تخصيص حماية DNS لـ IPS

توضح هذه المقالة كيفية اختيار حماية DNS التي ينفذها حسابك كجزء من خدمة IPS.

نظرة عامة على حماية DNS

تحسين حماية DNS الخاصة بـ Cato الخدمة IPS وتمنحك تحكمًا دقيقًا في مستوى الأمان لحركة مرور DNS في حسابك. تطبيق حماية DNS بغض النظر عن خادم DNS الذي تستخدمه، أي أنه ينطبق على خادم DNS من Cato، وكلا من الخوادم الموثوقة وغير الموثوقة.

تقوم Cato بتحديث نطاقات وفئات DNS باستمرار وإضافة أنواع جديدة من الحماية إلى صفحة حماية DNS.

يوفر حماية DNS أمانًا قويًا من خلال حظر طلبات DNS قبل حدوث اتصال بين المضيف والخادم الضار (لا يوجد اتصال TCP أو UDP). عند تعطيل حماية DNS، لا يزال يوفر خدمة IPS بعض الحمايات ضد تهديدات DNS، ومع ذلك لا يغطي جميع التهديدات التي تغطيها حماية DNS، ويتم حظرها لاحقًا عند الوصول إلى الوجهة. لذلك، نوصي كأفضل ممارسة بتمكين كل من حماية IPS وحماية DNS.

يمكنك استخدام كتالوج التهديدات لمشاهدة حماية DNS المدرجة في خدمة IPS الأساسية وتلك المدرجة في حماية DNS.

أنواع حماية DNS

يمكنك تمكين أو تعطيل كل من تلك الحمايات الخاصة بـ DNS لتلبية متطلبات الأمان لديك.

  • المجالات الضارة: يكتشف طلبات DNS إلى مجالات معروفة بأنها تستضيف أو توزع محتوى ضار. حظر هذه الطلبات يساعد في منع المستخدمين والأجهزة من الاتصال بوجهات تستخدم للبرامج الضارة أو الاستغلال أو تهديدات أخرى.

  • مجالات مسجلة حديثاً: يكتشف طلبات DNS إلى مجالات تم تسجيلها مؤخراً وقد لا يكون لديها سمعة راسخة. غالباً ما يستخدم المهاجمون المجالات المسجلة حديثاً لحملات قصيرة الأمد، التصيد الاحتيالي، توزيع البرامج الضارة، أو نشاط القيادة والسيطرة.

  • عُمَّال التعدين الرقمية: يكتشف طلبات DNS إلى مجالات مرتبطة بأنشطة تعدين العملات الرقمية. هذا يساعد في تحديد وحظر برامج التعدين غير المصرح بها التي يمكن أن تستهلك موارد الجهاز، وتضعف الأداء، وتدل على مضيف مُخترق.

  • القيادة والسيطرة (C&C): يكتشف طلبات DNS إلى مجالات تستخدمها البرمجيات الضارة للتواصل مع البنية التحتية التي يسيطر عليها المهاجم. تشمل هذه الحماية أيضًا مجالات DNS Fast-Flux، حيث يقوم المهاجمون بتغيير سجلات DNS بسرعة لإخفاء الخوادم الضارة وجعل عملية إزالة النظام أكثر صعوبة.

  • الخوارزميات لتوليد المجالات: يكتشف طلبات DNS للمجالات التي يتم إنشاؤها خوارزميًا وتستخدم بشكل شائع من قبل البرامج الضارة للعثور على خوادم القيادة والسيطرة. حظر هذه المجالات يساعد في تعطيل اتصالات البرامج الضارة، حتى عندما يقوم المهاجم بتغيير أسماء المجالات النشطة بشكل متكرر.

  • التصيد الاحتيالي: يكتشف طلبات DNS للمجالات التي تُستخدم لتقليد مواقع الويب الموثوقة وسرقة بيانات الاعتماد أو المعلومات الحساسة. تشمل هذه الحماية أيضًا هجمات إعادة ربط DNS، حيث تحاول المجالات الضارة تجاوز حماية المتصفح والوصول إلى الموارد الداخلية.

  • DNS ديناميكي: يكتشف طلبات DNS إلى مجالات تستخدم خدمات DNS الديناميكي، حيث يمكن أن تتغير سجلات المجال بشكل متكرر للإشارة إلى عناوين IP مختلفة. في حين أن DNS الديناميكي يمكن أن يكون شرعيًا، إلا أن المهاجمين غالبًا ما يستخدمونه لنقل البنية التحتية الضارة بسرعة وتجنب الكشف.

  • نفق DNS: يكتشف حركة المرور لـ DNS التي تحاول تمرير البيانات عبر استفسارات واستجابات DNS. تشمل هذه الحماية أيضًا تقنيات نفق DNS البطيئة للغاية، حيث يتم استخراج البيانات تدريجياً لتجنب تنشيط اكتشافات مبنية على الحجم.

