¿Cómo I puede obtener una página de respuesta para DNS Sinkhole?
13385
Created On 06/17/21 19:09 PM - Last Modified 05/03/22 01:11 AM
Question
¿Cómo se puede I obtener una página de respuesta de comodidad si estamos navegando a un dominio que se está DNS hundiendo?
Environment
- Palo Alto Networks firewall
- PAN-OS >= 7,1
Answer
La DNS acción Sumidero puede hacer que la navegación web a sitios web maliciosos se bloquee antes TCP de que la conexión pueda siquiera comenzar. Si se permitió que la conexión progresara, puede ser bloqueada por URL el filtrado (que podría presentar una página de bloqueo de comodidad (página de respuesta)). Dado que no se permite que la HTTP sesión comience al ejecutar DNS Sinkhole, la solución actual utilizada para inyectar páginas de respuesta en URL Filtering no se puede utilizar para el caso DNS Sinkhole
- Se trata de una característica no compatible. Para solicitar que se agregue esta función a PAN-OS , comuníquese con su Palo Alto Networks y vote sobre la solicitud de SE FR ID características: 6752
- Hospede una página de respuesta personalizada alojada en un servidor web de su red y configure sinkhole IP para que apunte a ese servidor web.
- Para asegurarse de que la página del sumidero responde a cualquiera URI de las , agregue una directiva para servir una respuesta soft-404. es decir, en apache2 esto se puede lograr agregando la siguiente línea en httpd.conf:
ErrorDocument 404 "/index.html"
- Asegúrese de permitir sólo App - ID 'web-browsing' al puerto tcp/80 y 'ssl' al puerto tcp/443 al servidor web para evitar que cualquier malware pueda ejecutar cualquier exploits contra el servidor web.
- Cree una 'zona de sumidero' y asegúrese de que su seguridad Policy solo permite conexiones desde la confianza a la zona de sumidero.
- Cree el aislamiento en layer2 definiendo un dedicado VLAN para el web-servidor. Esto mitigará cualquier movimiento lateral potencial en caso de que el malware sea capaz de explotar una vulnerabilidad en el servidor web.
- Utilice un PKI certificado firmado o raíz de confianza para permitir que la página de respuesta ( ) se CA sirva a los usuarios sin HTTP S presentarles una advertencia de emisor desconocido.