Cet article explique comment choisir les protections DNS que votre compte applique dans le cadre du service IPS.
La protection DNS de Cato améliore le service IPS et vous offre un contrôle granulaire sur le niveau de sécurité pour le trafic DNS dans votre compte. La protection DNS s'applique quel que soit le serveur DNS que vous utilisez, c'est-à-dire qu'elle s'applique au serveur DNS Cato, ainsi qu'aux serveurs de confiance et non de confiance.
Cato met continuellement à jour les domaines et catégories DNS et ajoute de nouveaux types de protections à la page de protection DNS.
La protection DNS fournit une sécurité robuste en bloquant les requêtes DNS avant qu'il y ait une connexion entre l'hôte et le serveur malveillant (pas de handshake TCP ou UDP). Lorsque la protection DNS est désactivée, le service IPS fournit toujours certaines protections contre les menaces DNS, mais il ne couvre pas toutes les menaces prises en charge par la protection DNS, et elles sont bloquées à un stade ultérieur lorsque la destination est atteinte. Par conséquent, nous recommandons, comme bonne pratique, d'activer à la fois la protection DNS et IPS.
Vous pouvez utiliser le Catalogue des Menaces pour voir les protections DNS incluses dans le service IPS de base et celles incluses dans la Protection DNS.
Vous pouvez activer ou désactiver chaque protection DNS spécifique pour répondre à vos exigences de sécurité.
-
Domaines malveillants: Détecte les requêtes DNS vers les domaines connus pour héberger ou distribuer du contenu malveillant. Bloquer ces requêtes aide à empêcher les utilisateurs et les appareils de se connecter à des destinations utilisées pour les logiciels malveillants, les exploits ou d'autres menaces.
-
Domaines nouvellement enregistrés: Détecte les requêtes DNS vers des domaines récemment enregistrés qui peuvent ne pas encore avoir de réputation établie. Les attaquants utilisent souvent des domaines nouvellement enregistrés pour des campagnes de courte durée, de hameçonnage, de distribution de logiciels malveillants ou d'activité de commande et de contrôle.
-
Mineurs de crypto: Détecte les requêtes DNS vers les domaines associés à des activités de minage de cryptomonnaie. Cela aide à identifier et à bloquer les logiciels de minage non autorisés qui peuvent consommer des ressources d'appareils, dégrader les performances et indiquer un hôte compromis.
-
Commande et contrôle (C&C): Détecte les requêtes DNS vers des domaines utilisés par des logiciels malveillants pour communiquer avec une infrastructure contrôlée par un attaquant. Cette protection inclut également les domaines DNS Fast-Flux, où les attaquants modifient rapidement les enregistrements DNS pour dissimuler les serveurs malveillants et rendre la suppression plus difficile.
-
Algorithmes de génération de domaines: Détecte les requêtes DNS vers des domaines générés algorithmiquement couramment utilisés par les logiciels malveillants pour localiser des serveurs de commande et de contrôle. Bloquer ces domaines aide à interrompre la communication des logiciels malveillants, même lorsque l'attaquant change fréquemment les noms de domaine actifs.
-
Hameçonnage: Détecte les requêtes DNS vers des domaines utilisés pour imiter des sites web de confiance et voler des identifiants ou des informations sensibles. Cette protection inclut également les attaques de rebond DNS, où les domaines malveillants tentent de contourner les protections du navigateur et d'accéder aux ressources internes.
-
DNS dynamique: Détecte les requêtes DNS vers des domaines utilisant des services DNS dynamiques où les enregistrements de domaine peuvent fréquemment changer pour pointer vers différentes adresses IP. Bien que le DNS dynamique puisse être légitime, les attaquants l'utilisent souvent pour déplacer rapidement des infrastructures malveillantes et éviter la détection.
-
Tunneling DNS: Détecte le trafic DNS qui tente de faire passer des données par des requêtes et réponses DNS. Cette protection inclut également des techniques de tunneling DNS ultra-lent, où les données sont exfiltrées progressivement pour éviter de déclencher des détections basées sur le volume.
