[Paloalto] FQDN Security Rule

서버나 PC에서 Web접속시 IP를 사용하지 않고 URL을 사용하여 접속하는 것이 일반적이다.

방화벽에서 특정 Web Site에 대한 차단을 해야 할 경우, 1개의 Web URL에 10개 또는 유동 IP가 사용될 경우 차단하기가 쉽지 않다.

 

이러한 경우 Web URL 자체를 차단하는 정책을 설정하면 되는데 이때 사용되는 IP address 객체를 FQDN 으로 설정해주면 된다.

 

DNS + IP를 섞은 기능이다.

테스트 환경

1. eve-ng

2. Centos7

3. Paloalto VM

4. PAN-OS 8.0.0

FQDN 특징

① FQDN은 IP address Object로 Src IP , Dst IP로 Security Policy에서 사용 가능하다.

② 1개의 FQDN에 32개의 IP를 매핑할 수 있다. ( CLI에서 확인 가능 )

③ Paloalto FW은 30분 마다 FQDN Refresh를 자동으로 수행한다. ( 수동으로도 가능 )

④ FQDN은 보안 취약성으로 인해 IP를 사용할 수 없을 경우만 사용하는 것을 권장한다.

→ 가이드 본문 : Use this method only when using an IP address is not possible

⑤ 방화벽에서 DNS 조회가 진행될 수 없다면 해당 기능은 사용할 수 없다.

FQDN 설정

1. 방화벽 DNS 설정

방화벽에서 DNS 조회가 가능하기 위해서 아래의 설정이 필요하다.

( 자동으로 시그니처 업데이트를 받기 위해서도 필요한 설정이다.)

 

1) Setup > Device > Service > DNS 설정

 

2) DNS 트래픽의 Outgoing-Interface 설정

2. Address Object 생성

• Type을 FQDN으로 설정하고 도메인을 적어준다.

  ( DNS 조회로 알 수 없는 Protocol 부분[http://]은 제외하고 작성해준다)

     - Resolve가 아래 그림처럼 보인다면 DNS 조회가 성공적인 것.

3. Security Policy 설정

• 다른 정책 설정과 동일하게 진행한다.
• 위의 2번에서 진행한 FQDN Object를 적용해준다.

FQDN 확인

1. FQDN Refresh 확인

1) Web 콘솔 우측 하단의 Tasks 클릭을 해보면

2) Refresh FQDN을 확인 할 수 있다. ( monitor > System 에서도 확인이 가능하다.

2. FQDN Mapping 확인

1. CLI 접속하여 > 모드에서 ( conf t 모드가 아님)

2. request system fqdn show 를 입력하면 저장된 Resolve 결과 목록이 보인다.

3. FQDN Refresh

1) CLI 접속하여 > 모드에서 ( conf t 모드가 아님)

2) request system fqdn refresh

3) 조회된 결과가 보인다.

 ※사용하지 않는 IP address Object에 대한 FQDN은 Not Used로 표기되어 조회되지 않는다. ※

 

4. FQDN Refresh 시간 변경

1) PA-9.0 미만 버전에서는 최소 시간이 10분이다. ( 이상 버전에서는 0~14400, Default 30 초 이다)

2) Web에서도 변경 가능하다

• Web > Device > Setup > Service

5. FQDN TTL 시간

1) 방화벽에 설정된 TTL > DNS 제공 TTL 인 경우, 방화벽 TTL 값을 사용하며 아닌 경우는 DNS 제공 TTL을 사용한다.

2) PA 9.0 이상부터 TTL Timeout 설정이 가능해진다.

 

TTL Timeout을 0으로 설정한다면 DNS 레코드 TTL 값을 기준으로 하여 DNS Refresh를 진행한다.

 

 

퍼블릭 클라우드가 증가함에 따라 도메인을 활용하는 서비스가 많아지고 있다.

따라서, IP 뿐만 아니라 DNS Query에 대한 처리와 관리를 할 수 있어야겠구나 싶다.