DNSシンクホールの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure DNS Sinkhole

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Sinkhole/ta-p/58891

 

概要

PAN-OS 6.0より、アンチスパイウェア プロファイルにおいてDNS シンクホールのアクションが使用できるようになりました。DNSシンクホールは、ファイアウォールが悪意のあるURLに対するDNSクエリが見える環境において、保護されたネットワーク内にある感染したホストをDNSトラヒックをベースに特定するために使うことができます。

 

このDNSシンクホールの機能により、Palo Alto Networksデバイスは悪意のある既知ドメインやURLに対するDNSクエリを見つけると、定義しておいた任意のIPアドレス(偽のIP)をクライアントに返します。それを受け取ったクライアントがその偽のIPアドレスにアクセスしようとし、かつ、そのIPアドレスへの通信をブロックするセキュリティポリシーが存在する場合、その情報がログとして残ります。

 

重要! "偽のIP" を選択する際には、そのIPアドレスが内部のネットワークに実際に存在しないことを確認してください。また、悪意のあるURLが検知され、設定した偽のIPへのアクセスが止められるようにするには、該当DNSとHTTPトラヒックがPalo Alto Networksファイアウォールを通過する必要があります。もし偽のIPが別に存在しファイアウォールを通過しないのであれば、この機能は正しく動作しません。

 

手順

  1. Palo Alto Networksデバイスにおいて最新のアンチウィルス シグネチャがインストールされていることを確認します。
    WebUIより、"Device" > "ダイナミック更新" へ移動し、"今すぐチェック" をクリックします。アンチウィルス シグネチャが最新であることを確認します。最新でなければ、最新版をインストールしてください。スケジュールによる自動更新の設定も可能です。
    doc-6220 du-av1.png
    : DNSシンクホールの機能を利用するには、脅威防御 (Threat Prevention) のサブスクリプションが必要となります。
  2. アンチスパイウェア プロファイル内にあるDNSシンクホールを設定します。"Objects" > "セキュリティ プロファイル" > "アンチスパイウェア" をクリックします。
    既存のプロファイルを使うか、新しくプロファイルを作成します。以下の例では、"alert-all" を使用します。
    doc-6220 Anti-spyware.png
    プロファイル名 "alert-all" をクリックし、"DNSシグネチャ" タブを開きます。
    doc-6220 profile3.png
    "DNSクエリに対するアクション" をデフォルトの "alert" から ”シンクホール” に変更します。
    シンクホールIPv4フィールドをクリックし、偽のIPアドレスを入力します。上記の例では、簡単のために1.1.1.1を使っていますが、内部のネットワークで使われていないIPアドレスであれば値は何でも構いません。
    次に、シンクホールIPv6フィールドをクリックし、偽のIPv6 IPアドレスを入力します。たとえIPv6がネットワーク上使われていなくても、この値は入力する必要があります。上記の例では ::1 です。最後にOKボタンをクリックします。  

    : シンクホールIPv6フィールドに何も設定されていない場合は、OKボタンは無効のままになります。

  3. 作成したアンチスパイウェア プロファイルを、内部ネットワーク(または内部のDNSサーバー)からインターネットへ抜けるDNSトラヒックを許可するセキュリティ ポリシーに適用します。
    "Policies" > "セキュリティ" をクリックします。
    セキュリティ上 ルールの一覧から外部へ抜けるDNS通信を許可するルールを特定し、そのルール名をクリックします。"アクション" タブを開き、該当のアンチスパイウェア プロファイルが選択されていることを確認し、OKボタンを押します。
    doc-6220 rule1.png
    doc-6220 outbound-rule-profile.png

  4. 最後に、設定した偽のIP 1.1.1.1 と :1 (IPv6を使用している場合) を宛先とする全てのweb-browsingとSSL通信をブロックするセキュリティ ルールを用意します。これは感染したマシンから偽のIPへの通信をブロックするためのものです。
    doc-6220 rule3.png
  5. 設定をコミットします。

 

See Also

テスト手順とセットアップの確認方法については、以下のドキュメントを参照してください。

How to Verify DNS Sinkhole Function is Working

 

DNSシンクホールを説明したビデオ チュートリアルもあります。

Video Tutorial: How to Configure DNS Sinkhole

Video Tutorial: How to Verify DNS Sinkhole