ログが表示されない場所firewallによる停止のDNS securityトラブルシューティング方法

ログが表示されない場所firewallによる停止のDNS securityトラブルシューティング方法

5491
Created On 02/05/21 04:56 AM - Last Modified 06/02/25 14:32 PM


Symptom


  • Firewall 管理者はシンクホールとしてアクションを持っている有効にDNS securityして、厳格なスパイウェアpolicy対策を適用します。
  • 変更が適用された後。 クライアントはインターネットにアクセスできなくなり、名前解決が失敗し始めます。番組DNSのトラフィック ログはfirewall、老朽化し、ブロックされていません。
  • 脅威ログには、シンクホール アクションまたは dns-security カテゴリを持つ関連ログは表示されません。

Environment


機能が有効になっている DNS security PanOS 9.0.x 以上。
 

Cause


この問題は、バックエンド DNS security サーバーにアクセスしてフィードをダウンロードし、検索を行うことができないfirewall場合に発生する可能性があります。 以下の方法を使用して、同じ情報を識別します。

1: のパケット キャプチャで firewall トラフィックを取得 DNS し、グローバル カウンターを確認します。 進め方が不明の以下の資料をご利用ください。
  特定の送信元アドレスと送信先 IP アドレスのグローバル カウンタを確認する方法
ctd_dns_req_lookup_miss                    2        1 info      ctd       pktproc   DNS request signature lookup not found
ctd_dns_res_fwd_unresolved                10        8 info      ctd       pktproc   DNS response forwarded as not resolved
ctd_dns_wait_pkt_drop                     43       36 drop      ctd       pktproc   DNS packet drop when waiting
ctd_dns_modify_ttl                       221      187 info      ctd       pktproc   DNS response packet changed TTL due to timeout
2: 上記のカウンタは、バックエンド サーバに firewall 到達できないためにパケットが廃棄されることを示します。
3: 情報の出力 DNS security を確認します。
show dns-proxy dns-signature info 

Cloud URL: dns.service.paloaltonetworks.com:443

Last Result: Timeout was reached ( 0 sec ago ).  <<<

Last Server Address: 130.211.8.196

Parameter Exchange: Interval 300 sec

Whitelist Refresh: Interval 43200 sec 

Request Waiting Transmission: 0

Request Pending Response: 41

Cache Size: 0
4: 上記の出力は、 firewall 必要な dns.service.paloaltonetworks.com に到達できない場合を示しています。 
5: さらにトラブルシューティングを行う際に、ユーザーは問題policyfirewallを .
2021/02/04 20:14:00 paloalto-dns-se trust                           53867             x.x.x.x
Inside Intrazone_default deny            untrust                         443               130.211.8.196

 

Resolution


1: 関連データを含む許可ルールを作成し、 FQDN dns.service.paloaltonetworks.com と app パロアルト dns-security として問題を解決します。
2: 許可ルールが作成されると、署名情報の DNS 出力が変更されます。
show dns-proxy dns-signature info

Cloud URL: dns.service.paloaltonetworks.com:443

Last Result: Good ( 1 sec ago )

Last Server Address: 130.211.8.196

Parameter Exchange: Interval 300 sec

Whitelist Refresh: Interval 43200 sec 

Request Waiting Transmission: 0

Request Pending Response: 1

Cache Size: 168
3: 脅威ログは、構成ごとに関連するログを表示し始める必要があります。

Additional Information


問題のトラブルシューティング DNS security に役立つコマンド。
show dns-proxy dns-signature info
show dns-proxy dns-signature content
debug dnsproxyd dns-signature info
debug dnsproxyd dns-signature counters
test dns-proxy dns-signature fqdn <value>

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCloCAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language