Wie I bekomme ich eine Antwortseite für DNS Sinkhole?

Wie I bekomme ich eine Antwortseite für DNS Sinkhole?

13363
Created On 06/17/21 19:09 PM - Last Modified 05/03/22 01:11 AM


Question


Wie können I wir eine Komfort-Antwort-Seite erhalten, wenn wir zu einer Domain navigieren, die DNS versenkt wird?

Environment


  • Palo Alto Networks firewall
  • PAN-OS >= 7,1

Answer


Die DNS Sinkhole-Aktion kann dazu führen, dass das Surfen im Internet zu bösartigen Websites blockiert wird, bevor die TCP Verbindung überhaupt beginnen kann. Wenn die Verbindung weiterbeschritten werden durfte, kann sie durch Filterung blockiert werden URL (die in der Lage wäre, eine Komfortblockseite (Antwortseite) anzuzeigen). Da die HTTP Sitzung beim Ausführen von Sinkhole nicht beginnen DNS darf, kann die aktuelle Lösung, die zum Einfügen von Antwortseiten in Filtering verwendet URL wird, nicht für den Fall Sinkhole verwendet DNS werden.
  • Dies ist eine nicht unterstützte Funktion. Um zu beantragen, dass diese Funktion hinzugefügt PAN-OS wird, wenden Sie sich an Ihre Palo Alto Networks SE und stimmen Sie über Feature Request FR ID ab: 6752
Problemumgehung
  • Hosten Sie eine benutzerdefinierte Antwortseite, die auf einem Webserver in Ihrem Netzwerk gehostet wird, und legen Sie die Senke IP so fest, dass sie auf diesen Webserver verweist.
  • Um sicherzustellen, dass die Sinkhole-Seite auf alle URI 's reagiert, fügen Sie eine Direktive hinzu, um eine Soft-404-Antwort zu bedienen. d.h. in apache2 kann dies durch Hinzufügen der folgenden Zeile in httpd.conf erreicht werden:

    ErrorDocument 404 "/index.html"

  • Stellen Sie sicher, dass Sie nur App ID "Web-Browsing" erlauben, um tcp/80 zu portieren und "ssl" tcp/443 zum Web-Server zu portieren, um zu verhindern, dass Malware möglicherweise Exploits gegen den Web-Server ausführt.
  • Erstellen Sie eine "Sinkhole-Zone" und stellen Sie sicher, dass Ihre Sicherheit Policy nur Verbindungen von Trust zur Sinkhole-Zone zulässt.
  • Erstellen Sie eine Isolation in Layer2, indem Sie einen dedizierten VLAN für den Webserver definieren. Dies wird jede mögliche laterale Bewegung abschwächen, falls Malware in der Lage ist, eine Schwachstelle im Webserver auszunutzen.
  • Verwenden Sie ein PKI signiertes Zertifikat oder ein CA vertrauenswürdiges Stammzertifikat, damit die HTTP Antwortseite ( S ) Benutzern zugestellt werden kann, ohne dass ihnen eine Unbekannterwarnung angezeigt wird.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMDHCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language