إغراق DNS

عندما يتم حظر طلب DNS، غالبًا ما يكون من المستحيل تحديد عنوان IP الخاص بالمضيف الأصلي الذي ينشئ الطلب، بسبب مرور الطلب من المضيف عبر أجهزة أخرى مثل خوادم DNS خاصة أو نقاط الوصول. تقدم Cato خيار إغراق DNS الذي يحل هذه المشكلة ويحدد عناوين IP للمضيفين المصابين على الشبكة التي تصدر طلبات DNS ضارة.

كيف يعمل الإغراق؟

عندما تكون حماية DNS مضبوطة على إجراء إغراق، تعيد محرك حماية DNS استجابة مزيفة إلى المضيف الذي يبحث عن المجال الضار، محللة البحث إلى عنوان IP لخادم إغراق Cato مخصص. تدفع Cato عنوان IP في نطاق نظام Cato (مثل 10.254.x.x) إلى المضيف. يحاول المضيف بعد ذلك الاتصال مباشرة عبر الإنترنت إلى عنوان IP هذا، مما يمكن خدمة IPS من تحديد عنوان IP الخاص بالمضيف. تقوم الخدمة بحظر حركة المرور وتقوم بالإبلاغ عن عنوان IP الخاص بالمضيف كمصدر IP في سجل الأحداث.

فهم أحداث الإغراق

عند تنفيذ إجراء الحفرة العميقة، يتم توليد حدثين. يرفع الحدث الأول تقريرًا عن تنفيذ إجراء الإغراق الذي تم اتخاذه عندما قام المضيف في الأصل بطلب الوجهة الضارة، وقد لا يعكس حقل المصدر IP عنوان المضيف العميل. يرفع الحدث الثاني تقريرًا عن أن طلب DNS قد تم حظره عندما حاول المضيف الاتصال بخادم الإغراق، والإجراء للحدث هو أيضًا الإغراق. يرفع هذا الحدث الثاني تقريرًا عن العنوان الفعلي للمضيف في حقل المصدر IP. يتيح لك ذلك بسهولة تحديد المضيفين المصابين على شبكتك عن طريق تصفية صفحة الأحداث لعرض الأحداث لجميع الحركات التي تتصل بعنوان IP الخاص بخادم الإغراق.

لمزيد من المعلومات حول أحداث حماية DNS، راجع تحليل أحداث حماية DNS.

تجربة المستخدم النهائية لإجراءات الحظر والإغراق

عندما يقوم محرك IPS بحظر طلب DNS، يتم إسقاط الاتصال بالمجال قبل تلقي المستخدم النهائي استجابة DNS.

عندما يتم إغراق طلب DNS، يتلقى المستخدم النهائي استجابة DNS، ويسقط الاتصال عندما يحاول المضيف الاتصال بخادم الإغراق.

المتطلبات المسبقة

  • يشمل ترخيص IPS حماية DNS. لمزيد من المعلومات حول شراء ترخيص IPS، يرجى الاتصال بممثل Cato الخاص بك.

عينة سير العمل للمجالات الضارة

هذا مثال على سير العمل لحماية DNS لـالمجالات الضارة، وعندما يحاول مضيف الوصول إلى مجال ضار.

  1. يحاول جهاز المضيف الوصول إلى مجال ضار من المتصفح.

  2. يتعرف محرك IPS على أن هناك طلب DNS لمجال ضار ويقوم بحظر طلب DNS.

  3. يتم حظر طلب DNS قبل حدوث اتصال بين المضيف والخادم الضار (بدون اتصال TCP أو UDP).

تعريف حماية DNS لحسابك

استخدم صفحة حماية DNS لتحديد أنواع حماية DNS التي يفرضها محرك IPS لحسابك. عندما تقوم بتمكين حماية DNS لحسابك، يقوم محرك IPS بفحص كل طلب DNS يتم إرساله عبر Cato Cloud. يتم فحص طلبات DNS أيضًا للحسابات التي لا تستخدم Cato كخادم DNS خاص بها، وتستخدم خادم DNS خاص بدلاً من ذلك.

لكل حماية DNS، يمكنك تعيين واحد من الإجراءات التالية:

  • السماح - لا يفرض محرك IPS الحماية، ومع ذلك يتم توليد حدث لتمكينك من مراقبة حركة المرور.

  • الحظر - يقوم محرك IPS بحظر طلبات DNS للحركة التي تطابق الحماية، ويتم إنشاء حدث.

  • الإغراق - يتم تحويل طلب DNS أولاً إلى خادم الإغراق، ثم يتم حظر الحركة التي تحاول الاتصال بالخادم. يتم إنشاء حدث منفصل لكل مرحلة من مراحل الإجراء الإغراق. لمزيد من المعلومات، يُرجى الاطلاع على تخريب DNS.

