DNSトンネル検出を有効にする
SRXシリーズファイアウォールでDNSトンネル検出を有効にするには:
security-metadata-streaming ポリシーを設定します。
set services security-metadata-streaming policy dns_policy dns detections tunneling action <deny| sinkhole|permit> set services security-metadata-streaming policy dns_policy dns detections tunneling notification log set services security-metadata-streaming policy dns_policy dns detections tunneling inspection-depth <value> set services security-metadata-streaming policy dns_policy dns detections tunneling fallback-options notification log set services security-metadata-streaming policy dns_policy dns detections all action <permit | deny | sinkhole> set services security-metadata-streaming policy dns_policy dns detections all notification log set services security-metadata-streaming policy dns_policy dns detections all fallback-options notification log
アクションがシンクホールとして設定されている場合は、DNSシンクホールを設定します。 「DNSシンクホールの設定」を参照してください。
階層レベルで
tunnelingオプション[edit services security-metadata-streaming policy dns_policy dns detections]設定します。security-metadata-streaming { policy dns_policy { dns { detections { tunneling { action [deny | permit | sinkhole]; fallback-options { notification { log; } } inspection-depth value; notification [log | log-detections]; } } } } }ゾーンレベルでセキュリティファイアウォールポリシーにセキュリティメタデータストリーミングポリシーをアタッチします。
set security policies from-zone zone-name to-zone zone-name application-services security-metadata-streaming-policy dns_policy
設定をコミットします。
commit
show services security-metadata-streaming dns statisticsコマンドを使用して、セキュリティメタデータストリーミングポリシーのDNS統計情報を表示します。
show services security-metadata-streaming dns statistics Logical system: root-logical-system DNS session statistics: Cache Hits: 0 Cache Misses: 116 C2 Sessions Permitted: 0 C2 Sessions Dropped: 0 C2 Sessions Sinkholed: 12 DNS submission statistics: Domain Submission Success: 43 Domain Submission Failures: 0 Safe Verdicts Received: 8 C2 Verdicts Received: 12 DNS Tunnels Detected: 0 Latency Fallback Triggered: 0 ATP latency statistics: Average Latency: 63ms Maximum Latency: 119ms Minimum Latency: 39ms sub-50ms response: 52 (6%) sub-100ms response: 4000 (88%) sub-250ms response: 30 (4%) sub-500ms response: 2 (2%)
show services dns-filtering cache コマンドを使用して、DNS キャッシュ内の詳細を表示します。
show services dns-filtering cache Logical System:root-logical-system DNS Cache Refresh Rate:5 Minutes on FPC0 PIC0 Domain-Name, TTL, Prevalence , Verdict, Hitcount a0.com, 480, 1, C2, 1 Logical System:root-logical-system DNS Cache Refresh Rate:5 Minutes on FPC0 PIC1 Domain-Name, TTL, Prevalence , Verdict, Hitcount a10.com, 480, 1, C2, 1
手記:
DNSトンネル検出は、Junos OS 21.2R1以降のリリースでサポートされています。