Lorsqu'une requête DNS est bloquée, il est souvent impossible d'identifier l'adresse IP de l'hôte d'origine effectuant la requête, en raison du passage de la requête de l'hôte à travers d'autres dispositifs tels que des serveurs DNS privés ou des points d'accès. Cato propose une option de redirection de DNS qui résout ce problème et identifie les adresses IP des hôtes infectés sur le réseau émettant des requêtes DNS malveillantes.
Lorsque la protection DNS est réglée sur l'action Sinkhole, le moteur de protection DNS renvoie une réponse falsifiée à l'hôte interrogeant le domaine malveillant, résolvant la requête à l'adresse IP d'un serveur sinkhole Cato désigné. Cato pousse une IP dans la plage du système Cato (telle que 10.254.x.x) vers l'hôte. L'hôte tente alors de se connecter directement sur Internet à cette adresse IP, ce qui permet au service IPS d'identifier l'adresse IP de l'hôte. Le service bloque le trafic et signale l'adresse IP de l'hôte comme étant l'IP source dans le journal des événements.
Lorsque l'action Trou noir est exécutée, deux événements sont générés. Le premier événement rapporte l'exécution de l'action Sinkhole effectuée lorsque l'hôte interroge initialement la destination malveillante, et le champ IP source peut ne pas refléter l'adresse de l'hôte client. Le deuxième événement rapporte que la requête DNS a été bloquée lorsque l'hôte a tenté de se connecter au serveur sinkhole, et l'action pour l'événement est également Sinkhole. Ce deuxième événement rapporte la véritable adresse IP de l'hôte dans le champ IP source. Cela vous permet d'identifier facilement les hôtes infectés sur votre réseau en filtrant la page Événements pour montrer les événements de tout le trafic se connectant à l'adresse IP du serveur trou noir.
Pour plus de détails sur les événements de Protection DNS, voir ci-dessous Analyser Événements de Protection DNS.
Lorsque le moteur IPS bloque une requête DNS, la connexion au domaine est interrompue avant que l'utilisateur final ne reçoive une réponse DNS.
Lorsque une requête DNS est redirigée vers le sinkhole, l'utilisateur final reçoit une réponse DNS, et la connexion est interrompue lorsque l'hôte tente de se connecter au serveur sinkhole.
-
La protection DNS est incluse dans la licence IPS. Pour plus d'informations sur l'achat de la licence IPS, veuillez contacter votre représentant Cato.
Ceci est un exemple de flux de travail pour la protection DNS des Domaines Malveillants, et quand un hôte essaie d'accéder à un domaine malveillant.
-
Le dispositif hôte tente d'accéder à un domaine malveillant depuis le navigateur.
-
Le moteur IPS identifie qu'il y a une requête DNS vers un domaine malveillant et bloque la requête DNS.
-
La requête DNS est bloquée avant qu'il y ait une connexion entre l'hôte et le serveur malveillant (pas de handshake TCP ou UDP).
Utilisez la page de protection DNS pour sélectionner quels types de protections DNS le moteur IPS applique pour votre compte. Lorsque vous activez la protection DNS pour votre compte, le moteur IPS inspecte chaque requête DNS envoyée à travers le Cato Cloud. Les requêtes DNS sont également inspectées pour les comptes qui n'utilisent pas Cato comme leur serveur DNS et utilisent un serveur DNS privé à la place.
Pour chaque protection DNS, vous pouvez définir l'une des actions suivantes :
-
Autoriser - Le moteur IPS n'applique pas la protection, cependant, un événement est généré pour vous permettre de surveiller le trafic.
-
Bloquer - Le moteur IPS bloque les requêtes DNS pour le trafic qui correspond à la protection, et un événement est généré.
-
Sinkhole - La requête DNS est d'abord détournée vers le serveur sinkhole, puis le trafic tentant de se connecter au serveur est bloqué. Un événement distinct est généré pour chaque phase de l'action Sinkhole. Pour plus d'informations, voir ci-dessus DNS Trou Noir.
Paramètres par défaut pour les protections DNS
L'équipe de sécurité de Cato définit l'action par défaut pour chaque protection DNS en fonction du potentiel d'impact sur le trafic légitime dans votre organisation.
