IPS의 DNS 보호 사용자 정의

이 문서는 계정이 IPS 서비스의 일부로 시행하는 DNS 보호를 선택하는 방법을 설명합니다.

DNS 보호 개요

Cato의 DNS 보호는 IPS 서비스를 강화하고 계정에서 DNS 트래픽의 보안 수준에 대한 세분화된 제어를 제공합니다. DNS 보호는 사용 중인 DNS 서버에 관계없이 적용됩니다. 즉, Cato DNS 서버와 신뢰할 수 있는 서버뿐만 아니라 신뢰할 수 없는 서버에도 적용됩니다.

Cato는 지속적으로 DNS 도메인과 카테고리를 업데이트하고 DNS 보호 페이지에 새로운 유형의 보호를 추가합니다.

DNS 보호는 호스트와 악성 서버 간의 연결(TCP 또는 UDP 핸드셰이크 없음)이 발생하기 전에 DNS 요청을 차단하여 강력한 보안을 제공합니다. DNS 보호가 비활성화될 때에도, IPS 서비스는 DNS 위협에 대한 일부 보호 기능을 제공합니다. 하지만, DNS 보호가 제공하는 모든 위협을 포괄하지는 않으며, 대상에 액세스할 때 후속 단계에서 차단됩니다. 따라서 IPS와 DNS 보호를 모두 활성화하는 것이 모범 사례로 권장됩니다.

위협 카탈로그를 사용하여 기본 IPS 서비스에 포함된 DNS 보호와 DNS 보호에 포함된 보호를 확인할 수 있습니다.

DNS 보호 유형 이해

보안 요구 사항을 충족하기 위해 이러한 특정 DNS 보호를 각각 활성화하거나 비활성화할 수 있습니다.

  • 악성 도메인: 악성 콘텐츠를 호스팅하거나 배포하는 것으로 알려진 도메인에 대한 DNS 요청을 감지합니다. 이러한 요청을 차단하면 사용자가 악성 소프트웨어, 탐지, 기타 위협 목적으로 사용되는 목적지에 연결하지 않도록 할 수 있습니다.

  • 최근 등록된 도메인: 최근에 등록되어 아직 평판을 확립하지 않은 도메인에 대한 DNS 요청을 감지합니다. 공격자는 종종 피싱, 악성 소프트웨어 전달, 명령 및 제어 활동 등 단기간의 캠페인을 위해 최근 등록된 도메인을 사용합니다.

  • 암호화폐 채굴 서버: 암호화폐 채굴 활동과 관련된 도메인에 대한 DNS 요청을 감지합니다. 장치 자원을 소모하고 성능을 저하시키며 호스트가 손상되었음을 나타낼 수 있는 무단 채굴 소프트웨어를 식별하고 차단하는 데 도움이 됩니다.

  • 명령 및 제어 (C&C): 악성 소프트웨어가 공격자가 제어하는 인프라와 통신하기 위해 사용하는 도메인의 DNS 요청을 감지합니다. 이 보호에는 악성 서버를 숨기고 삭제를 더 어렵게 만들기 위해 DNS 레코드를 빠르게 변경하는 DNS Fast-Flux 도메인이 포함됩니다.

  • 도메인 생성 알고리즘: 악성 소프트웨어가 명령 및 제어 서버를 찾기 위해 일반적으로 사용하는 알고리즘으로 생성된 도메인에 대한 DNS 요청을 감지합니다. 이러한 도메인을 차단하면 공격자가 활성 도메인 이름을 자주 변경하더라도 악성 소프트웨어 통신을 방해할 수 있습니다.

  • 피싱: 신뢰할 수 있는 웹 사이트를 가장하여 정보를 훔치거나 민감한 정보를 유출하기 위해 사용되는 도메인에 대한 DNS 요청을 감지합니다. 이 보호에는 악성 도메인이 브라우저 보호를 우회하고 내부 리소스에 접근하려는 DNS 재바인딩 공격을 포함합니다.

  • 동적 DNS: 도메인 기록을 자주 변경하여 다양한 IP 주소를 가리키는 동적 DNS 서비스를 사용하는 도메인에 대한 DNS 요청을 감지합니다. 동적 DNS는 합법적일 수 있지만, 공격자는 종종 악성 인프라를 빠르게 이동시키고 탐지를 피하기 위해 이를 사용합니다.

  • DNS 터널링: DNS 쿼리와 응답을 통해 데이터를 터널링하기 위한 시도를 감지하는 DNS 트래픽을 감지합니다. 이 보호에는 볼륨 기반 탐지를 방지하기 위해 데이터를 점진적으로 추출하는 매우 느린 DNS 터널링 기법이 포함됩니다.

