DNSセキュリティが有効になっている場合、ファイアウォールでランダムにDNS応答がドロップされる (アンチスパイウェア プロファイル)
3882
Created On 06/09/23 22:03 PM - Last Modified 06/02/25 20:03 PM
Symptom
- 関連するセキュリティポリシーに適用されたアンチスパイウェア対策プロファイルでDNSセキュリティが有効になっている場合、ファイアウォールでランダムDNS応答がドロップされます。
- 以前に解決されなかった新しい URL で発生する可能性があります。
- グローバルカウンタは、 「 ctd_dns」を持つカウンタが増加したことを示します。この点で最も関連性の高いものは以下のとおりです。
- ctd_dns_req_lookup_miss
- ctd_dns_req_lookup_noaction
- ctd_dns_reply_wait
- ctd_dns_wait_pkt_drop
- ctd_dns_pkt_retransmit
- ファイアウォールでトラフィックをキャプチャする場合、次のいずれかのカウンタが増加するとドロップが見られます。
- ctd_dns_reply_wait
- ctd_dns_wait_pkt_drop
Environment
- パロアルトファイアウォール
- PAN-OS 9.1以上
- アンチスパイウェアプロファイルでDNSセキュリティが有効になっています
Cause
- クラウド DNSタイムアウトまでにクラウド応答/ 判定が受信されない場合、ファイアウォールはDNS応答をドロップします。
- ただし、最初のDNSクエリ (ドロップされたDNS応答の一部) は、別のDNS解決を試行するためにDNSサーバーに再送信されます。
Resolution
- ユースケースと要件に応じて、 DNS署名ルックアップ タイムアウト (ミリ秒) は、以下に示すように、 [デバイス] > [セットアップ] > [コンテンツ ID] > [リアルタイム署名ルックアップ]に移動して変更できます。
- この値は、ファイアウォールがDNSセキュリティ サービスにクエリを実行する時間の長さ (ミリ秒単位) を指定します。
- 指定された期間内にクラウドが応答しない場合、ファイアウォールは関連するDNS応答を要求元のクライアントに解放します。
- 値は 0 〜 60,000 の間で設定でき、デフォルトは 100 です。
- この記事で述べたように、値が高いと遅延が発生する可能性が高くなります。
- この値を下げるとレイテンシは減少しますが、セキュリティ上のトレードオフがコストします。
- 判定応答を受信する前に悪意のある要求が発行された場合、アンチスパイウェアプロファイル最初はその要求が許可される場合があります。
- アンチスパイウェアは、判定を受信して FQDNがキャッシュされた場合にのみ、後続の悪意のある要求に対してアクションを実行できます。
- 組織の要件に応じて値を調整する必要があります。