-
Action Bloquer par défaut - Les protections assignées à l'action Bloquer par défaut ont généralement peu de faux positifs et n'affecteront pas le trafic légitime. Nous recommandons de laisser ces protections DNS avec l'action Bloquer par défaut.
-
Action Autoriser par défaut - Les protections assignées à l'action Autoriser par défaut peuvent générer des faux positifs et il est possible qu'elles bloquent du trafic légitime dans votre organisation. Nous recommandons qu'avant de changer ces protections à l'action Bloquer, vous exécutiez d'abord ces protections DNS pendant quelques semaines avec l'action Autoriser et que vous examiniez les événements pour surveiller le nombre de correspondances de faux positifs.
Pour définir les protections DNS pour votre compte :
-
Dans le panneau de navigation, sélectionnez Sécurité > Protection DNS.
-
Cliquez sur le curseur pour activer (vert) ou désactiver (gris) la politique de Protection DNS pour le compte.
-
Pour personnaliser un type de protection DNS, cliquez sur l'Action ou le Suivi pour cette ligne.
Le panneau s'ouvre pour ce type de protection DNS.
-
Dans la section Action, sélectionnez pour Permettre, Bloquer, ou SInkhole le trafic DNS qui correspond à la protection.
-
Dans la section Suivi, sélectionnez si vous souhaitez envoyer des notifications par email pour le trafic DNS qui correspond à la protection.
-
-
Cliquez sur Appliquer puis cliquez sur Sauvegarder.
Vous pouvez créer une règle de liste d'autorisation IPS sur la page IPS pour définir une exception et autoriser le trafic DNS avec une signature de protection DNS spécifique, ou vous pouvez autoriser une signature de protection DNS depuis un journal d'événement de blocage. Pour plus d'informations sur la création de règles de liste d'autorisation IPS, voir Liste d'autorisation des signatures IPS.
Vous pouvez également autoriser des noms de domaine spécifiques de confiance dans la liste d'autorisation IPS pour les exclure des analyses de protection DNS.
Pour autoriser des noms de domaine spécifiques :
-
Depuis le menu de navigation, cliquez sur Sécurité > IPS.
-
Cliquez sur Nouveau. Le panneau Nouvelle Liste de Permission s'ouvre.
-
Entrez le Nom pour la règle.
-
Sélectionnez l'étendue de la règle comme suit :
-
Pour le trafic configuré pour utiliser le serveur DNS Cato par défaut ou un serveur DNS privé, sélectionnez Wan
-
Pour le trafic configuré pour utiliser un serveur DNS public, sélectionnez Sortant
-
-
Sous Destination, sélectionnez Domaine, et ajoutez le nom de domaine requis.
-
Cliquez sur Appliquer. La règle de liste blanche IPS est ajoutée à la base de règles.
-
Cliquez sur Sauvegarder.
Le tableau de bord des menaces inclut les trois widgets suivants pour vous aider à surveiller l'état des protections DNS de votre compte :
-
Type de menaces - Affiche le nom du type de catégorie DNS et le nombre d'événements pour chaque type
-
Principaux domaines - Affiche une liste des principaux domaines bloqués avec le nombre d'événements de protection DNS pour chaque domaine
-
Principaux hôtes - Affiche une liste des principaux hôtes (adresse IP source) avec le nombre d'événements de protection DNS pour chaque hôte
La page Accueil > Événements affiche tous les événements de protection DNS pour votre compte. Les outils de recherche puissants vous permettent d'approfondir et d'identifier les événements clés contenant les données pertinentes dont vous avez besoin.
Les événements de protection DNS peuvent être identifiés par les champs suivants :
-
Type d'événement - Sécurité
-
Sous-type - Protection DNS
-
Catégorie de protection DNS - Type de protection DNS de Cato correspondant à la requête DNS
-
Requête DNS - Domaine interrogé dans la demande DNS
Vous pouvez en savoir plus sur l'utilisation de la page Événements ici. Vous pouvez utiliser le préréglage Protection DNS pour filtrer les événements.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.