Tutoriale

Sinkhole

Trebuie sa recunosc ca functia de „sinkhole” este de departe una din preferatele mele pe Palo Alto.

Conceptul este foarte simplu , Palo Alto are o baza de date plina de FQDN-uri malitioase , intergogarile si reply-urile  DNS sunt in clear text , firewall-ul nu face altceva decat sa asculte acest trafic si cand aude de o interograre pentru un domeniu care e in „blacklist” si spoofeaza raspunsul DNS cu un IP fals. In acest fel host-ul infectat incearca sa comunice cu IP-ul fals 😉 

 * Important de retinut e ca firewall-ul nu forwardeaza la serverele de DNS reale query-ul. 

Diagrama logica arata cam asa : 

Configurare : 

Se configureaza din : 
Objects – Anti Spyware – Click pe profilul de anti spyware – DNS singnatures tab. 
Pentru detalii referitoare la configurearea profilului de Anti Spyware exista un tutorial anterior. 

Configurarea este foarte simpla , se selecteaza sinkhole – Palo Alto Networks (preferinta personala) sau se poate crea un sinkhole . Atentie sinkhole-ul sa nu fie un IP real.
Recomand pentru o monitorizare mai buna sa creati si o regula se securitate in care blocati traficul spre sinkhole.

Log-urile le vedem in : 
Monitor – Threat
Monitor – 

Rezultatul il putem vedea si indirect de pe host cu „nslookup ” . Se observa ca IP-ul rezultat in urma nslookup este IP-ul de sinkhole a Palo Alto. 

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *