DNS 보안이 활성화된 경우 방화벽 에서 무작위 DNS 응답이 삭제됨(안티 스파이웨어 프로필)
3812
Created On 06/09/23 22:03 PM - Last Modified 06/02/25 20:03 PM
Symptom
- 안티-스파이웨어 프로파일 에서 DNS 보안을 활성화하고 관련 보안 정책 적용하면 무작위 DNS 응답이 방화벽 에서 삭제됩니다.
- 이전에 확인되지 않은 새로운 URL에서 발생할 가능성이 높습니다.
- 전역 카운터는 " ctd_dns" 가 있는 카운터가 증가함을 나타냅니다. 이와 관련하여 가장 관련성이 높은 카운터는 다음과 같습니다.
- ctd_dns_req_lookup_miss
- ctd_dns_req_lookup_noaction
- ctd_dns_reply_wait
- ctd_dns_wait_pkt_drop
- ctd_dns_pkt_재전송
- 방화벽에서 트래픽을 캡처할 때 다음 카운터 중 하나가 증가하면 감소가 나타납니다.
- ctd_dns_reply_wait
- ctd_dns_wait_pkt_drop
Environment
- 팔로 알토 방화벽
- PAN-OS 9.1 이상
- 안티-스파이웨어 프로파일 에서 DNS 보안이 활성화됨
Cause
- 클라우드 DNS 타임아웃 시점까지 클라우드 대응 /판결을 받지 못하면 방화벽은 DNS 대응 삭제합니다.
- 그러나 초기 DNS 쿼리(삭제된 DNS 대응 의 일부)는 다른 DNS 확인 시도를 위해 DNS 서버로 다시 전송됩니다.
Resolution
- 사용 사례와 요구 사항에 따라 DNS 서명 조회 시간 초과(ms)는 아래와 같이 DEVICE > 설정 > Content-ID > 실시간 서명 조회 로 이동하여 수정할 수 있습니다.
- 이 값은 방화벽 이 DNS 보안 서비스를 쿼리하는 데 걸리는 시간(밀리초)을 지정합니다.
- 지정된 기간이 끝나기 전에 클라우드가 응답하지 않으면 방화벽 관련 DNS 대응 요청한 클라이언트에 해제합니다 .
- 값은 0~60,000 사이로 설정할 수 있으며 디폴트 은 100입니다.
- 이 기사에서 언급했듯이 값이 높을수록 지연이 발생할 가능성이 높아집니다.
- 이 값을 낮추면 지연 시간이 줄어들지만 보안 측면에서는 비용 .
- 판결에 대한 답변을 받기 전에 악의적인 요청 공개되면, 안티-스파이웨어 프로파일 처음에는 이를 허용할 수 있습니다.
- 안티-스파이웨어 판단을 받고 FQDN 캐시된 후에야 후속 악성 요청에 대한 조치를 취할 수 있습니다.
- 조직의 요구 사항에 맞게 값을 조정해야 합니다.