IPS के लिए DNS सुरक्षा को अनुकूलित करना

यह लेख बताता है कि IPS सेवा के हिस्से के रूप में आपके खाते द्वारा लागू की जाने वाली DNS सुरक्षा का चयन कैसे करें।

DNS सुरक्षा का अवलोकन

Cato की DNS सुरक्षा IPS सेवा को बढ़ाती है और आपको आपके खाते में DNS ट्रैफिक की सुरक्षा के स्तर पर विस्तृत नियंत्रण देती है। यह DNS सर्वर के लिए एक महत्वपूर्ण सुरक्षा है, यह Cato DNS सर्वर और विश्वसनीय एवं अविश्वसनीय दोनों सर्वरों के लिए लागू होती है।

Cato लगातार DNS डोमेन्स और श्रेणियां अपडेट करता है और DNS सुरक्षा पृष्ठ पर सुरक्षा के नए प्रकार जोड़ता है।

DNS सुरक्षा मेजबान और दुर्भावनापूर्ण सर्वर के बीच कनेक्शन से पहले (कोई TCP या UDP हैंडशेक नहीं) DNS अनुरोधों को अवरुद्ध करके मजबूत सुरक्षा प्रदान करती है। जब DNS सुरक्षा अक्षम होती है, तो IPS सेवा DNS खतरे के लिए कुछ सुरक्षा प्रदान करती है, हालांकि यह सभी सुरक्षा कवरेज नहीं देती जो DNS सुरक्षा देती है, और वे अवरुद्ध होते हैं जब गंतव्य तक पहुँच की जाती है। अतः, हम सर्वोत्तम प्रथाओं के रूप में IPS और DNS सुरक्षा दोनों को सक्षम करने की अनुशंसा करते हैं।

आप खतरा कैटलॉग का उपयोग करके बुनियादी IPS सेवा में शामिल DNS सुरक्षा और DNS सुरक्षा में शामिल सुरक्षा देख सकते हैं।

DNS सुरक्षा प्रकारों को समझना

आप अपनी सुरक्षा आवश्यकताओं को पूरा करने के लिए इन विशिष्ट DNS सुरक्षा को सक्षम या अक्षम कर सकते हैं।

  • दुर्भावनापूर्ण डोमेन्स: यह उन डोमेन्स का पता लगाता है जो हानिकारक सामग्री को होस्ट या वितरित करते हैं। ये अनुरोधों को अवरुद्ध करने से उपयोगकर्ताओं और उपकरणों को मैलवेयर, एक्सप्लॉइट्स, या अन्य खतरों के लिए उपयोग किए गए गंतव्यों से कनेक्ट करने से रोकने में मदद मिलती है।

  • नवीनतम पंजीकृत डोमेन्स: हाल ही में पंजीकृत डोमेन्स को पहचानता है जिनकी प्रतिष्ठा स्थापित नहीं हो सकी है। आक्रमणकारियों अक्सर नवीनतम पंजीकृत डोमेन्स का उपयोग अल्पकालिक अभियान, फ़िशिंग, मैलवेयर वितरण या कमांड और नियंत्रण गतिविधियों के लिए करते हैं।

  • क्रिप्टो माइनर्स: क्रिप्टोकरेंसी माइनिंग गतिविधियों से जुड़े डोमेन्स के DNS अनुरोध का पता लगाता है। यह अनधिकृत माइनिंग सॉफ़्टवेयर की पहचान और अवरोधन में मदद करता है जो उपकरण संसाधनों का उपभोग कर सकता है, प्रदर्शन को घटा सकता है, और एक संक्रमित होस्ट को इंगित कर सकता है।

  • कमांड और नियंत्रण (C&C): उन डोमेन्स के DNS अनुरोध का पता लगाता है जिन्हें मैलवेयर हमलावर नियंत्रित बुनियादी ढांचे से संवाद करने के लिए उपयोग करता है। यह सुरक्षा DNS फास्ट-फ्लक्स डोमेन्स को भी शामिल करता है, जहाँ हमलावर हानिकारक सर्वरों को छुपाने और टेकडाउन को मुश्किल बनाने के लिए DNS रिकॉर्ड्स को तेज़ी से बदलते हैं।

