Comment implémenter DHCP l’option 119 (Domain Search List) dans un Palo Alto Networks firewall
Objective
L’objectif de cet article est de fournir aux professionnels de la sécurité de l’information les connaissances et les outils nécessaires pour mettre en œuvre DHCP l’option 119 sur les pare-feu Palo Alto Networks.
Environment
- Palo Alto Networks firewall exécutant PAN-OS la version 8.1 ou ultérieure
- DHCP Serveur configuré et fonctionnel hébergé à partir du firewall
Procedure
- Connectez-vous à l’interface de gestion de Palo Alto Networks firewall .
- Accédez à l’onglet Réseau, puis sélectionnez DHCP.
- Sélectionnez l’interface serveur DHCP que vous souhaitez configurer.
- Sélectionnez l’onglet Options et, sous Options personnalisées DHCP , cliquez sur le bouton Ajouter.
- Donnez à l’option un nom comme « Option 119 ». Dans le champ Code d’option, entrez 119.
- Dans le champ Valeur, sélectionnez la case d’option « Hexadécimal » et ajoutez les domaines de recherche que vous souhaitez configurer au format de chaîne hexadécimale. Ajoutez des lignes supplémentaires pour chaque domaine que vous souhaitez ajouter. Chaque ligne supplémentaire est concaténée avec celle qui précède, et donc l’ordre des entrées importe. Les pointeurs de compression sont pris en charge.
- Cliquez sur le OK bouton.
- Engagez les modifications de configuration.
.
DHCP Option 119 Format d’entrée
.
Entrée autonome
.Le format des entrées aura chaque domaine précédé d’une valeur d’octet représentant le nombre de caractères sur le nom de domaine qui suivent jusqu’au point suivant.À la fin de chaque entrée, il sera délimité par une valeur 00.
Par exemple, pour noter l'entrée « example.com » nous aurons: 07 'exemple' 03 'com' 00. Si nous convertissons l’entrée complète en hexadécimal, le résultat est:
076578616d706c6503636f6d00
.
Entrée de tableau
.
Maintenant, disons que nous voulons ajouter les domaines de recherche « first.example.com » et « second.example.com ».
Nous pouvons y parvenir avec hex-string:056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00 Qui est composé par:
05 'premier' 07 'exemple' 03 'com' 00; 06 'second' 07 'exemple' 03 'com' 00
.
Notez que la longueur maximale de l’option 119 est de 255 caractères, il peut donc être important d’utiliser des pointeurs de compression pour réduire la longueur des entrées.
.
Entrée du pointeur de compression
.
Si un pointeur de compression est utilisé, il sera défini à la fin de l’entrée et sera noté par un c0 suivi du décalage d’octet.
Par exemple, si nous voulons représenter subdomain.example.com l’entrée sera désormais :
076578616d706c6503636f6d0009737562646f6d61696ec000
Notez ici que nous commençons par example.com, puis ajoutons 09 'sous-domaine' c0 et 00. C0 indique un pointeur de compression, et il pointe le décalage à 00, où nous avons example.com.
Si nous avions plutôt une entrée avec www.example.com et que nous voulions ajouter pointer.example.com, notez que le décalage serait de 4, pour tenir compte de www. Exemple :
03777777076578616d706c6503636f6d0007706f696e746572c004
.
Mettre tout cela ensemble
.
Nous recevons une liste de recherche avec les entrées suivantes:example.com subdomain.example.com www.example.com pointer.example.com first.example.com second.example.com
third.example.com
Nous examinons la configuration et nous voyons les entrées suivantes:
076578616d706c6503636f6d0009737562646f6d61696ec000 (example.com
et subdomain.example.com
en utilisant le pointeur de compression)
03777777076578616d706c6503636f6d0007706f696e746572c000 (www.example.com qui n'exploite pas le pointeur de compression, suivi d'pointer.example.com pointeur de compression)056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00 ( first.example.com et second.example.com n'exploitant pas les pointeurs de compression, concaténés sur une seule ligne)
057468697264076578616d706c6503636f6d00 (entrée autonome third.example.com ne tirant pas parti pointeur de compression)Nous voulons optimiser les entrées afin d’utiliser des pointeurs de compression pour example.com Pour que ce soit plus clair, nous allons ajouter le domaine de base sur la première ligne, et chaque entrée utilisant des pointeurs de compression:076578616d706c6503636f6d00 (example.com)09737562646f6d61696ec000 (sous-domaine -> example.com)03777777c000 (www -> example.com)07706f696e746572c000 (pointeur -> example.com)056669727374c000 (premier -> example.com)
067365636f6e64c000 (deuxième -> example.com)057468697264c000 (troisième -> example.com)
.
Vérification du fonctionnement prévu
.
Dans Windows 10, nous pouvons exécuter ipconfig / renew et ipconfig / all pour vérifier que les domaines apparaissent correctement.
Sous MacOS et Linux, exécutez la commande:
cat /etc/resolv.conf
Additional Information
- DHCP L’option 119 est définie dans RFC 3397
- DHCP L’option 119 est prise en charge dans PAN-OS les versions 8.1 et ultérieures
- DHCP L’option 119 autorise jusqu’à 255 caractères de données, qui peuvent être utilisés pour configurer plusieurs domaines de recherche.
- Il est recommandé de tester la configuration de l’option 119 en exécutant la commande nslookup ou dig sur le périphérique client une fois DHCP que l’option 119 est configurée sur le DHCP serveur pour valider la DHCP configuration.
- DHCP L’option 119 est souvent utilisée conjointement avec DHCP l’option 15 (nom de domaine) pour fournir des capacités de résolution complète DNS .