DNSプロキシ有効化時の、疑わしい(Suspicious) DNSクエリのブロック

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Blocking Suspicious DNS Queries with DNS Proxy Enabled

https://live.paloaltonetworks.com/t5/Management-Articles/Blocking-Suspicious-DNS-Queries-with-DNS-Pr...

 

問題

 

パロアルトネットワークス ファイアウォール上にて、DNSプロキシを有効にした状態でアンチスパイウェアを有効にすると、設定が適切でないと、DNS要求がネットワーク全域で止められてしまう状況に陥ることがあります。これはパロアルトネットワークスの機器によるDNSリクエストと、疑わしいDNSクエリのブロック(アンチスパイウェアにより有効化)の取り扱いの仕方により発生します。

この文書はその発生の理由と解消方法について記載します。

 

原因

この問題は、パロアルトネットワークス ファイアウォールが外部DNSサーバー向けのセッションのみブロックしようとすることにより発生します。疑わしいDNSクエリを止めるためにアンチスパイウェア プロファイル(デフォルトの'strict'プロファイルも該当)を設定すると、ファイアウォールは悪意あるとみられるDNSのセッションをDISCARD(破棄)状態とします。これは該当するデバイスからのすべてのDNSトラフィックを、その悪意あるとみられるDNSのセッション開始からセッション タイムアウトまたはマニュアルでセッションをクリアするまで、ブロックし続けることを意味します。ユーザーが信頼された(内部)ゾーンから信頼されない(外部)ゾーンへのDNSクエリをブロックするアンチスパイウェア プロファイル設定を適用すると、望ましいDNSクエリもブロックされます(Diagram 1.0参照)。以下の図は前述のようなセキュリティ ポリシーが設定されている場合のパケット フローを説明するものです(Diagram 1.1参照)。これは疑わしいDNSクエリが検知されると、望ましいものがあったとしても、すべてのパロアルトネットワークス ファイアウォールからDNSサーバーへのDNSクエリが拒否される原因となります

 

 Suspicious DNS Queries with DNS Proxy - Diagram 1.0.pngSuspicious DNS Queries with DNS Proxy - Diagram 1.1.png

 

解決策

以下に図示する2つのポリシーを設定してください。(Diagram 2.0参照)。 最初のポリシーはユーザのファイアウォールからインターネットへのDNSクエリを許可するものです。これはネットワーク全域ですべてのDNSクエリをブロックしてしまうDISCARD(破棄)セッションの形成を防ぎます。二番目のポリシーはクライアントからファイアウォールに向かうトラフィックに対してのアンチスパイウェアを実行するためのものです。これは限定したクライアントからの疑わしいDNSクエリをブロックし、ネットワーク全域でのDNSクエリはブロックしません。

 

Suspicious DNS Queries with DNS Proxy - Diagram 2.0.png

 

参考

How to Configure DNS Proxy on a Palo Alto Networks Firewall

 

著者:jwebb