  • डोमेन जनरेशन एल्गोरिदम्स: मैलवेयर द्वारा कमांड और नियंत्रण सर्वरों को खोजने के लिए सामान्य रूप से उपयोग किए जाने वाले एल्गोरिदम द्वारा उत्पन्न डोमेन्स के DNS अनुरोध का पता लगाता है। इन डोमेन्स को अवरुद्ध करना मैलवेयर संचार को बाधित करने में मदद करता है, भले ही हमलावर सक्रिय डोमेन नामों को बार-बार बदलता हो।

  • फ़िशिंग: DNS अनुरोध का पता लगाता है उन डोमेन्स के लिए जो विश्वसनीय वेबसाइटों को धोखा देने और प्रमाणपत्र या संवेदनशील जानकारी चुराने के लिए उपयोग किए जाते हैं। यह सुरक्षा DNS रिबाइंडिंग हमलों को भी शामिल करता है, जहाँ हानिकारक डोमेन्स ब्राउज़र सुरक्षा को बायपास करने और आंतरिक संसाधनों तक पहुँच पाने का प्रयास करते हैं।

  • डायनामिक DNS: उन डोमेन्स के DNS अनुरोध का पता लगाता है जो डायनामिक DNS सेवाओं का उपयोग करते हैं, जहाँ डोमेन रिकॉर्ड्स अक्सर विभिन्न आईपी पते की ओर संकेत करने के लिए बदल सकते हैं। हालांकि डायनामिक DNS कानूनी हो सकता है, आक्रमणकारियों इसका उपयोग हानिकारक बुनियादी ढांचे को शीघ्रता से स्थानांतरित करने और पहचान से बचने के लिए करते हैं।

  • DNS टनलिंग: DNS प्रश्नों और उत्तरों के माध्यम से डेटा टनल करने का प्रयास करने वाले DNS यातायात का पता लगाता है। यह सुरक्षा अल्ट्रा-स्लो DNS टनलिंग तकनीक को भी शामिल करता है, जहाँ डेटा को धीरे-धीरे निकाला जाता है ताकि मात्रा-आधारित पहचान को ट्रिगर करने से बचा जा सके।

DNS सिंकहोलिंग

जब DNS अनुरोध अवरुद्ध होता है, तो प्रायः यह पहचानना संभव नहीं हो सकता है कि अनुरोध करने वाला मूल मेज़बान का IP पता क्या है, क्योंकि अनुरोध मेजबान से अन्य उपकरणों जैसे निजी DNS सर्वर या एक्सेस पॉइंट्स के माध्यम से गुजरता है। Cato एक DNS सिंकहोलिंग विकल्प प्रदान करता है जो इस मुद्दे का समाधान करता है और नेटवर्क पर दुर्भावनापूर्ण DNS अनुरोध जारी करने वाले संक्रमित मेज़बानों के IP पते की पहचान करता है।

सिंकहोलिंग कैसे काम करता है?

जब DNS सुरक्षा को सिंकहोल कार्रवाई पर सेट किया जाता है, तो DNS सुरक्षा इंजन दुर्भावनापूर्ण डोमेन की क्वेरी करते हुए होस्ट को फर्जी प्रतिक्रिया देता है, क्वेरी को निर्दिष्ट Cato सिंकहोल सर्वर के IP पते पर हल करता है। Cato सिस्टम रेंज में (जैसे 10.254.x.x) होस्ट को आईपी पुस करता है। मेज़बान तब सीधे इंटरनेट पर उस IP पते से कनेक्ट करने का प्रयास करता है, जिससे IPS सेवा मेजबान IP पते की पहचान कर सकती है। सेवा ट्रैफ़िक को अवरुद्ध कर देती है और घटना लॉग में मेज़बान IP पते को स्रोत IP के रूप में रिपोर्ट करती है।

