自定义 IPS 的 DNS 保护

本文解释了如何选择您的账户执行的 DNS 保护,作为 IPS 服务的一部分。

DNS保护概览

Cato的 DNS 保护增强了 IPS 服务,使您能够对账户中的 DNS 流量的安全级别进行细粒度控制。 DNS保护适用于您使用的DNS服务器,即适用于Cato DNS服务器和信任与不信任的服务器。

Cato不断更新 DNS 域名和类别,并向 DNS 保护页面添加新类型的保护。

DNS保护通过在主机和恶意服务器之间建立连接之前阻止DNS请求来提供强大的安全性(没有TCP或UDP握手)。 当DNS保护被禁用时,IPS服务仍提供部分DNS威胁保护,但并未全面覆盖所有DNS保护已覆盖的威胁,并在访问目的地时进行拦截。 因此,我们建议作为最佳实践,启用 IPS 和 DNS 保护。

您可以使用威胁目录查看基本IPS服务中包含的DNS保护以及DNS保护中包含的保护。

理解DNS保护类型

您可以启用或禁用每个特定的DNS保护以满足您的安全性需求。

  • 恶意域: 检测对已知托管或分发恶意内容域的DNS请求。 阻止这些请求可帮助防止用户和设备连接到用于恶意软件、漏洞利用或其他威胁的目的地。

  • 新注册域: 检测对最近注册且可能尚未建立信誉的域的DNS请求。 攻击者通常使用新注册域进行短期活动、钓鱼、恶意软件投递,或命令和控制操作。

  • 加密矿机: 检测与加密货币挖矿活动相关的域的DNS请求。 这有助于识别并阻止未经授权的挖矿软件,以消耗设备资源、降低性能并指示主机已被攻陷。

  • 命令与控制 (C&C): 检测被恶意软件用于与攻击者控制的基础设施通信的域的DNS请求。 此防护还包括DNS快速更换域,攻击者迅速更改DNS记录以隐藏恶意服务器并增加下架难度。

  • 域生成算法: 检测对恶意软件常用于定位命令和控制服务器的算法生成域的DNS请求。 阻止这些域帮助打断恶意软件沟通,即使攻击者频繁更改活动的域名。

  • 钓鱼: 检测模仿可信网站并窃取凭证或敏感信息的域的DNS请求。 此保护还包括DNS重绑定攻击,恶意域试图绕过浏览器保护并访问内部资源。

  • 动态DNS: 检测使用动态DNS服务,域记录可频繁更改以指向不同IP地址的DNS请求。 虽然动态DNS可能合法,但攻击者经常使用它快速移动恶意基础设施以避免检测。

  • DNS隧道: 检测试图通过DNS查询和响应传输数据的DNS流量。 此防护还包括超慢速DNS隧道技术,数据在逐步泄露以避免触发基于流量的检测。

DNS 黑洞

当 DNS 请求被阻止时,由于请求从主机传递到其他设备(如私有 DNS 服务器或接入点),通常无法识别发出请求的原始主机的 IP 地址。 Cato 提供了一个 DNS 黑洞选项,可以解决此问题并识别网络上受感染的主机发出恶意 DNS 请求的 IP 地址。

黑洞是如何工作的?

当 DNS 保护设置为黑洞操作时,DNS 保护引擎向查询恶意域名的主机返回伪造的响应,将查询解析为指定的 Cato 黑洞服务器的 IP 地址。 Cato将IP地址推送到Cato 系统范围(例如10.254.x.x)主机。 然后,主机尝试通过互联网直接连接到该 IP 地址,从而使 IPS 服务能够识别主机 IP 地址。 服务会阻止流量,并在事件日志中将主机 IP 地址报告为源 IP

理解黑洞事件

当执行黑洞操作时,会生成两个事件。 第一个事件报告当主机最初查询恶意目标时采取的黑洞操作执行情况,并且源 IP字段可能不反映客户端主机的地址。 第二个事件报告当主机尝试连接到黑洞服务器时,DNS 请求被阻止,事件操作也为黑洞。 第二个事件在源 IP字段中报告实际的主机 IP 地址。 这使您可以通过过滤事件页面显示连接到黑洞服务器IP地址的所有流量事件,从而轻松识别网络中的受感染主机。

