実装方法DHCPパロアルトネットワークのオプション 119 (ドメイン検索リスト) firewall

実装方法DHCPパロアルトネットワークのオプション 119 (ドメイン検索リスト) firewall

18344
Created On 01/23/23 19:02 PM - Last Modified 01/31/23 00:22 AM


Objective


この記事の目的は、情報セキュリティの専門家に実装に必要な知識とツールを提供することです。DHCP Palo Alto Networks ファイアウォールのオプション 119。

Environment


  • パロアルトネットワークスfirewallランニングPAN-OS8.1以降
  • DHCP から構成され、機能的にホストされているサーバー firewall

Procedure


  1. Palo Alto Networks にログインします。firewall管理インターフェース。
  2. [ネットワーク] タブに移動し、DHCP .
  3. を選択DHCP構成するサーバー インターフェイス。
DHCP インターフェース
  1. [オプション] タブを選択し、[カスタム] の下でDHCPオプションは、[追加] ボタンをクリックします。
  2. オプションに「Option 119」のような名前を付けます。 [オプション コード] フィールドに、119 を入力します。
スクリーンショット 2023 年 1 月 23 日 4.32.42PM .png
  1. [値] フィールドで、[16 進数] ラジオ ボタンを選択し、16 進数文字列形式を使用して構成する検索ドメインを追加します。 追加するドメインごとに行を追加します。追加の各行は前の行と連結されるため、エントリの順序が重要になります。 圧縮ポインタがサポートされています。
  2. クリックしてくださいOKボタン。
  3. 構成の変更をコミットします。

.
DHCPオプション 119 エントリー形式

.


 

スタンドアロン エントリ

.
エントリの形式では、各ドメインの前に、次のドットまで続くドメイン名の文字数を表すバイト値が続きます。各エントリの末尾は 00 値で区切られます。

たとえば、エントリ「example.com」に注意するには、07 'example' 03 'com' 00 とします。 完全なエントリを 16 進数に変換すると、結果は次のようになります。

076578616d706c6503636f6d00

.
配列エントリ

.
ここで、検索ドメイン「first.example.com」と「second.example.com」を追加するとします。

これは 16 進文字列で実現できます。
056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00

これは、05 'first' 07 'example' 03 'com' 00; で構成されています。 06 'second' 07 'example' 03 'com' 00.

オプション 119 の最大長は 255 文字であるため、圧縮ポインタを使用してエントリの長さを短縮することが重要になる場合があることに注意してください。

.
圧縮ポインタエントリ

.

圧縮ポインタが使用されている場合は、エントリの最後に定義され、c0 の後にバイト オフセットが続きます。

たとえば、subdomain.example.com を表す場合、エントリは次のようになります。

076578616d706c6503636f6d0009737562646f6d61696ec000

ここで、example.com から始めて、09 'サブドメイン' c0 と 00 を追加します。c0 は圧縮ポインタを示し、example.com がある 00 へのオフセットを指します。

代わりに www.example.com のエントリがあり、pointer.example.com を追加したい場合は、www を考慮してオフセットが 4 になることに注意してください。例:

03777777076578616d706c6503636f6d0007706f696e746572c004

.

すべてを一緒に入れて

.
次のエントリを含む検索リストが提供されます。

example.com
subdomain.example.com
www.example.com
pointer.example.com
first.example.com
second.example.com
third.example.com

構成を確認すると、次のエントリが表示されます。
076578616d706c6503636f6d0009737562646f6d61696ec000 (圧縮ポインターを利用する example.com および subdomain.example.com)
03777777076578616d706c6503636f6d0007706f696e746572c000 (圧縮ポインターを利用しない www.example.com の後に、圧縮ポインターを利用する pointer.example.com が続きます)
056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00 (first.example.com と second.example.com は圧縮ポインターを使用せず、1 行に連結されています)
057468697264076578616d706c6503636f6d00 (スタンドアロン エントリ third.example.com は圧縮ポインタを利用していません)

エントリを最適化したいので、example.com への圧縮ポインタを使用します。
わかりやすくするために、最初の行にベース ドメインを追加し、各エントリで圧縮ポインターを利用します。
076578616d706c6503636f6d00 (example.com)
09737562646f6d61696ec000 (サブドメイン -> example.com)
03777777c000 (www -> example.com)
07706f696e746572c000 (ポインタ -> example.com)
056669727374c000 (最初 -> example.com)
067365636f6e64c000 (2 番目 -> example.com)
057468697264c000 (3 番目 -> example.com)
スクリーンショット 2023 年 1 月 23 日 5.00.44PM .png

.
期待どおりに動作することを確認する

.
Windows 10 では、ipconfig /renew および ipconfig /all を実行して、ドメインが正しく表示されることを確認できます。
スクリーンショット 2023 年 1 月 23 日 4.39.59PM .png

MacOS および Linux では、次のコマンドを実行します。

猫/etc/resolv.conf
スクリーンショット 2023 年 1 月 23 日 4.34.00PM .png

Additional Information


  • DHCP オプション 119 は、RFC 3397
  • DHCP オプション 119 は、PAN-OS 8.1以降
  • DHCP オプション 119 では、最大 255 文字のデータが許可され、複数の検索ドメインを構成するために使用できます。
  • をテストすることをお勧めします。DHCPオプション 119 の設定後、クライアント デバイスで nslookup または dig コマンドを実行します。DHCPオプション 119 は、DHCP構成を検証するためのサーバー。
  • DHCP オプション 119 は、多くの場合、DHCP完全を提供するためのオプション 15 (ドメイン名)DNS解決能力。
注: 本番環境に実装する前に、ラボ環境で実装をテストすることを常にお勧めします。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saawCAA&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language