Personalizando as Proteções DNS para IPS

Este artigo explica como escolher quais proteções DNS sua conta aplica como parte do serviço IPS.

Visão geral da Proteção DNS

A Proteção DNS da Cato aprimora o serviço IPS e oferece controle granular sobre o nível de segurança para o tráfego de DNS na sua conta. A Proteção DNS se aplica independentemente do servidor DNS que você utiliza, ou seja, aplica-se ao servidor DNS da Cato, assim como a servidores confiáveis e não confiáveis.

Cato continuamente atualiza os domínios e categorias DNS e adiciona novos tipos de proteções à página de Proteção DNS.

A Proteção DNS fornece segurança robusta bloqueando as solicitações DNS antes que haja uma conexão entre o host e o servidor malicioso (sem handshake TCP ou UDP). Quando a Proteção DNS está desativada, o serviço IPS ainda fornece algumas proteções contra ameaças de DNS, no entanto, não cobre todas as ameaças cobertas pela Proteção DNS, e elas são bloqueadas em uma fase posterior quando o destino é acessado. Portanto, recomendamos como uma prática recomendada habilitar tanto a IPS quanto a Proteção DNS.

Você pode usar o Catálogo de Ameaças para ver as proteções DNS incluídas no serviço IPS básico e aquelas incluídas na Proteção DNS.

Entendendo os Tipos de Proteção DNS

Você pode ativar ou desativar cada uma dessas proteções DNS específicas para atender aos seus requisitos de segurança.

  • Domínios Maliciosos: Detecta solicitações de DNS para domínios conhecidos por hospedar ou distribuir conteúdo malicioso. Bloquear essas solicitações ajuda a impedir que usuários e dispositivos conectem-se a destinos usados para malware, explorações ou outras ameaças.

  • Domínios Recém-Registrados: Detecta solicitações de DNS para domínios que foram recentemente registrados e ainda podem não ter uma reputação estabelecida. Os invasores frequentemente usam domínios recém-registrados para campanhas de curta duração, phishing, entrega de malware ou atividades de comando e controle.

  • Mineradores de Criptomoedas: Detecta solicitações de DNS para domínios associados à atividade de mineração de criptomoedas. Isso ajuda a identificar e bloquear softwares de mineração não autorizados que podem consumir recursos do dispositivo, degradar o desempenho e indicar um host comprometido.

  • Comando e Controle (C&C): Detecta solicitações de DNS para domínios usados por malware para se comunicar com infraestrutura controlada por atacantes. Esta proteção também inclui domínios DNS Fast-Flux, onde os atacantes mudam rapidamente os registros DNS para esconder servidores maliciosos e tornar a derrubada mais difícil.

  • Algoritmos de Geração de Domínios: Detecta solicitações de DNS para domínios gerados algoritmicamente, comumente usados por malware para localizar servidores de comando e controle. Bloquear esses domínios ajuda a interromper a comunicação do malware, mesmo quando o atacante frequentemente muda os nomes de domínio ativos.

  • Phishing: Detecta solicitações de DNS para domínios que são usados para se passar por sites confiáveis e roubar credenciais ou informações sensíveis. Esta proteção também inclui ataques de re-binding DNS, onde domínios maliciosos tentam contornar proteções do navegador e acessar recursos internos.

  • DNS Dinâmico: Detecta solicitações de DNS para domínios que usam serviços de DNS dinâmico, onde os registros de domínio podem frequentemente mudar para apontar para diferentes endereços IP. Embora o DNS dinâmico possa ser legítimo, os atacantes frequentemente usam para mover rapidamente a infraestrutura maliciosa e evitar a detecção.

  • Túnel de DNS: Detecta tráfego de DNS que tenta tunelar dados através de consultas e respostas de DNS. Esta proteção também inclui técnicas de túnel DNS ultra-lentas, onde os dados são exfiltrados gradualmente para evitar disparar detecções baseadas em volume.

