Настройка защиты DNS для IPS

Эта статья объясняет, как выбрать защиту DNS, которую ваша учётная запись применяет в рамках сервиса IPS.

Обзор защиты DNS

Защита DNS от Cato улучшает сервис IPS и предоставляет вам детальный контроль над уровнем безопасности для DNS-трафика в вашей учетной записи. Защита DNS применяется независимо от DNS-сервера, который вы используете. То есть, она действует для сервера Cato DNS, как и для доверенных, так и для недоверенных серверов.

Cato постоянно обновляет домены и категории DNS и добавляет новые типы защит на страницу Защита DNS.

Защита DNS обеспечивает надёжную безопасность, блокируя DNS-запросы до установления соединения между хостом и вредоносным сервером (нет TCP или UDP рукопожатия). Когда защита DNS отключена, служба IPS все равно предоставляет защиту от угроз DNS, однако, она не охватывает все угрозы, которые покрывает защита DNS, и они блокируются на более позднем этапе, когда происходит доступ к назначению. Поэтому мы рекомендуем в качестве лучшей практики включить как защиту DNS, так и IPS.

Вы можете использовать Каталог угроз, чтобы увидеть защиты DNS, включенные в базовый сервис IPS, и те, которые включены в Защиту DNS.

Понимание типов защиты DNS

Вы можете включать или отключать каждую из этих специфичных защит DNS, чтобы удовлетворить свои требования безопасности.

  • Вредоносные домены: Обнаруживает DNS-запросы к доменам, известным размещением или распространением вредоносного контента. Блокировка этих запросов помогает предотвратить подключение пользователей и устройств к назначению, используемому для вредоносных программ, эксплойтов или других угроз.

  • Недавно зарегистрированные домены: Обнаруживает DNS-запросы к доменам, которые недавно зарегистрированы и могут не иметь установленной репутации. Атакующие часто используют недавно зарегистрированные домены для краткосрочных кампаний, фишинга, доставки вредоносного ПО или командно-контрольной деятельности.

  • Серверы для майнинга криптовалют: Обнаруживает DNS-запросы к доменам, связанным с активностью майнинга криптовалют. Это помогает установить и блокировать неавторизованное программное обеспечение для майнинга, которое может потреблять ресурсы устройства, ухудшать производительность и указывать на компрометированный хост.

  • Командование и управление (C&C): Обнаруживает DNS-запросы к доменам, которые используются вредоносными программами для связи с серверной инфраструктурой под контролем атакующего. Эта защита также включает DNS-домены Fast-Flux, когда злоумышленники быстро изменяют DNS-записи, чтобы скрыть вредоносные серверы и сделать их удаление более сложным.

  • Алгоритмы генерации доменов: Обнаруживает DNS-запросы к доменам, алгоритмически сгенерированным, которые часто используются вредоносными программами для поиска командно-контрольных серверов. Блокировка этих доменов помогает прерывать связь вредоносного ПО, даже если злоумышленник часто меняет активные доменные имена.

  • Фишинг: Обнаруживает DNS-запросы к доменам, которые используются для подделки надёжных вебсайтов и кражи учетных данных или конфиденциальной информации. Эта защита также включает атаки с повторным связыванием DNS, когда вредоносные домены пытаются обойти защиты браузера и получить доступ к внутренним ресурсам.

  • Динамический DNS: Обнаруживает DNS-запросы к доменам, использующими услуги динамического DNS, где записи доменов могут часто изменяться, чтобы указывать на разные IP-адреса. Хотя динамический DNS может быть легитимным, злоумышленники часто используют его для быстрой передачи вредоносной инфраструктуры и избежания обнаружения.

  • DNS-туннелирование: Обнаруживает DNS-трафик, который пытается прокладывать туннель с данными через DNS-запросы и ответы. Эта защита также включает техники ультра-медленного туннелирования DNS, когда данные извлекаются постепенно, чтобы избежать срабатывания на объемных обнаружениях.

