So implementieren Sie DHCP Option 119 (Domain Search List) in einem Palo Alto Networks firewall
Objective
Das Ziel dieses Artikels ist es, Informationssicherheitsexperten das Wissen und die Werkzeuge zur Verfügung zu stellen, die für die Implementierung DHCP von Option 119 auf Palo Alto Networks Firewalls erforderlich sind.
Environment
- Palo Alto Networks firewall mit PAN-OS 8.1 oder höher
- DHCP Server, der vom firewall
Procedure
- Melden Sie sich bei der Verwaltungsschnittstelle von Palo Alto Networks firewall an.
- Navigieren Sie zur Registerkarte Netzwerk, und wählen Sie DHCPaus.
- Wählen Sie die Serverschnittstelle aus, die DHCP Sie konfigurieren möchten.
- Wählen Sie die Registerkarte Optionen und klicken Sie unter Benutzerdefinierte DHCP Optionen auf die Schaltfläche Hinzufügen.
- Geben Sie der Option einen Namen wie "Option 119". Geben Sie im Feld Optionscode den Wert 119 ein.
- Wählen Sie im Feld Wert das Optionsfeld "Hexadezimal" aus, und fügen Sie alle Suchdomänen hinzu, die Sie im Hexadezimalformat konfigurieren möchten. Fügen Sie zusätzliche Zeilen für jede Domäne hinzu, die Sie hinzufügen möchten. Jede zusätzliche Zeile wird mit der vorherigen verkettet, und daher ist die Reihenfolge der Einträge wichtig. Komprimierungszeiger werden unterstützt.
- Klicken Sie auf die OK Schaltfläche.
- Übernehmen Sie die Konfigurationsänderungen.
.
DHCP Option 119 Eintragsformat
.
Eigenständiger Eintrag
.Dem Format für die Einträge wird jeder Domäne ein Bytewert vorangestellt, der die Anzahl der Zeichen auf dem Domänennamen darstellt, die bis zum nächsten Punkt folgen.Am Ende jedes Eintrags wird es durch einen 00-Wert getrennt.
Um beispielsweise den Eintrag "example.com" zu notieren, haben wir: 07 'Beispiel' 03 'com' 00. Wenn wir den vollständigen Eintrag in hex konvertieren, ist das Ergebnis:
076578616d706c6503636f6d00
.
Array-Eintrag
.
Nehmen wir nun an, wir möchten die Suchdomains "first.example.com" und "second.example.com" hinzufügen.
Wir können dies mit hex-string erreichen:056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00 Das setzt sich zusammen aus:
05 'first' 07 'example' 03 'com' 00; 06 'second' 07 'example' 03 'com' 00
.
Beachten Sie, dass die maximale Länge von Option 119 255 Zeichen beträgt, daher kann es wichtig sein, Komprimierungszeiger zu verwenden, um die Länge der Einträge zu reduzieren.
.
Eingabe des Komprimierungszeigers
.
Wenn ein Komprimierungszeiger verwendet wird, wird er am Ende des Eintrags definiert und mit einem c0 gefolgt vom Byte-Offset vermerkt.
Wenn wir beispielsweise darstellen möchten, subdomain.example.com lautet der Eintrag nun:
076578616d706c6503636f6d0009737562646f6d61696ec000
Beachten Sie, dass wir hier mit example.com beginnen und dann 09 'Subdomain' c0 und 00 hinzufügen. c0 gibt einen Komprimierungszeiger an und zeigt den Offset auf 00, wo wir example.com haben.
Wenn wir stattdessen einen Eintrag mit www.example.com hätten und pointer.example.com hinzufügen wollten, beachten Sie, dass der Offset 4 wäre, um www zu berücksichtigen. Beispiel:
03777777076578616d706c6503636f6d0007706f696e746572c004
.
Alles zusammen
.
Uns wird eine Suchliste mit folgenden Einträgen zur Verfügung gestellt:example.com subdomain.example.com www.example.com pointer.example.com first.example.com
second.example.com
third.example.com
Wir überprüfen die Konfiguration und sehen die folgenden Einträge:
076578616d706c6503636f6d0009737562646f6d61696ec000 (example.com
und subdomain.example.com mit Kompressionszeiger)
03777777076578616d706c6503636f6d0007706f696e746572c000 (www.example.com die keinen Komprimierungszeiger nutzt, gefolgt von pointer.example.com Nutzung des Komprimierungszeigers)056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00 ( first.example.com und second.example.com ohne Nutzung von Komprimierungszeigern, verkettet in einer einzigen Zeile)
057468697264076578616d706c6503636f6d00 (Eigenständiger Eintrag third.example.com ohne Nutzung Kompressionszeiger)
Wir möchten die Einträge optimieren, daher verwenden wir Komprimierungszeiger zum example.com Um es klarer zu machen, fügen wir die Basisdomäne in der ersten Zeile hinzu, und jeder Eintrag nutzt Komprimierungszeiger
:076578616d706c6503636f6d00 (example.com
)09737562646f6d61696ec000 (Subdomain -> example.com)03777777c000 (www -> example.com)07706f696e746572c000 (Zeiger -> example.com)056669727374c000 (erste -> example.com)
067365636f6e64c000 (zweite -> example.com)057468697264c000 (dritte -> example.com)
.
Überprüfen, ob es wie erwartet funktioniert
.
In Windows 10 können wir ipconfig / renew und ipconfig / all ausführen, um zu überprüfen, ob die Domänen ordnungsgemäß angezeigt werden.
Führen Sie unter MacOS und Linux den Befehl aus:
cat /etc/resolv.conf
Additional Information
- DHCP Option 119 ist in RFC 3397 definiert
- DHCP Option 119 wird in PAN-OS 8.1 und höher unterstützt
- DHCP Option 119 erlaubt bis zu 255 Zeichen an Daten, die zum Konfigurieren mehrerer Suchdomänen verwendet werden können.
- Es empfiehlt sich, die Konfiguration von Option 119 zu testen, indem Sie den Befehl nslookup oder dig auf dem Clientgerät ausführen, nachdem DHCP Option 119 auf dem DHCP Server konfiguriert wurde, um die DHCP Konfiguration zu überprüfen.
- DHCP Option 119 wird häufig in Verbindung mit DHCP Option 15 (Domänenname) verwendet, um vollständige DNS Auflösungsfunktionen bereitzustellen.