सिंकहोल इवेंट्स को समझना

जब सिंकहोल प्रक्रिया की जाती है, तो दो घटनाएँ उत्पन्न होती हैं। पहली घटना रिपोर्ट करती है कि जब मेज़बान ने प्रारंभिक रूप से दुर्भावनापूर्ण गंतव्य की क्वेरी की, तो सिंकहोल कार्रवाई का निष्पादन हुआ, और स्रोत IP फ़ील्ड क्लाइंट मेज़बान के पते को नहीं दर्शा सकता है। दूसरी घटना रिपोर्ट करती है कि जब मेज़बान ने सिंकहोल सर्वर से कनेक्ट करने का प्रयास किया, तब DNS अनुरोध अवरुद्ध हो गया, और घटना के लिए कार्रवाई भी सिंकहोल है। यह दूसरी घटना स्रोत IP फ़ील्ड में वास्तविक मेज़बान IP पते की रिपोर्ट करती है। यह आपको घटनाएँ पृष्ठ को फ़िल्टर करके नेटवर्क पर संक्रमित मेज़बानों की आसानी से पहचान करने देता है ताकि सभी ट्रैफ़िक को सिंकहोल सर्वर IP पते से कनेक्ट करने की घटनाएँ दिखाई जा सकें।

DNS सुरक्षा घटनाओं के बारे में अधिक जानकारी के लिए, नीचे देखें DNS सुरक्षा घटनाओं का विश्लेषण

अवरोधित और सिंकहोल क्रियाओं का अंतिम उपयोगकर्ता अनुभव

जब आईपीएस इंजन DNS अनुरोध को अवरुद्ध करता है, तो डोमेन से कनेक्शन उपयोगकर्ता के DNS प्रतिक्रिया प्राप्त करने से पहले ही रोक दी जाती है।

जब DNS अनुरोध सिंकहोल कर दिया जाता है, अंतिम उपयोगकर्ता DNS प्रतिक्रिया प्राप्त करता है, और होस्ट के सिंकहोल सर्वर से कनेक्ट करने का प्रयास करने पर कनेक्शन बंद हो जाता है।

न्यूनतम जरूरत

  • DNS सुरक्षा IPS लाइसेंस में शामिल है। IPS लाइसेंस खरीदने के बारे में और अधिक जानने के लिए, कृपया अपने Cato प्रतिनिधि से संपर्क करें।

हानिकारक डोमेन्स के लिए नमूना वर्कफ़्लो

यह हानिकारक डोमेन्स DNS सुरक्षा का एक उदाहरण है, और जब कोई होस्ट दुर्भावनापूर्ण डोमेन का एक्सेस करने की कोशिश करता है।

  1. मेजबान उपकरण ब्राउज़र से एक हानिकारक डोमेन का एक्सेस करने की कोशिश करता है।

  2. IPS इंजन पहचानता है कि दुर्भावनापूर्ण डोमेन के लिए एक DNS अनुरोध है और DNS अनुरोध को अवरुद्ध करता है।

  3. DNS अनुरोध को अवरुद्ध कर दिया जाता है क्योंकि मेजबान और हानिकारक सर्वर के बीच कोई कनेक्शन नहीं होता (कोई TCP या UDP हैंडशेक नहीं किया जाता)।

आपके खाते के लिए DNS सुरक्षा को परिभाषित करना

DNS सुरक्षा पृष्ठ का उपयोग करें यह चुनने के लिए कि आपके खाते के लिए किन प्रकार की DNS सुरक्षा को IPS इंजन लागू करता है। जब आप अपने खाते के लिए DNS सुरक्षा सक्षम करते हैं, तो IPS इंजन Cato Cloud के माध्यम से की जाने वाली प्रत्येक DNS अनुरोध की जांच करता है। DNS अनुरोध उन खातों के लिए भी जांचे जाते हैं जो Cato को अपने DNS सर्वर के रूप में उपयोग नहीं करते हैं, और इसके बजाय एक निजी DNS सर्वर का उपयोग करते हैं।