DNS 싱크홀링

DNS 요청이 차단될 때, 요청이 호스트에서 개인 DNS 서버나 액세스 포인트와 같은 다른 기기로 전달되기 때문에 원래 요청한 호스트의 IP 주소를 식별하기 어려울 수 있습니다. Cato는 네트워크에서 악성 DNS 요청을 일으키는 감염된 호스트의 IP 주소를 식별하는 DNS 싱크홀링 옵션을 제공합니다.

싱크홀링은 어떻게 작동하나요?

DNS 보호가 싱크홀 작업으로 설정되면, DNS 보호 엔진은 악성 도메인을 쿼리하는 호스트에 대해 위조된 응답을 반환하며, 쿼리를 지정된 Cato 싱크홀 서버의 IP 주소로 해결합니다. Cato는 Cato 시스템 범위 (예: 10.254.x.x)에 IP를 호스트에 푸시합니다. 호스트는 해당 IP 주소로 인터넷에 직접 연결하려고 시도하며, 이로 인해 IPS 서비스가 호스트 IP 주소를 식별할 수 있게 됩니다. 서비스는 트래픽을 차단하고 이벤트 로그에서 호스트 IP 주소를 소스 IP로 보고합니다.

싱크홀 이벤트 이해하기

싱크홀 작업이 수행될 때, 두 개의 이벤트가 생성됩니다. 첫 번째 이벤트는 호스트가 처음으로 악성 대상으로 쿼리할 때 실행된 싱크홀 작업을 보고하며, 소스 IP 필드는 클라이언트 호스트의 주소를 반영하지 않을 수 있습니다. 두 번째 이벤트는 호스트가 싱크홀 서버에 연결하려고 할 때 DNS 요청이 차단되었음을 보고하며, 이벤트의 작업 또한 싱크홀 입니다. 이 두 번째 이벤트는 소스 IP 필드에 실제 호스트 IP 주소를 보고합니다. 이렇게 하면 싱크홀 서버 IP 주소에 연결된 모든 트래픽 이벤트를 표시하도록 이벤트 페이지를 필터링하여 네트워크 내 감염된 호스트를 쉽게 식별할 수 있습니다.

DNS 보호 이벤트에 대한 자세한 내용은 아래 DNS 보호 이벤트 분석을 참조하십시오.

차단 및 싱크홀 작업의 최종 사용자 경험

IPS 엔진이 DNS 요청을 차단하면, 최종 사용자가 DNS 응답을 받기 전에 도메인과의 연결이 끊어집니다.

DNS 요청이 싱크홀로 안내되면, 최종 사용자는 DNS 응답을 받고, 호스트가 싱크홀 서버에 연결을 시도할 때 연결이 끊어집니다.

전제조건

  • DNS 보호는 IPS 라이선스에 포함되어 있습니다. IPS 라이선스 구매에 대한 자세한 내용은 Cato 담당자에게 문의하십시오.

악성 도메인에 대한 예시 작업 흐름

이것은 악성 도메인 DNS 보호의 작업 흐름 예시이며, 호스트가 악성 도메인에 접근하려 할 때 발생합니다.

  1. 호스트 디바이스가 브라우저에서 악성 도메인에 접근하려고 시도합니다.

  2. IPS 엔진이 악성 도메인에 대한 DNS 요청이 있음을 확인하고 해당 요청을 차단합니다.

  3. 호스트와 악성 서버 간의 연결이 이루어지기 전에 DNS 요청이 차단됩니다 (TCP 또는 UDP 핸드셰이크 없음).

계정의 DNS 보호 정의

DNS 보호 페이지를 사용하여 IPS 엔진이 계정에 대해 실행하는 DNS 보호 유형을 선택하십시오. 계정에 대한 DNS 보호를 활성화하면, IPS 엔진이 Cato Cloud를 통해 전송된 모든 DNS 요청을 검사합니다. Cato를 DNS 서버로 사용하지 않고 개인 DNS 서버를 사용하는 계정의 경우에도 DNS 요청이 검사됩니다.

각 DNS 보호에 대해 다음 작업 중 하나를 설정할 수 있습니다.

  • 허용 - IPS 엔진은 보호를 적용하지 않지만, 트래픽을 모니터링할 수 있도록 이벤트가 생성됩니다.

  • 차단 - 보호와 일치하는 트래픽에 대해 IPS 엔진이 DNS 요청을 차단하고, 이벤트가 생성됩니다.

  • 싱크홀 - DNS 요청이 먼저 싱크홀 서버로 이동되고, 그런 다음 서버에 연결하려는 트래픽이 차단됩니다. 각 싱크홀 작업 단계마다 별도의 이벤트가 생성됩니다. 추가 정보를 보려면 위의 DNS Sinkholing을 참조하십시오.

DNS 보호의 기본 설정

Cato 보안팀은 조직 내 합법적인 트래픽에 미치는 잠재적 영향을 기준으로 각 DNS 보호에 대한 기본 작업을 정의합니다.