Перехват DNS

Когда DNS-запрос блокируется, часто невозможно определить IP-адрес исходного хоста, отправившего запрос, из-за прохождения запроса от хоста через другие устройства, такие как частные DNS-серверы или точки доступа. Cato предоставляет опцию перехвата DNS, которая решает эту проблему и идентифицирует IP-адреса инфицированных хостов в сети, отправляющих вредоносные DNS-запросы.

Как работает перехват?

Когда защита DNS настроена на действие Перехват, движок защиты DNS возвращает поддельный ответ хосту, запрашивающему вредоносный домен, направляя запрос на IP-адрес назначенного сервером черной дыры Cato. Cato передает IP-адрес в диапазоне систем Cato (например, 10.254.x.x) на хост. Затем хост пытается подключиться напрямую через Интернет к этому IP-адресу, что позволяет сервису IPS определить IP-адрес хоста. Сервис блокирует трафик и сообщает об IP-адресе хоста как об IP-адресе источника в журнале событий.

Понимание событий перехвата

Выполняя действие Перехват, создаются два события. Первое событие сообщает об исполнении действия Перехват, предпринятого, когда хост изначально запрашивает вредоносное назначение, и поле IP-адрес источника может не отражать адрес клиентского хоста. Второе событие сообщает, что DNS-запрос был заблокирован, когда хост попытался подключиться к серверу черной дыры, и действие для события также Перехват. Это второе событие сообщает о фактическом IP-адресе хоста в поле IP-адрес источника. Это позволяет легко идентифицировать зараженные хосты в вашей сети, фильтруя страницу События, чтобы показывать события для всего трафика, подключенного к IP-адресу сервера перехвата.

Для получения дополнительной информации о событиях Защиты DNS смотрите ниже Анализ событий Защиты DNS.

Качество работы конечного пользователя с действиями Блокировки и Перехвата

Когда движок IPS блокирует DNS-запрос, соединение с доменом прерывается до получения конечным пользователем DNS-ответа.

Когда DNS-запрос перенаправляется в черную дыру, конечный пользователь получает DNS-ответ, и соединение прерывается, когда хост пытается подключиться к серверу черной дыры.

Предварительные требования

  • Защита DNS включена в лицензию IPS. Для получения дополнительной информации о покупке лицензии IPS, пожалуйста, свяжитесь с вашим представителем Cato.

Пример рабочего процесса для вредоносных доменов

Это пример рабочего процесса для защиты DNS Вредоносные домены, и когда хост пытается получить доступ к вредоносному домену.

  1. Устройство-хост пытается получить доступ к вредоносному домену из браузера.

  2. Движок IPS определяет, что существует DNS-запрос к вредоносному домену, и блокирует DNS-запрос.

  3. Запрос DNS блокируется до того, как между хостом и вредоносным сервером будет установлено соединение (нет TCP или UDP рукопожатия).

Настройка защиты DNS для вашего аккаунта

Используйте страницу Защита DNS, чтобы выбрать, какие типы защиты DNS движок IPS будет применять к вашему аккаунту. Когда вы включаете защиту DNS для вашего аккаунта, движок IPS проверяет каждый запрос DNS, отправляемый через Cato Cloud. Запросы DNS проверяются также для аккаунтов, которые не используют Cato в качестве своего DNS-сервера, а используют частный DNS-сервер.

Для каждой защиты DNS вы можете установить одно из следующих действий:

  • Разрешить - Движок IPS не применяет защиту, однако создается событие для мониторинга трафика.

  • Блокировать - Движок IPS блокирует запросы DNS для трафика, который соответствует защите, и создается событие.

  • Перехват - Запрос DNS сперва перенаправляется на сервер-перехватчик, затем трафик, пытающийся подключиться к серверу, блокируется. Отдельное событие создается для каждой фазы действия Перехват. Для получения дополнительной информации смотрите выше DNS Sinkholing.

Настройки по умолчанию для защиты DNS

Команда безопасности Cato определяет действие по умолчанию для каждой защиты DNS, основываясь на потенциальном воздействии на легитимный трафик в вашей организации.