प्रत्येक DNS सुरक्षा के लिए, आप निम्नलिखित क्रियाओं में से एक सेट कर सकते हैं:

  • अनुमति दें - IPS इंजन सुरक्षा को लागू नहीं करता है, हालांकि, ट्रैफ़िक की निगरानी करने के लिए एक घटना उत्पन्न की जाती है।

  • ब्लॉक करें - सुरक्षा से मेल खाने वाले ट्रैफ़िक के लिए IPS इंजन DNS अनुरोधों को अवरुद्ध करता है, और एक घटना उत्पन्न होती है।

  • सिंकहोल - DNS अनुरोध पहले सिंकहोल सर्वर पर स्थानांतरित किया जाता है, फिर सर्वर से कनेक्ट करने का प्रयास करने वाला ट्रैफ़िक अवरुद्ध किया जाता है। सिंकहोल कार्रवाई के प्रत्येक चरण के लिए एक अलग घटना उत्पन्न होती है। अधिक जानकारी के लिए, ऊपर देखें DNS Sinkholing

DNS सुरक्षा के लिए डिफ़ॉल्ट सेटिंग्स

Cato सुरक्षा टीम आपके संगठन में वैध ट्रैफ़िक को प्रभावित करने की संभावना के आधार पर प्रत्येक DNS सुरक्षा के लिए डिफ़ॉल्ट कार्रवाई को परिभाषित करती है।

  • डिफ़ॉल्ट अवरोधन क्रिया - सुरक्षा जो अवरुद्ध करें क्रिया को डिफ़ॉल्ट के रूप में सौंपती है, आमतौर पर कुछ गलत सकारात्मक होते हैं और वैध ट्रैफ़िक को प्रभावित नहीं करेंगे। हम अनुशंसा करते हैं कि आप इन DNS सुरक्षा को डिफ़ॉल्ट अवरोधन क्रिया के साथ छोड़ दें।

  • डिफ़ॉल्ट अनुमति क्रिया - सुरक्षा जो अनुमति दें क्रिया को डिफ़ॉल्ट के रूप में सौंपती है, गलत सकारात्मक उत्पन्न कर सकती है और यह संभव है कि वे आपके संगठन में वैध ट्रैफ़िक को अवरुद्ध कर सकती हैं। हम अनुशंसा करते हैं कि इन सुरक्षा को अवरुद्ध करें क्रिया में बदलने से पहले, कुछ सप्ताह अनुमति दें क्रिया के साथ DNS सुरक्षा चलाएँ और गलत सकारात्मक मैच की संख्या की निगरानी करने के लिए घटनाओं की समीक्षा करें।

DNS_Protection_Policy.png

अपने खाते के लिए DNS सुरक्षा को परिभाषित करने के लिए:

  1. नेविगेशन फलक से चुनें सुरक्षा > DNS सुरक्षा

  2. खाते के लिए DNS सुरक्षा नीति सक्षम (हरा) या निष्क्रिय (धूसर) करने के लिए स्लाइडर पर क्लिक करें।

  3. एक DNS सुरक्षा प्रकार को अनुकूलित करने के लिए, उस पंक्ति के लिए कार्रवाई या ट्रैक पर क्लिक करें।

    उस DNS सुरक्षा प्रकार के लिए पैनल खुलता है।

    1. कार्रवाई खंड में, सुरक्षा से मेल खाते DNS ट्रैफिक को अनुमति दें, अवरुद्ध करें, या सिंकहोल करने के लिए चुनें।

    2. ट्रैकिंग खंड में, यदि आप सुरक्षा से मेल खाने वाले DNS ट्रैफ़िक के लिए ईमेल अधिसूचनाएं भेजना चाहते हैं, तो चुनें।