Sinkhole DNS

Quando uma solicitação DNS é bloqueada, muitas vezes não é possível identificar o endereço IP do host original que fez a solicitação, devido à solicitação passar do host por outros dispositivos, como servidores DNS privados ou pontos de acesso. Cato fornece uma opção de Sinkhole DNS que resolve esse problema e identifica os endereços IP dos hosts infectados na rede que emitem solicitações DNS maliciosas.

Como Funciona o Sinkhole?

Quando uma proteção DNS é configurada para a ação Sinkhole, o motor de Proteção DNS retorna uma resposta falsificada ao host que consulta o domínio malicioso, resolvendo a consulta para o endereço IP de um servidor sinkhole designado pela Cato. A Cato envia um IP no intervalo de sistema da Cato (como 10.254.x.x) para o host. O host então tenta se conectar diretamente à Internet para esse endereço IP, permitindo que o serviço IPS identifique o endereço IP do host. O serviço bloqueia o tráfego e relata o endereço IP do host como o IP de Origem no log de eventos.

Entendendo os Eventos de Sinkhole

Quando a ação de Sinkhole é executada, dois eventos são gerados. O primeiro evento relata a execução da ação Sinkhole realizada quando o host inicialmente consulta o destino malicioso, e o campo IP de Origem pode não refletir o endereço do host cliente. O segundo evento relata que a solicitação DNS foi bloqueada quando o host tentou se conectar ao servidor de sinkhole, e a ação para o evento também é Sinkhole. Este segundo evento relata o endereço IP real do host no campo IP de Origem. Isso permite que você identifique facilmente hosts infectados na sua rede filtrando a página de Eventos para mostrar eventos para todo o tráfego conectando ao endereço IP do servidor sinkhole.

Para mais sobre eventos de Proteção DNS, veja abaixo Analisando Eventos de Proteção DNS.

Experiência do Usuário Final com as Ações de Bloqueio e Sinkhole

Quando o motor IPS bloqueia uma solicitação DNS, a conexão com o domínio é encerrada antes que o usuário final receba uma resposta DNS.

Quando uma solicitação DNS é direcionada ao sinkhole, o usuário final recebe uma resposta DNS e a conexão é encerrada quando o host tenta se conectar ao servidor de sinkhole.

Pré-requisitos

  • A Proteção DNS está incluída na licença IPS. Para mais informações sobre a compra da licença IPS, entre em contato com seu representante da Cato.

Exemplo de Fluxo de Trabalho para Domínios Maliciosos

Este é um exemplo do fluxo de trabalho para a proteção DNS de Domínios Maliciosos, e quando um host tenta acessar um domínio malicioso.

  1. O dispositivo host tenta acessar um domínio malicioso a partir do navegador.

  2. O motor IPS identifica que há uma solicitação DNS para um domínio malicioso e bloqueia a solicitação DNS.

  3. A solicitação DNS é bloqueada antes de haver uma conexão entre o host e o servidor malicioso (sem handshake TCP ou UDP).

Definindo as Proteções DNS para Sua Conta

Use a página de Proteção DNS para selecionar quais tipos de Proteções DNS o motor IPS aplica para sua conta. Quando você habilita a Proteção DNS para sua conta, o motor IPS inspeciona cada solicitação DNS enviada pela Cato Cloud. As solicitações DNS também são inspecionadas para contas que não usam o Cato como seu servidor DNS e usam um servidor DNS privado em vez disso.

Para cada proteção DNS, você pode definir uma das seguintes ações:

  • Permitir - O engine IPS não impõe a proteção, no entanto, um evento é gerado para permitir que você monitore o tráfego.

  • Bloquear - O motor IPS bloqueia as solicitações DNS para tráfego que corresponde à proteção, e um evento é gerado.

  • Sinkhole - A solicitação DNS é primeiro desviada para o servidor de sinkhole e, em seguida, o tráfego que tenta se conectar ao servidor é bloqueado. Um evento separado é gerado para cada fase da ação Sumidouro. Para mais informações, veja acima DNS Sinkholing.

Configurações Padrão de Proteção DNS

A equipe de Segurança da Cato define a ação padrão para cada proteção DNS com base no potencial de impacto no tráfego legítimo em sua organização.