  • Действие блокировки по умолчанию - Защиты, которым по умолчанию назначено действие Блокировать, обычно имеют мало ложных срабатываний и не влияют на легитимный трафик. Мы рекомендуем оставлять эти защиты DNS с действием блокировки по умолчанию.

  • Действие разрешения по умолчанию - Защиты, которым по умолчанию назначено действие Разрешить, могут генерировать ложные срабатывания и возможно, что они могли бы блокировать легитимный трафик в вашей организации. Мы рекомендуем перед изменением этих защит на действие Блокировать, сначала запускать эти защиты DNS в течение нескольких недель с действием Разрешить и просматривать события, чтобы мониторингировать количество ложных совпадений.

DNS_Protection_Policy.png

Чтобы настроить защиту DNS для вашего аккаунта:

  1. В области навигации выберите Безопасность > Защита DNS.

  2. Нажмите на ползунок, чтобы включить (зеленый) или отключить (серый) политику Защита DNS для аккаунта.

  3. Чтобы настроить тип защиты DNS, нажмите Действие или Отслеживание для этой строки.

    Панель открывается для этого типа защиты DNS.

    1. В разделе Действие выберите Разрешить, Блокировать или Перехват DNS-трафик, который соответствует защите.

    2. В разделе Отслеживание выберите, если хотите отправлять уведомления по электронной почте для DNS-трафика, который соответствует защите.

  4. Нажмите Применить и затем Сохранить.

Разрешенный список трафика DNS

Вы можете создать правило белого списка IPS на странице IPS для определения исключения и разрешения трафика DNS с определенной сигнатурой Защиты DNS, или вы можете добавить сигнатуру Защиты DNS в белый список из лога событий блокировки. Для получения дополнительной информации о создании правил белого списка IPS, см. Разрешение подписей IPS.

Вы также можете добавить в список разрешенных конкретные доверенные доменные имена в IPS, чтобы исключить их из проверки Защиты DNS.

Чтобы разрешить конкретные доменные имена:

  1. В меню навигации нажмите Безопасность > IPS.

  2. Нажмите Новый. Откроется панель Новый список разрешенных.

  3. Введите Имя для правила.

  4. Выберите Область правила следующим образом:

    • Для трафика, настроенного на использование сервера Cato DNS по умолчанию или приватного DNS-сервера, выберите WAN

    • Для трафика, настроенного на использование публичного DNS-сервера, выберите Исходящий

  5. В разделе Назначение выберите Домен и добавьте необходимое доменное имя.

  6. Нажмите Применить. Правило разрешенного списка IPS добавляется в базу правил.

  7. Нажмите Сохранить.

Мониторинг защиты DNS с помощью Панели управления угрозами

Панель управления угрозами включает в себя следующие три виджета, чтобы помочь вам мониторить статус защиты DNS в вашем аккаунте.

  • Типы угроз - Показывает имя типа категории DNS и количество событий для каждого типа

  • Наиболее посещаемые домены - Показывает список основных доменов, которые были заблокированы, с количеством событий защиты DNS для каждого домена

  • Основные хосты - Показывает список основных хостов (IP-адрес источника) с количеством событий защиты DNS для каждого хоста

Threats_Dashboard_-_DNS.png

Анализ событий защиты DNS

Страница Домашняя > События показывает все события защиты DNS для вашего аккаунта. Мощные инструменты поиска позволяют вам детализировать и идентифицировать ключевые события, содержащие необходимые вам данные.

События защиты DNS можно идентифицировать по следующим полям:

  • Тип события - Безопасность

  • Подтип - Защита DNS

  • Категория защиты DNS - Тип защиты DNS Cato, который соответствует DNS-запросу

  • DNS-запрос - Домены, запрошенные в DNS-запросе

Вы можете узнать больше об использовании страницы События здесь. Вы можете использовать предустановку Защита DNS, чтобы фильтровать события.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 8 из 8

0 комментариев