Personalización de las Protecciones DNS para IPS

Este artículo explica cómo elegir qué protecciones DNS implementa su cuenta como parte del servicio IPS.

Resumen de la Protección DNS

La Protección DNS de Cato mejora el servicio IPS y le ofrece control detallado sobre el nivel de seguridad para el tráfico DNS en su cuenta. La Protección DNS se aplica independientemente del servidor DNS que utilices, es decir, se aplica al servidor Cato DNS, y tanto a servidores confiables como no confiables.

Cato actualiza continuamente los dominios y categorías DNS y añade nuevos tipos de protecciones a la página de Protección DNS.

La Protección DNS proporciona una seguridad robusta bloqueando las solicitudes DNS antes de que haya una conexión entre el host y el servidor malicioso (sin handshake TCP o UDP). Cuando la Protección DNS está desactivada, el servicio IPS todavía proporciona algunas protecciones contra amenazas DNS, sin embargo, no cubre todas las amenazas cubiertas por la Protección DNS, y se bloquean en una etapa posterior cuando se accede al destino. Por lo tanto, recomendamos como mejor práctica habilitar tanto IPS como Protección DNS.

Puedes usar el Catálogo de Amenazas para ver las protecciones DNS incluidas en el servicio IPS básico y las incluidas en la Protección DNS.

Comprender los Tipos de Protección DNS

Puedes habilitar o deshabilitar cada una de estas protecciones DNS específicas para cumplir con tus requisitos de seguridad.

  • Dominios Maliciosos: Detecta solicitudes DNS a dominios conocidos por alojar o distribuir contenido malicioso. Bloquear estas solicitudes ayuda a evitar que usuarios y dispositivos se conecten a destinos utilizados para malware, exploits, u otras amenazas.

  • Dominios Recién Registrados: Detecta solicitudes DNS a dominios que fueron recientemente registrados y pueden no tener aún una reputación establecida. Los atacantes a menudo utilizan dominios recién registrados para campañas de corta duración, phishing, distribución de malware o actividad de mando y control.

  • Mineros de Criptomonedas: Detecta solicitudes DNS a dominios asociados con actividad de minería de criptomonedas. Esto ayuda a identificar y bloquear software de minería no autorizado que puede consumir recursos del dispositivo, degradar el rendimiento e indicar un host comprometido.

  • Mando y Control (C&C): Detecta solicitudes DNS a dominios utilizados por malware para comunicarse con infraestructuras controladas por atacantes. Esta protección también incluye dominios de DNS Fast-Flux, donde los atacantes cambian rápidamente los registros DNS para ocultar servidores maliciosos y dificultar la eliminación.

  • Algoritmos de Generación de Dominios: Detecta solicitudes DNS a dominios generados algorítmicamente comúnmente utilizados por malware para ubicar servidores de mando y control. Bloquear estos dominios ayuda a interrumpir la comunicación del malware, incluso cuando el atacante cambia frecuentemente los nombres de dominio activos.

  • Phishing: Detecta solicitudes DNS a dominios que se utilizan para imitar sitios web confiables y robar credenciales o información sensible. Esta protección también incluye ataques de re-enlace DNS, donde los dominios maliciosos intentan eludir las protecciones del navegador y acceder a recursos internos.

  • DNS Dinámico: Detecta solicitudes DNS a dominios que utilizan servicios DNS dinámicos, donde los registros de dominio pueden cambiar frecuentemente para apuntar a diferentes direcciones IP. Aunque el DNS dinámico puede ser legítimo, los atacantes a menudo lo utilizan para mover rápidamente infraestructuras maliciosas y evitar la detección.

  • Túnel DNS: Detecta tráfico DNS que intenta canalizar datos a través de consultas y respuestas DNS. Esta protección también incluye técnicas de tunelización DNS ultra-lentas, donde los datos se exfiltran gradualmente para evitar activar detecciones basadas en volumen.

Sinkhole DNS

Cuando se bloquea una solicitud DNS, a menudo no es posible identificar la dirección IP del host original que realiza la solicitud, debido a que la solicitud pasa del host a través de otros dispositivos como servidores DNS privados o puntos de acceso. Cato proporciona una opción de sinkhole DNS que resuelve este problema e identifica las direcciones IP de los hosts infectados en la red que emiten solicitudes DNS maliciosas.

¿Cómo funciona el Sinkhole?

Cuando una protección DNS se establece en la acción Sinkhole, el motor de Protección DNS devuelve una respuesta falsificada al host que consulta el dominio malicioso, resolviendo la consulta a la dirección IP de un servidor sinkhole designado por Cato. Cato asigna una IP en el rango del sistema Cato (como 10.254.x.x) al host. El host luego intenta conectarse directamente a través de Internet a esa dirección IP, permitiendo al servicio IPS identificar la dirección IP del host. El servicio bloquea el tráfico e informa la dirección IP del host como la IP de Origen en el registro de eventos.

Entender los Eventos de Sinkhole

Cuando se realiza la acción de Sumidero, se generan dos eventos. El primer evento informa la ejecución de la acción Sinkhole tomada cuando el host inicialmente consulta el destino malicioso, y el campo IP de Origen puede no reflejar la dirección del host cliente. El segundo evento informa que la solicitud DNS fue bloqueada cuando el host intentó conectarse al servidor sinkhole, y la acción para el evento también es Sinkhole. Este segundo evento informa la dirección IP real del host en el campo IP de Origen. Esto le permite identificar fácilmente los hosts infectados en su red filtrando la página de Eventos para mostrar eventos de todo el tráfico que se conecta a la dirección IP del servidor sumidero.

Para más información sobre los eventos de Protección DNS, vea abajo Analizando Eventos de Protección DNS.

Experiencia del Usuario Final con las Acciones de Bloqueo y Sinkhole

Cuando el motor IPS bloquea una solicitud DNS, la conexión al dominio se cae antes de que el usuario final reciba una respuesta DNS.

Cuando una solicitud DNS se redirige al sinkhole, el usuario final recibe una respuesta DNS, y la conexión se cae cuando el host intenta conectarse al servidor sinkhole.

Requisitos Previos

  • La Protección DNS está incluida en la licencia del IPS. Para más información sobre la compra de la licencia IPS, contacte a su representante de Cato.

Ejemplo de Flujo de Trabajo para Dominios Maliciosos

Este es un ejemplo del flujo de trabajo para la protección DNS de Dominios Maliciosos, y cuando un host intenta acceder a un dominio malicioso.

  1. El dispositivo host intenta acceder a un dominio malicioso desde el navegador.

  2. El motor IPS identifica que hay una solicitud DNS a un dominio malicioso y bloquea la solicitud DNS.

  3. La solicitud DNS se bloquea antes de que haya una conexión entre el host y el servidor malicioso (sin handshake TCP o UDP).

Definiendo las Protecciones DNS para su Cuenta

Utilice la página de Protección DNS para seleccionar qué tipos de Protecciones DNS implementa el motor IPS para su cuenta. Cuando habilita la Protección DNS para su cuenta, el motor IPS inspecciona cada solicitud DNS enviada a través de la Cato Cloud. Las solicitudes DNS también se inspeccionan para cuentas que no usan Cato como su servidor DNS y utilizan un servidor DNS privado en su lugar.

Para cada protección DNS, puedes establecer una de las siguientes acciones:

  • Permitir - El motor IPS no aplica la protección, sin embargo, se genera un evento para que puedas monitorear el tráfico.

  • Bloquear - El motor IPS bloquea las solicitudes DNS para el tráfico que coincide con la protección, y se genera un evento.

  • Sinkhole - La solicitud DNS se desvía primero al servidor sinkhole, luego se bloquea el tráfico que intenta conectarse al servidor. Se genera un evento separado para cada fase de la acción Sinkhole. Para más información, vea arriba Sumidero DNS.

Configuración Predeterminada para Protecciones DNS

El equipo de Seguridad de Cato define la acción predeterminada para cada protección DNS basada en el potencial de impactar tráfico legítimo en su organización.