  • Ação de Bloqueio Padrão - Proteções que recebem a ação de Bloqueio por padrão possuem geralmente poucos falsos positivos e não impactam o tráfego legítimo. Recomendamos que você deixe essas proteções DNS com a ação de Bloqueio padrão.

  • Ação de Permissão Padrão - Proteções que recebem a ação de Permitir por padrão podem gerar falsos positivos, e é possível que possam bloquear tráfego legítimo em sua organização. Recomendamos que antes de alterar essas proteções para a ação de Bloqueio, primeiro execute essas proteções DNS por algumas semanas com a ação de Permitir e revise os eventos para monitorar a quantidade de coincidências de falsos positivos.

DNS_Protection_Policy.png

Para definir as Proteções DNS para sua conta:

  1. No painel de navegação, selecione Segurança > Proteção DNS.

  2. Clique na barra deslizante para ativar (verde) ou desativar (cinza) a Política de Proteção DNS para a conta.

  3. Para personalizar um tipo de proteção DNS, clique na Ação ou Rastreamento para essa linha.

    O painel abre para esse tipo de proteção DNS.

    1. Na seção Ação, selecione Permitir, Bloquear, ou Sumidouro o tráfego DNS que corresponde à proteção.

    2. Na seção Rastreamento, selecione se deseja enviar notificações por email para o tráfego DNS que corresponde à proteção.

  4. Clique em Aplicar e depois clique em Salvar.

Lista de Permissão de Tráfego DNS

Você pode criar uma regra de Lista de Permissão IPS na página IPS para definir uma exceção e permitir tráfego DNS com uma assinatura específica de Proteção DNS, ou pode listar uma assinatura de Proteção DNS a partir de um log de evento de bloqueio. Para mais sobre a criação de regras de Lista de Permissão IPS, consulte Listagem de Permissão de Assinaturas IPS.

Você também pode permitir listar nomes de domínio específicos confiáveis na Lista de Permissão IPS para excluí-los de verificações de Proteção DNS.

Para listar domínios específicos:

  1. No menu de navegação, clique em Segurança > IPS.

  2. Clique em Novo. O painel de Nova Lista de Permissões abre.

  3. Insira o Nome para a regra.

  4. Selecione o Escopo da regra da seguinte forma:

    • Para tráfego configurado para usar o servidor DNS padrão da Cato ou um servidor DNS privado, selecione Wan

    • Para tráfego configurado para usar um servidor DNS público, selecione Saída

  5. Sob Destino, selecione Domínio, e adicione o nome de domínio necessário.

  6. Clique em Aplicar. A regra de lista de permissão de IPS é adicionada à base de regras.

  7. Clique em Salvar.

Monitoramento de Proteções DNS com o Painel de Ameaças

Painel de Ameaças inclui os seguintes três widgets para ajudá-lo a monitorar o status das proteções DNS na sua conta:

  • Tipos de Ameaças - Mostra o nome do tipo de categoria DNS e o número de eventos para cada tipo

  • Principais Domínios - Mostra uma lista dos principais domínios que foram bloqueados com o número de eventos de proteção DNS para cada domínio

  • Top Hosts - Mostra uma lista dos principais hosts (endereço IP de origem) com o número de eventos de proteção DNS para cada host

Painel_de_Ameaças_-_DNS.png

Analisando Eventos de Proteção DNS

A página Inicial > Eventos mostra todos os eventos de Proteção DNS para sua conta. As ferramentas de pesquisa poderosas permitem que você aprofunde e identifique os eventos chave que contêm os dados relevantes que você precisa.

Os eventos de Proteção DNS podem ser identificados pelos seguintes campos:

  • Tipo de Evento - Segurança

  • Subtipo - Proteção DNS

  • Categoria de Proteção DNS - Tipo de Proteção DNS da Cato que corresponde à solicitação DNS

  • Consulta DNS - Domínio consultado na solicitação DNS

Você pode saber mais sobre o uso da página de Eventos aqui. Você pode usar o pré-ajuste de Proteção DNS para filtrar os eventos.

Esse artigo foi útil?

Usuários que acharam isso útil: 8 de 8

0 comentário