  • 기본 차단 작업 - 기본적으로 차단 작업이 할당된 보호는 일반적으로 허위 긍정이 적고 합법적인 트래픽에 영향을 미치지 않습니다. 기본 차단 작업으로 이러한 DNS 보호를 유지할 것을 권장합니다.

  • 기본 허용 작업 - 기본적으로 허용 작업이 할당된 보호는 허위 긍정을 생성할 수 있으며, 조직의 합법적인 트래픽을 차단할 가능성이 있습니다. 이러한 보호를 차단 작업으로 변경하기 전에 몇 주 동안 기본 허용 작업으로 DNS 보호를 실행하고 이벤트를 검토하여 허위 긍정 일치 수를 모니터링할 것을 권장합니다.

DNS_Protection_Policy.png

계정의 DNS 보호 정의:

  1. 탐색 창에서 보안 > DNS 보호를 선택합니다.

  2. 슬라이더를 클릭하여 계정의 DNS 보호 정책을 활성화(녹색)하거나 비활성화(회색)합니다.

  3. DNS 보호 유형을 사용자 지정하려면 해당 행의 작업이나 추적을 클릭하십시오.

    해당 DNS 보호 유형에 대한 패널이 열립니다.

    1. 작업 섹션에서 보호와 일치하는 DNS 트래픽을 허용, 차단 또는 싱크홀 중에서 선택하십시오.

    2. 추적 섹션에서 보호와 일치하는 DNS 트래픽에 대한 이메일 알림을 보내려면 이메일 알림 보내기를 선택하십시오.

  4. 적용을 클릭한 후 저장을 클릭합니다.

DNS 트래픽 허용 목록

IPS 페이지에서 IPS 허용 목록 규칙을 생성하여 예외를 정의하고 특정 DNS 보호 서명을 사용하여 DNS 트래픽을 허용하거나 차단 이벤트 로그에서 DNS 보호 서명을 허용할 수 있습니다. IPS 허용 목록 규칙 생성에 대한 자세한 내용은 IPS 시그니처 허용 목록 추가하기를 참조하십시오.

또한 특정 신뢰할 수 있는 도메인 이름을 IPS 허용 목록에 추가하여 DNS 보호 스캔에서 제외할 수 있습니다.

특정 도메인 이름을 허용하려면:

  1. 네비게이션 메뉴에서 보안 > IPS를 클릭합니다.

  2. 새로 만들기를 클릭합니다. 새 허용 목록 패널이 열립니다.

  3. 규칙에 대한 이름을 입력합니다.

  4. 규칙의 범위를 다음과 같이 선택합니다:

    • 기본 Cato DNS 서버 또는 사설 DNS 서버를 사용하도록 구성된 트래픽에 대해 Wan을 선택합니다.

    • 공용 DNS 서버를 사용하도록 구성된 트래픽에 대해 아웃바운드를 선택합니다.

  5. 목적지에서 도메인을 선택하고 필요한 도메인 이름을 추가합니다.

  6. 적용을 클릭합니다. IPS 허용 목록 규칙이 규칙 베이스에 추가됩니다.

  7. 저장을 클릭합니다.

위협 대시보드를 통한 DNS 보호 모니터링

보안 위협 대시보드에는 계정의 DNS 보호 상태를 모니터링할 수 있도록 다음 세 가지 위젯이 포함됩니다.

  • 위협 유형 - DNS 카테고리 유형의 이름과 각 유형의 이벤트 수를 보여줍니다

  • 상위 도메인 - 차단된 상위 도메인의 목록과 각 도메인에 대한 DNS 보호 이벤트 수를 보여줍니다

  • 상위 호스트 - 각 호스트에 대한 DNS 보호 이벤트 수를 포함한 상위 호스트(소스 IP 주소)의 목록을 보여줍니다

Threats_Dashboard_-_DNS.png

DNS 보호 이벤트 분석

홈페이지 > 이벤트 페이지에는 계정의 모든 DNS 보호 이벤트가 표시됩니다. 강력한 검색 도구를 사용하여 필요한 관련 데이터를 포함하는 주요 이벤트를 식별하고 세부적으로 분석할 수 있습니다.

다음 필드를 통해 DNS 보호 이벤트를 식별할 수 있습니다:

  • 이벤트 유형 - 보안

  • 하위 유형 - DNS 보호

  • DNS 보호 카테고리 - DNS 요청과 일치하는 Cato의 DNS 보호 유형

  • DNS 쿼리 - DNS 요청에서 쿼리된 도메인

네트워크에서의 이벤트 분석에 대해 여기에서 이벤트 페이지 사용에 대해 자세히 알아보세요. DNS 보호 프리셋을 사용하여 이벤트를 필터링할 수 있습니다.

도움이 되었습니까?

8명 중 8명이 도움이 되었다고 했습니다.

댓글 0개