  • Acción predeterminada de bloquear - Las protecciones asignadas a la acción de Bloquear por defecto, generalmente tienen pocos falsos positivos y no impactarán tráfico legítimo. Recomendamos que mantengas estas protecciones DNS con la acción predeterminada de bloquear.

  • Acción predeterminada de permitir - Las protecciones asignadas a la acción de Permitir por defecto pueden generar falsos positivos y es posible que puedan bloquear tráfico legítimo en tu organización. Recomendamos que antes de cambiar estas protecciones a la acción de Bloquear, primero ejecutes estas protecciones DNS por algunas semanas con la acción de Permitir y revises los eventos para monitorear la cantidad de coincidencias de falsos positivos.

DNS_Protección_Política.png

Para definir las Protecciones DNS para su cuenta:

  1. Desde el panel de navegación, selecciona Seguridad > Protección DNS.

  2. Haz clic en el deslizador para habilitar (verde) o deshabilitar (gris) la política de Protección DNS para la cuenta.

  3. Para personalizar un tipo de protección DNS, haz clic en la Acción o Seguimiento para esa fila.

    Se abre el panel para ese tipo de protección DNS.

    1. En la sección Acción, selecciona Permitir, Bloquear, o SInkhole el tráfico DNS que coincide con la protección.

    2. En la sección Seguimiento, selecciona si deseas enviar notificaciones por correo electrónico para el tráfico DNS que coincide con la protección.

  4. Haz clic en Aplicar y luego haz clic en Guardar.

Permitido de Tráfico DNS

Puede crear una regla de Permitido de IPS en la página IPS para definir una excepción y permitir el tráfico DNS con una firma de Protección DNS específica, o puede permitir una firma de Protección DNS desde un registro de evento de bloqueo. Para más información sobre la creación de reglas de Permitido de IPS, consulte Permitido de Firmas IPS.

También puede permitir nombres de dominio específicos de confianza en la Lista de Permitidos IPS para excluirlos de los escaneos de Protección DNS.

Para permitir nombres de dominio específicos:

  1. Desde el menú de navegación, haz clic en Seguridad > IPS.

  2. Haz clic en Nuevo. Se abre el panel de Nueva Lista de Permitidos.

  3. Introduce el Nombre para la regla.

  4. Seleccione el Alcance de la regla de la siguiente manera:

    • Para tráfico configurado para usar el servidor DNS predeterminado de Cato o un servidor DNS privado, selecciona Wan

    • Para tráfico configurado para usar un servidor DNS público, selecciona Saliente

  5. En Destino, seleccione Dominio, y agregue el nombre de dominio requerido.

  6. Haz clic en Aplicar. La regla de la lista de Permitidos de IPS se añade a la base de reglas.

  7. Haz clic en Guardar.

Monitoreo de las Protecciones DNS con el Dashboard de Amenazas

El Panel de Amenazas de Seguridad incluye los siguientes tres widgets para ayudarte a monitorear el estado de las protecciones DNS en tu cuenta:

  • Tipo de Amenazas - Muestra el nombre del tipo de categoría DNS y el número de eventos para cada tipo

  • Dominios Principales - Muestra una lista de los dominios principales que fueron bloqueados con el número de eventos de protección DNS para cada dominio

  • Hosts Principales - Muestra una lista de los hosts principales (dirección IP de origen) con el número de eventos de protección DNS para cada host

Threats_Dashboard_-_DNS.png

Análisis de Eventos de Protección DNS

La página Inicio > Eventos muestra todos los eventos de Protección DNS para tu cuenta. Las herramientas de búsqueda poderosas te permiten encontrar en detalle e identificar los eventos clave que contienen los datos relevantes que necesitas.

Los eventos de Protección DNS pueden identificarse por los siguientes campos:

  • Tipo de Evento - Seguridad

  • Sub-Tipo - Protección DNS

  • Categoría de Protección DNS - Tipo de Protección DNS de Cato que coincide con la solicitud DNS

  • Consulta DNS - Dominio consultado en la solicitud DNS

Puedes aprender más sobre el uso de la página de Eventos aquí. Puede utilizar el preset de Protección DNS para filtrar los eventos.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 8 de 8

0 comentarios