clientes ya no pueden acceder a Internet y la resolución de nombres comienza a fallar.Los registros de tráfico en el programa muestran DNS que el firewall tráfico envejeció y no se bloqueó.
  • Los registros de amenazas no muestran ningún registro relevante con acción de sumidero o categoría de seguridad dns.

Environment


PanOS 9.0.x o superior con DNS security la función habilitada.
 

Cause


El problema podría deberse a la incapacidad de firewall llegar al servidor back-end DNS security para descargar el feed y realizar búsquedas. Utilice los siguientes métodos para identificar los mismos.

1: Captura de paquetes con en el firewall tráfico de for DNS y verifique los contadores globales. Utilice el siguiente documento si no está seguro de cómo proceder.
  Cómo comprobar los contadores globales para una dirección de origen y destino IP específica
ctd_dns_req_lookup_miss                    2        1 info      ctd       pktproc   DNS request signature lookup not found
ctd_dns_res_fwd_unresolved                10        8 info      ctd       pktproc   DNS response forwarded as not resolved
ctd_dns_wait_pkt_drop                     43       36 drop      ctd       pktproc   DNS packet drop when waiting
ctd_dns_modify_ttl                       221      187 info      ctd       pktproc   DNS response packet changed TTL due to timeout
2: Los contadores anteriores indican que el paquete se cae debido a que firewall no puede llegar al servidor backend.
3: Compruebe la salida de DNS security la información.
show dns-proxy dns-signature info 

Cloud URL: dns.service.paloaltonetworks.com:443

Last Result: Timeout was reached ( 0 sec ago ).  <<<

Last Server Address: 130.211.8.196

Parameter Exchange: Interval 300 sec

Whitelist Refresh: Interval 43200 sec 

Request Waiting Transmission: 0

Request Pending Response: 41

Cache Size: 0
4: La salida anterior indica firewall que no puede alcanzar dns.service.paloaltonetworks.com que necesita. 
5: Tras una solución de problemas adicional, el usuario encuentra que el problema es un policy bloqueo en el firewall.
2021/02/04 20:14:00 paloalto-dns-se trust                           53867             x.x.x.x
Inside Intrazone_default deny            untrust                         443               130.211.8.196

 

Resolution


1: Cree una regla de permiso con datos relevantes y FQDN para dns.service.paloaltonetworks.com y app como paloalto-dns-security para solucionar el problema.
2: Una vez que se crea la regla de permiso, la salida de la información de DNS firma cambia.
show dns-proxy dns-signature info

Cloud URL: dns.service.paloaltonetworks.com:443

Last Result: Good ( 1 sec ago )

Last Server Address: 130.211.8.196

Parameter Exchange: Interval 300 sec

Whitelist Refresh: Interval 43200 sec 

Request Waiting Transmission: 0

Request Pending Response: 1

Cache Size: 168
3: Ahora los registros de amenazas deberían comenzar a mostrar los registros relevantes según la configuración.

Additional Information


Comandos útiles para solucionar problemas DNS security .
show dns-proxy dns-signature info
show dns-proxy dns-signature content
debug dnsproxyd dns-signature info
debug dnsproxyd dns-signature counters
test dns-proxy dns-signature fqdn <value>

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCloCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language