Descripción del problema
Este artículo aborda un problema común que los administradores pueden encontrar al trabajar con un Filtro DNS en FortiGate. Específicamente, se trata del registro de logs de Filtro DNS que aparecen marcados como ‘Tipo de Consulta: Desconocido – Valor de Tipo de Consulta: 65’. Este problema es relevante porque puede confundir a los administradores al interpretar estos registros, afectando la gestión y la seguridad de la red. A continuación, se ofrecerá una explicación detallada de este fenómeno, su contexto y cómo resolver posibles inquietudes relacionadas.
Alcance
FortiOS.
Diagnóstico paso a paso
A continuación, se muestra un ejemplo práctico en el que se realiza una solicitud DNS HTTPS en una máquina Linux, utilizando FortiGate como puerta de enlace con el filtro DNS habilitado.
root@ubuntu-srv:~# kdig outlook.office365.com -t TYPE65
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 6069
;; Flags: qr rd ra; QUERY: 1; ANSWER: 3; AUTHORITY: 1; ADDITIONAL: 0
;; SECCIÓN DE PREGUNTAS:
;; outlook.office365.com. IN HTTPS
;; SECCIÓN DE RESPUESTAS:
outlook.office365.com. 59 IN CNAME ooc-g2.tm-4.office.com.
ooc-g2.tm-4.office.com. 59 IN CNAME outlook.ms-acdc.office.com.
outlook.ms-acdc.office.com. 59 IN CNAME CDG-efz.ms-acdc.office.com.
;; SECCIÓN DE AUTORIDAD:
ms-acdc.office.com. 59 IN SOA ns1-ms-acdc.office.com. hostmaster.microsoft.com. 2036437040 900 600 86400 60
Registro generado:
date=2024-02-12 time=15:42:32 eventtime=1707752552867297278 tz=»+0000″ logid=»1501054802″ type=»utm» subtype=»dns» eventtype=»dns-response» level=»notice» vd=»PROD» policyid=13
poluuid=»e61d31e2-c9ba-51ee-249d-f65b553fd18e» policytype=»policy» sessionid=13161328 srcip=192.168.5.4 srcport=49334 srccountry=»Reserved» srcintf=»internal» srcintfrole=»undefined»
dstip=1.1.1.1 dstport=53 dstcountry=»Australia» dstintf=»npu0_vlink1″ dstintfrole=»undefined» proto=17 profile=»default» srcmac=»b6:e0:31:37:ca:73″ xid=6069 qname=»outlook.office365.com»
qtype=»Unknown» qtypeval=65 qclass=»IN» msg=»Dominio monitoreado» action=»pass» cat=255 catdesc=»Desconocido»
Este comportamiento no representa una amenaza de seguridad, ya que una consulta HTTPS a un dominio malicioso es redirigida al portal de bloqueo:
root@ubuntu-srv:~# kdig devcisco.com -t TYPE65
;; ADVERTENCIA: tiempo de espera de respuesta para 1.1.1.1@53(UDP)
;; ADVERTENCIA: paquete de respuesta malformado (datos sobrantes)
;; ->>HEADER<<- opcode: QUERY; status: SERVFAIL; id: 33847
;; Flags: qr rd; QUERY: 1; ANSWER: 0; AUTHORITY: 0; ADDITIONAL: 0
;; SECCIÓN DE PREGUNTAS:
;; devcisco.com. IN HTTPS
;; Recibido 32 B
;; Tiempo 2024-02-12 15:29:43 UTC
;; Desde 1.1.1.1@53(UDP) en 1047.7 ms
Log de filtro DNS:
date=2024-02-12 time=15:29:43 eventtime=1707751784070802178 tz=»+0000″ logid=»1501054601″ type=»utm» subtype=»dns» eventtype=»dns-response» level=»warning» vd=»PROD» policyid=13
poluuid=»e61d31e2-c9ba-51ee-249d-f65b553fd18e» policytype=»policy» sessionid=13156172 srcip=192.168.5.4 srcport=58520 srccountry=»Reserved» srcintf=»internal» srcintfrole=»undefined»
dstip=1.1.1.1 dstport=53 dstcountry=»Australia» dstintf=»npu0_vlink1″ dstintfrole=»undefined» proto=17 profile=»default» srcmac=»b6:e0:31:37:ca:73″ xid=33847 qname=»devcisco.com»
qtype=»Unknown» qtypeval=65 qclass=»IN» msg=»Dominio bloqueado por botnet C&C» action=»redirect» botnetdomain=»devcisco.com» rcode=2
Solución recomendada
Los registros de tipo de consulta «Desconocido» son información sobre consultas que no están completamente estandarizadas. Sin embargo, la solución es simplemente ignorar estas entradas, ya que no representan un problema de seguridad.
Comandos CLI utilizados
Para realizar verificación y pruebas, los siguientes comandos CLI son útiles:
kdig
Este comando realiza una consulta DNS para el tipo de registro TYPE65, que es el que genera los registros de tipo desconocido. Se recomienda usarlo de forma cautelosa, ya que la respuesta puede variar dependiendo del dominio consultado.
Buenas prácticas y recomendaciones
– Mantener los sistemas FortiGate actualizados para estar en línea con las últimas directrices y estándares de la IETF.
– Monitorear los logs de DNS regularmente para identificar patrones inusuales.
– Consultar la documentación oficial de Fortinet para configuración de filtros DNS.
Notas adicionales
Los registros DNS de tipo 65 son parte de un estándar en propuesta que busca mejorar la seguridad de las consultas HTTPS. A medida que evoluciona la tecnología, es probable que se actualicen los campos y se estandaricen los tipos de consulta, así que estar al tanto de estas actualizaciones es crucial para un buen mantenimiento de la infraestructura de red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!