الإعدادات الافتراضية لحماية DNS

يحدد فريق أمان Cato الإجراء الافتراضي لكل حماية DNS بناءً على إمكانية التأثير على الحركات الشرعية في مؤسستك.

  • إجراء الحظر الافتراضي -الحمايات التي تعين لها الإجراء الافتراضي الحظر، عمومًا تحتوي على إيجابيات كاذبة قليلة ولن تؤثر على حركة المرور الشرعية. نوصي بأن تترك هذه الحمايات لـ DNS مع إجراء الحظر الافتراضي.

  • إجراء السماح الافتراضي -الحمايات التي تعين لها إجراء السماح بشكل افتراضي قد تولد قراءات خاطئة، ومن الممكن أن تحجب حركة المرور الشرعية في مؤسستك. نوصي بأن تقم بتغيير هذه الحمايات إلى إجراء الحظر، أولًا اجعل تلك الحمايات لـ DNS تعمل لبضعة أسابيع مع إجراء السماح واستعرض الأحداث لمراقبة عدد الإيجابيات الخاطئة.

DNS_Protection_Policy.png

لتحديد حماية DNS لحسابك:

  1. من قائمة التنقل، حدد الأمان > حماية DNS.

  2. انقر على المنزلق لتمكين (أخضر) أو تعطيل (رمادي) سياسة حماية DNS للحساب.

  3. لتخصيص نوع حماية DNS، انقر على الإجراء أو المتابعة لتلك الصف.

    تفتح اللوحة لنوع حماية DNS هذا.

    1. في قسم الإجراء، اختر السماح، الحظر، أو الإغراق لحركة مرور DNS التي تطابق الحماية.

    2. في قسم المتابعة، اختر إذا كنت تريد إرسال إشعارات البريد الإلكتروني للمرور الذي تطابق الحماية.

  4. انقر على تطبيق ثم انقر على حفظ.

قائمة السماح لحركة DNS

يمكنك إنشاء قاعدة قائمة السماح لـ IPS على صفحة IPS لتحديد استثناء والسماح لحركة DNS مع توقيع حماية DNS معين، أو يمكنك وضع توقيع حماية DNS في قائمة السماح من سجل حدث الحظر. لمزيد من المعلومات حول إنشاء قواعد قائمة السماح لـ IPS، راجع وضع التوقيعات في قائمة السماح لـ IPS.

يمكنك أيضًا وضع أسماء المجالات الموثوقة المعينة في قائمة السماح لـ IPS لاستبعادها من عمليات فحص حماية DNS.

لوضع أسماء النطاقات في قائمة السماح:

  1. من قائمة التنقل، انقر على الأمان > IPS.

  2. انقر على جديد. تفتح لوحة قائمة السماح الجديدة.

  3. أدخل الاسم للقاعدة.

  4. حدد النطاق للقاعدة كما يلي:

    • بالنسبة لحركة المرور التي تم تكوينها لاستخدام خادم DNS من Cato أو خادم DNS خاص، اختر Wan

    • بالنسبة لحركة المرور التي تم تكوينها لاستخدام خادم DNS عام، اختر Outbound

  5. تحت الوجهة، حدد النطاق، وأضف اسم النطاق المطلوب.

  6. انقر على تطبيق. تضاف قاعدة السماح لـ IPS إلى قاعدة القواعد.

  7. انقر على حفظ.

مراقبة حماية DNS باستخدام لوحة معلومات التهديدات

يتضمن لوحة معلومات التهديدات الأدوات الثلاثة التالية لمساعدتك في مراقبة حالة حماية DNS في حسابك:

  • نوع التهديدات - يعرض اسم نوع فئة DNS وعدد الأحداث لكل نوع

  • أعلى المجالات - يعرض قائمة بالمجالات الأعلى التي تم حظرها مع عدد أحداث حماية DNS لكل مجال

  • أعلى المضيفين - يعرض قائمة بأعلى المضيفين (عنوان IP المصدر) مع عدد أحداث حماية DNS لكل مضيف

Threats_Dashboard_-_DNS.png

تحليل أحداث حماية DNS

تعرض صفحة Home > أحداث جميع أحداث حماية DNS لحسابك. تتيح لك أدوات البحث القوية التركيز وتحديد الأحداث الرئيسية التي تحتوي على البيانات ذات الصلة التي تحتاجها.

يمكن تحديد أحداث حماية DNS عبر الحقول التالية:

  • نوع الحدث - الأمان

  • النوع الفرعي - حماية DNS

  • فئة حماية DNS - نوع حماية DNS الخاص بـ Cato الذي تطابق مع طلب DNS

  • استعلام DNS - النطاق الذي تم استعلامه في طلب DNS

يمكنك معرفة المزيد عن استخدام صفحة الأحداث هنا. يمكنك استخدام إعداد حماية DNS لتصفية الأحداث.

هل كان هذا المقال مفيداً؟

8 من 8 وجدوا هذا مفيداً

لا توجد تعليقات