PAN-OS 6.0’da DNS Sinkhole nasıl yapılandırılır?

Bu belgede, DNS sinkhole yapılandırmak için gereken adımları açıklayacağım. DNS sinkhole’ün ne olduğunun DNS sinkhole nedir? başlıklı yazımda kısaca açıklamıştım.

DNS sinkhole PAN-OS 6.0 tanıtılmış bir özellik ve, Anti-Spyware profillinden kolayca etkinleştirilebilmektedir. Palo Alto Networks’ün eklemiş olduğu bu özellik ile ağınızda yer alan zararlı yazılım bulaşmış bilgisayarların DNS sorguları ile dışarı çıkıp başka bilgisayar veya sunucular ile haberleşmesini engelleyebiliriz.

Nasıl Yapılır?

1. En güncel Antivirüs güncellemelerinin Palo Alto Networks cihazınızda yüklü olduğundan emin olun.

2. Sinkhole IP adresine sahip bir loopback arayüzünü (Network > Interfaces > Loopback) oluşturun. Aşağıdaki örnekte ben “loopback.10” arayüzü kullandım:

DNS_Sinkhole_01

3. DNS sinkholing etkin ve loopback arayüzü IP adresini belirterek (Objects > Security Profiles > Anti-Spyware) Anti-Spyware profili oluşturunuz:

DNS_Sinkhole_02

4. İç ağ (veya dahili DNS sunucusundan) internete doğru olan DNS trafiğine izin veriren güvenlik politikası üzerinde Anti-Spyware profiline uygulayın:

DNS_Sinkhole_03

5. Yapmış olduğunuz değişiklikleri commit’leyiniz.

Bir ağ protokolü analizörü kullanarak sinkholing beklendiği gibi çalıştığını doğrulalım. Ben örneğimde Wireshark kullandım:

1. Kötü niyetli bir domain adresine sahip yere bir ping başlatın:

DNS_Sinkhole_04

2. İlk DNS isteği:

DNS_Sinkhole_05

3. DNS Cevabı:

DNS_Sinkhole_06

4. Ayrıntılı bilgi Palo Alto threat log (tehdit günlüğünde) bulunabilir:

DNS_Sinkhole_07