Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

DNSシンクホールの概要

DNSシンクホール機能を使用すると、ドメインをホール サーバーに解決するか、DNS 要求を拒否することで、許可されていないドメインの DNS 要求をブロックできます。

SRXシリーズファイアウォールでDNSフィルタリングを設定して、許可されていないドメインに対するDNSリクエストを特定できます。

手記:

Junos OS リリース 20.4 R1 以降、vSRX仮想ファイアウォールインスタンスと、SRX 5000シリーズのデバイスを除くすべてのSRXシリーズファイアウォールでDNSフィルタリングを設定できます。SRX 5000シリーズのデバイスでDNSフィルタリングを設定するためのサポートは、Junos OS リリース21.1 R1で導入されました。

許可されていないドメインの DNS 要求を特定したら、次のいずれかの操作を実行できます。

  • SRXシリーズファイアウォールでホストされているホール サーバーのIPアドレスまたは完全修飾ドメイン名(FQDN)を含むDNS 応答を送信して、許可されていないドメインへのアクセスをブロックします。これにより、クライアントが許可されていないドメインにトラフィックを送信しようとすると、トラフィックは代わりにホール サーバーに送られます。

  • DNS 要求をログに記録し、アクセスを拒否します。

既知の不正なドメインに対する DNS 要求は、クエリの種類 (QTYPE) に従って処理されます。タイプ(A、AAAA、MX、CNAME、TXT、SRV、ANY)のDNSクエリは、シンクホールアクションが発生し、個別にカウントおよび報告されます。他のタイプのDNSクエリは、不正なドメインに一致してのみログに記録され(その後、通過が許可され)、タイプ「misc」として一緒に報告されます。

手記:
  • DNSシンクホール機能は、Juniper ATP Cloudライセンスでのみ使用できます。機能固有のライセンス情報については、「 ATP Cloud のソフトウェア ライセンス」を参照してください。

  • ホール サーバーは、不適切なユーザーによる許可されていないドメインへのそれ以上のアクセスを防止したり、アクセスを許可しながら他のアクションを実行したりできます。ホール サーバー アクションは、DNS フィルタリング機能によって制御されません。ホール サーバー アクションは、個別に設定する必要があります。

利点

  • 許可されていないドメインへの DNS 要求をシンクホール サーバーにリダイレクトし、システムを操作しているすべてのユーザーが許可されていないドメインにアクセスできないようにします。

  • SecIntelフィードを介して、許可されていないドメインのインラインブロックを提供します。

  • ネットワーク内の感染したホストを特定するのに役立ちます。

ワークフロー

DNSシンクホールの論理トポロジーを 図1に示します。

図1:DNSシンクホール DNS Sinkhole

DNSシンクホール機能を使用してネットワーク内の感染したホストを特定するためのワークフローの概要は次のとおりです。

表1:DNSシンクホールを使用した感染ホストの特定

形容

1

クライアントが不正なドメイン サーバーの DNS 要求を送信します。

2

SRXシリーズファイアウォールは、まず企業のDNS サーバーにドミアンのクエリーを実行します。DNS クエリが不明な場合、企業の DNS サーバーは要求をパブリック DNS ルート サーバーに転送します。

3

Juniper ATP Cloudポリシーで設定されたSRXシリーズファイアウォールは、不明なDNSクエリを検査のために企業DNS サーバーからJuniper ATP Cloudにストリーミングします。

4

Juniper ATP Cloudは、許可リストDNSフィード、カスタムDNSフィード、グローバルDNSフィードなどのテナント単位(LSYS/TSYS)ドメインフィードをSRXシリーズファイアウォールに提供します。

Juniper ATP Cloudは、サードパーティーのソースからFQDN情報を収集し、Juniper Threat LabのグローバルDNSフィードも収集します。お客様は、OpenAPIを介して、独自にカスタマイズしたDNSフィードを投稿できます。

5

SRXシリーズファイアウォールは、ATP CloudからDNSドメインフィードをダウンロードし、一致したドメインにシンクホール、ブロック(ドロップ/クローズ)、許可、推奨などのアクションを適用します。

  • 許可リストに登録されたフィードの場合、DNS 要求がログに記録され、アクセスが許可されます。

  • カスタム DNS フィードの場合、一致したドメインの脅威レベルに基づいて、sinkhole、ドロップまたはクローズ、permit、およびrecommendedアクションを含むblockが許可されます。

手記:

デフォルトでは、SRXシリーズ ファイアウォールは、許可されていないドメインの DNS クエリに対して、デフォルトのホール サーバーで応答します。

6

この例では、SRXシリーズファイアウォールはシンクホールアクションで設定されています。Juniper ATP Cloudが不正ドメインサーバーを悪意のあるドメインとして特定すると、SRXシリーズファイアウォールは不正ドメインサーバーのクエリーに独自のシンクホールIPアドレスで応答します。

7

クライアントは不正なドメイン サーバーとの通信を試みますが、代わりに SRXシリーズ ファイアウォールでホストされているシンクホール IP アドレスに接続します。

8

シンクホールIPアドレスに接続している感染クライアントが特定され、感染ホストフィードに追加され、隔離されます。システム管理者は、脅威ログとトラフィック ログでシンクホールの IP アドレスを検索することで、シンクホールの IP アドレスと通信を試みているすべてのクライアントを特定できます。