Comment obtenir I une page de réponse pour DNS Sinkhole?
13389
Created On 06/17/21 19:09 PM - Last Modified 05/03/22 01:11 AM
Question
Comment I peut-on obtenir une page de réponse de confort si nous naviguons vers un domaine qui est en train DNS d’être troué?
Environment
- Palo Alto Networks firewall
- PAN-OS >= 7,1
Answer
DNSL’action Sinkhole peut entraîner le blocage de la navigation web vers des sites Web malveillants avant même que la TCP connexion puisse commencer. Si la connexion a été autorisée à progresser, elle peut être bloquée par URL le filtrage (qui serait en mesure de présenter avec une page de blocage de confort (page de réponse)). Étant donné que la HTTP session n’est pas autorisée à commencer lors de DNS l’exécution de Sinkhole, la solution actuelle utilisée pour injecter des pages de réponse dans URL Filtering ne peut pas être utilisée pour le cas DNS Sinkhole
- Il s’agit d’une fonctionnalité non prise en charge. Pour demander que cette fonctionnalité soit ajoutée à PAN-OS , contactez votre Palo Alto Networks et SE votez pour la demande de fonctionnalité FR ID : 6752
- Hébergez une page de réponse personnalisée hébergée sur un serveur Web de votre réseau et définissez le sinkhole IP pour qu’il pointe vers ce serveur Web.
- Pour vous assurer que la page sinkhole répond à URI n’importe quel ', ajoutez une directive pour servir une réponse soft-404. c’est-à-dire dans apache2, cela peut être réalisé en ajoutant la ligne suivante dans httpd.conf:
ErrorDocument 404 « /index.html »
- Assurez-vous de n’autoriser que App ID - 'web-browsing' pour porter tcp / 80 et 'ssl' pour porter tcp / 443 sur le serveur Web pour empêcher tout logiciel malveillant d’exécuter éventuellement des exploits contre le serveur Web.
- Créez une « zone de gouffre » et assurez-vous que votre sécurité Policy autorise uniquement les connexions de Trust à la zone Sinkhole.
- Créez une isolation dans Layer2 en définissant un dédié VLAN pour le serveur Web. Cela atténuera tout mouvement latéral potentiel au cas où un logiciel malveillant serait en mesure d’exploiter une vulnérabilité dans le serveur Web.
- Utilisez un PKI certificat signé racine approuvée pour permettre à la page de réponse ( ) CA HTTP S d’être servie aux utilisateurs sans leur présenter d’avertissement d’émetteur inconnu.