  4. लागू करें पर क्लिक करें और फिर सहेजें पर क्लिक करें।

DNS ट्रैफिक को अनुमति सूची में जोड़ना

आप एक विशिष्ट DNS सुरक्षा हस्ताक्षर के साथ DNS ट्रैफ़िक की अनुमति देने के लिए आई.पी.एस. पृष्ठ पर एक आई.पी.एस. अनुमति सूची नियम बना सकते हैं, या आप ब्लॉक ईवेंट लॉग से एक DNS सुरक्षा हस्ताक्षर की अनुमति सूची में जोड़ सकते हैं। आई.पी.एस. अनुमति सूची नियम बनाने के बारे में अधिक जानकारी के लिए, देखें आई.पी.एस. हस्ताक्षर की अनुमति सूची

आप DNS संरक्षण स्कैन से उन्हें बाहर निकालने के लिए आईपीएस अनुमति सूची में विशेष विश्वसनीय डोमेन नामों की अनुमति भी दे सकते हैं।

विशिष्ट डोमेन नामों की अनुमति देने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > आई.पी.एस. पर क्लिक करें।

  2. नया पर क्लिक करें। नई अनुमति सूची पैनल खुलता है।

  3. नियम के लिए नाम दर्ज करें।

  4. नियम की स्कोप का चयन इस प्रकार करें:

    • डिफ़ॉल्ट Cato DNS सर्वर या एक निजी DNS सर्वर का उपयोग करने के लिए विन्यस्त ट्रैफ़िक के लिए, Wan चुनें

    • एक सार्वजनिक DNS सर्वर का उपयोग करने के लिए विन्यस्त ट्रैफ़िक के लिए, बाहरी चुनें।

  5. गंतव्य के अंतर्गत, डोमेन चुनें, और आवश्यक डोमेन नाम जोड़ें।

  6. लागू करें पर क्लिक करें। आई.पी.एस. अनुमति सूची नियम को नियमबेस में जोड़ा जाता है।

  7. सहेजें पर क्लिक करें।

खतरों के डैशबोर्ड के साथ DNS सुरक्षा की निगरानी

खतरे का डैशबोर्ड में आपके खाते में DNS सुरक्षा की स्थिति की निगरानी करने में मदद के लिए निम्नलिखित तीन विजेट शामिल हैं।

  • खतरों के प्रकार - DNS श्रेणी के प्रकार का नाम और प्रत्येक प्रकार के लिए घटनाओं की संख्या दिखाता है

  • शीर्ष डोमेन - उन मुख्य डोमेन की सूची दिखाता है जिन्हें DNS सुरक्षा घटनाओं की संख्या के साथ अवरुद्ध किया गया था

  • शीर्ष होस्ट्स - प्रत्येक होस्ट के लिए DNS सुरक्षा घटनाओं की संख्या के साथ शीर्ष होस्ट्स (स्रोत IP पता) की सूची दिखाता है

Threats_Dashboard_-_DNS.png

DNS सुरक्षा घटनाओं का विश्लेषण

होम > घटनाएँ पृष्ठ आपके खाते की सभी DNS सुरक्षा घटनाओं को दिखाता है। शक्तिशाली खोज उपकरण आपको उनमें समाहित संबंधित डेटा के साथ प्रमुख घटनाओं की पहचान करने और उनका विश्लेषण करने की अनुमति देते हैं।

DNS सुरक्षा घटनाओं की पहचान निम्नलिखित फ़ील्ड्स के द्वारा की जा सकती है:

  • घटना प्रकार - सुरक्षा

  • उप-प्रकार - DNS सुरक्षा

  • DNS सुरक्षा श्रेणी - DNS अनुरोध से मेल खाने वाला Cato का DNS सुरक्षा प्रकार

  • DNS क्वेरी - DNS अनुरोध में पूछा गया डोमेन

आप नेटवर्क में घटनाओं का विश्लेषण करने के बारे में यहां और जान सकते हैं। आप घटनाओं को फ़िल्टर करने के लिए DNS सुरक्षा प्रीसेट का उपयोग कर सकते हैं।

क्या यह लेख उपयोगी था?

8 में से 8 के लिए उपयोगी रहा

0 टिप्पणियां