URLフィルタリングにEncrypted-DNS(DoH)カテゴリ追加

URLフィルタリングに新たにEncrypted-DNSカテゴリが追加されました。

  • 2022年12月8日から利用可能になっています。(コンテンツアップデートが必要です)
  • PAN-OS9.1以降で利用可能です。
  • デフォルトプロファイルではEncrypted-DNSカテゴリはAllow設定(アクセス許可・ログ収集しない)になっています。
  • カスタムプロファイルはデフォルト設定が全てAllowなので、今回追加されたEncrypted-DNSカテゴリもAllowになっていますのでAlertもしくはBlockに変更することを推奨します。
New Advanced URL Filtering/PANDB Category: Encrypted-DNS
Palo Alto Networks is releasing a new category called “Encrypted-DNS” under Advanced URL Filtering.    ACTION: By defaul...

Encrypted-DNSカテゴリとは?

Encrypted-DNSカテゴリは、DoH(DNS over HTTPS)で利用されるトラフィックを制御するために追加された新しいカテゴリです。DoHには以下のような特徴があります。

  • DNSをHTTPSで暗号化した通信
  • ポート番号はTCP 443番を利用

そのため、ファイアウォールのログを見ても他のHTTPS通信と区別することは困難です。また、DNSデータ部分はHTTPSにより暗号化されていますので、SSL復号を行わない限りクライアント端末がどのようなドメインの名前解決をおこなっているかについても確認することができません。

そこで今回新たに追加されたEncrypted-DNSカテゴリを利用することで、DoH通信に利用されるURLを識別することが可能になります。考えられる主な利用方法は以下3点です。

  • URLログで、Encrypted-DNSカテゴリの利用状況を確認する。
  • 復号ポリシーで、Encrypted-DNSカテゴリ(DoH通信)のみをSSL復号の対象にする。
  • セキュリティポリシーで、Encrypted-DNSカテゴリ(DoH通信)をブロックする。

なお、DoH通信をブロックした場合、クライアントはDNS通信を利用するようになるので、従来通りDNS通信を利用させたい場合はEncrypted-DNSカテゴリをブロック設定にします。(暗号化されたDNS通信にはDoT(DNS over TLS <TCP 853番>)もあるので同時にブロックしておきましょう。)

Encrypted-DNSカテゴリの設定変更

Encrypted-DNSカテゴリの設定方法を記載します。詳細な設定方法は「URLフィルタリング」を参照してください。

  • OBJECTSタブ → Security Profile → URL Filtering → カスタムで作成したプロファイルを選択
  • Encrypted-DNS カテゴリ列のSITE ACCESS設定をallowからalert、または、blockに変更します。

コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!

タイトルとURLをコピーしました