Cómo implementar DHCP la opción 119 (Lista de búsqueda de dominios) en Palo Alto Networks firewall
Objective
El objetivo de este artículo es proporcionar a los profesionales de seguridad de la información el conocimiento y las herramientas necesarias para implementar DHCP la opción 119 en los firewalls de Palo Alto Networks.
Environment
- Palo Alto Networks firewall con PAN-OS 8.1 o posterior
- DHCP Servidor configurado y funcionalmente alojado desde el firewall
Procedure
- Inicie sesión en la interfaz de administración de Palo Alto Networks firewall .
- Desplácese hasta la ficha Red y seleccione DHCP.
- Seleccione la interfaz de servidor DHCP que desea configurar.
- Seleccione la pestaña Opciones y, en Opciones personalizadas DHCP , haga clic en el botón Agregar.
- Asigne a la opción un nombre como "Opción 119". En el campo Código de opción, escriba 119.
- En el campo Valor, seleccione el botón de opción "Hexadecimal" y agregue los dominios de búsqueda que desee configurar con el formato de cadena hexadecimal. Agregue líneas adicionales para cada dominio que desee agregar. Cada línea adicional se concatena con la anterior, y por lo tanto el orden de las entradas importa. Se admiten punteros de compresión.
- Haga clic en el OK botón.
- Confirme los cambios de configuración.
.
DHCP Opción 119 Formato de entrada
.
Entrada independiente
.El formato de las entradas tendrá cada dominio precedido por un valor de bytes que representa el número de caracteres en el nombre de dominio que siguen hasta el siguiente punto.Al final de cada entrada se delimitará por un valor 00.
Por ejemplo, para anotar la entrada "example.com" tendremos: 07 'ejemplo' 03 'com' 00. Si convertimos la entrada completa a hexadecimal entonces el resultado es:
076578616d706c6503636f6d00
.
Entrada de arreglo de discos
.
Ahora digamos que queremos agregar los dominios de búsqueda "first.example.com" y "second.example.com".
Podemos lograr esto con hex-string:056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00 Que está compuesto por:
05 'primero' 07 'ejemplo' 03 'com' 00; 06 'segundo' 07 'ejemplo' 03 'com' 00
.
Tenga en cuenta que la longitud máxima de la opción 119 es de 255 caracteres, por lo tanto, puede ser importante utilizar punteros de compresión para reducir la longitud de las entradas.
.
Entrada de puntero de compresión
.
Si se utiliza un puntero de compresión, se definirá al final de la entrada y se anotará con un c0 seguido del desplazamiento de bytes.
Por ejemplo, si queremos representar subdomain.example.com la entrada ahora será:
076578616d706c6503636f6d0009737562646f6d61696ec000
Tenga en cuenta que aquí comenzamos con example.com, luego agregamos 09 'subdominio' c0 y 00. C0 indica un puntero de compresión y apunta el desplazamiento a 00, donde tenemos example.com.
Si en su lugar tuviéramos una entrada con www.example.com y quisiéramos agregar pointer.example.com, tenga en cuenta que el desplazamiento sería 4, para dar cuenta de www. Ejemplo:
03777777076578616d706c6503636f6d0007706f696e746572c004
.
Poniéndolo todo junto
.
Se nos proporciona una lista de búsqueda con las siguientes entradas:example.com subdomain.example.com www.example.com
pointer.example.com
first.example.com
second.example.com
third.example.com
Revisamos la configuración y vemos las siguientes entradas:
076578616d706c6503636f6d0009737562646f6d61696ec000 (example.com
y subdomain.example.com
aprovechando el puntero de compresión)
03777777076578616d706c6503636f6d0007706f696e746572c000 (www.example.com que no aprovecha el puntero de compresión, seguido de pointer.example.com puntero de compresión de apalancamiento)056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00 ( first.example.com y second.example.com que no aprovechan punteros de compresión, concatenados en una sola línea)
057468697264076578616d706c6503636f6d00 (entrada independiente third.example.com sin aprovechar puntero de compresión)Queremos optimizar las entradas por lo que usaremos punteros de compresión para example.com Para hacerlo más claro añadiremos el dominio base en la primera línea, y cada entrada aprovechando los punteros de compresión:076578616d706c6503636f6d00 (example.com)09737562646f6d61696ec000 (subdominio -> example.com)03777777c000 (www -> example.com)07706f696e746572c000 (puntero -> example.com)056669727374c000 (primer -> example.com)
067365636f6e64c000 (segundo -> example.com)057468697264c000 (tercero -> example.com)
.
Verificar que funciona como se espera
.
En Windows 10 podemos ejecutar ipconfig /renew e ipconfig /all para verificar que los dominios se muestran correctamente.
En MacOS y Linux, ejecute el comando:
cat /etc/resolv.conf
Additional Information
- DHCP La opción 119 se define en RFC 3397
- DHCP La opción 119 es compatible con PAN-OS 8.1 y versiones posteriores
- DHCP La opción 119 permite hasta 255 caracteres de datos, que se pueden utilizar para configurar varios dominios de búsqueda.
- Se recomienda probar la configuración de la opción 119 ejecutando el comando nslookup o dig en el dispositivo cliente después DHCP de configurar la opción 119 en el servidor para validar la DHCP DHCP configuración.
- DHCP La opción 119 se utiliza a menudo junto con DHCP la opción 15 (nombre de dominio) para proporcionar capacidades de resolución completa DNS .