有关DNS保护事件的更多信息,请参阅下方分析DNS保护事件

阻止和黑洞操作的最终用户体验

当 IPS 引擎阻止 DNS 请求时,与域的连接在最终用户收到 DNS 响应之前会中断。

当 DNS 请求被引导到黑洞时,最终用户会收到 DNS 响应,并且当主机尝试连接到黑洞服务器时,连接会中断。

先决条件

  • DNS 保护包含在 IPS 许可证中。 有关购买 IPS 许可证的更多信息,请联系您的 Cato 代表。

恶意域名的示例工作流

这是恶意域名 DNS 保护的工作流示例,当主机尝试访问恶意域名时。

  1. 主机设备尝试从浏览器访问恶意域名。

  2. IPS 引擎识别到有一个到恶意域的 DNS 请求并阻止该请求。

  3. 在主机和恶意服务器之间建立连接之前,DNS请求被阻止(没有TCP或UDP握手)。

定义您的账户的 DNS 保护

使用 DNS 保护页面选择 IPS 引擎为您的账户执行哪些类型的 DNS 保护。 当您为账户启用 DNS 保护时,IPS 引擎会检查通过 Cato Cloud 发送的每个 DNS 请求。 即使是那些不使用 Cato 作为其 DNS 服务器,而是使用私有 DNS 服务器的账户,DNS 请求也会被检查。

对于每个DNS保护,您可以设置以下操作之一:

  • 允许 - IPS引擎并不加强保护,但会生成事件以监控流量。

  • 阻止 - 对于匹配保护的流量,IPS 引擎阻止 DNS 请求,并生成一个事件。

  • 黑洞 - 首先将 DNS 请求引导到黑洞服务器,然后阻止尝试连接到服务器的流量。 每个阶段都会为黑洞操作生成一个单独的事件。 欲了解更多信息,请参阅上方DNS黑洞

DNS 保护的默认设置

Cato 安全团队根据对您组织合法流量的潜在影响,定义每个 DNS 保护的默认操作。

  • 默认阻止操作 - 如果默认将保护分配给阻止操作,则通常很少有误报,不会影响正常流量。 我们建议您将这些DNS保护保持在默认的阻止操作上。

  • 默认允许操作 - 如果默认将保护分配给允许操作,则可能会产生误报,并有可能阻止组织中的正常流量。 我们建议在更改这些保护为阻止操作之前,先运行几周DNS保护,并使用允许操作监控事件以监控误报数量。

DNS_Protection_Policy.png

定义账户的 DNS 保护:

  1. 从导航窗格中选择安全 > DNS 保护

  2. 单击滑块以启用(绿色)或禁用(灰色)该账户的DNS 保护策略。

  3. 要自定义DNS保护类型,请单击该行的操作跟踪

    将为该DNS保护类型打开面板。

    1. 操作部分,选择允许阻止黑洞与保护匹配的DNS流量。

    2. 跟踪部分,选择是否为与保护匹配的DNS流量发送电子邮件通知

  4. 单击应用,然后单击保存

允许DNS流量白名单

您可以在IPS页面上创建IPS允许列表规则,以定义例外并允许使用特定DNS保护签名的DNS流量,或者您可以从阻止事件日志中允许DNS保护签名。 有关创建IPS允许列表规则的更多信息,请参见IPS签名的允许列表

您还可以在IPS允许列表中允许列出特定可信的域名,以将其排除在DNS保护扫描之外。

要允许特定的域名:

  1. 在导航菜单中,单击安全 > IPS

  2. 点击新建新允许列表面板打开。

  3. 输入该规则的名称

  4. 选择规则的范围如下:

    • 对于配置为使用默认Cato DNS服务器或私有DNS服务器的流量,请选择Wan

    • 对于配置为使用公共DNS服务器的流量,请选择出站

  5. 目的地下,选择域名,然后添加所需的域名。

  6. 点击应用。 IPS允许列表规则已添加到规则库。

  7. 点击保存

使用威胁仪表板监控DNS保护

威胁仪表板包含以下三个小部件,可帮助您监控账户中DNS保护的状态:

  • 威胁类型 - 显示DNS类别的名称和每种类型的事件数量

  • 访问最多的域名 - 显示被阻止的主要域名列表,以及每个域的DNS保护事件数量

  • 主要主机 - 显示主要主机(源IP地址)的列表,以及每个主机的DNS保护事件数量

Threats_Dashboard_-_DNS.png

分析DNS保护事件

主页 > 事件页面显示您账户的所有DNS保护事件。 强大的搜索工具使您能够深入分析并识别包含所需相关数据的关键事件。

可以通过以下字段识别DNS保护事件:

  • 事件类型 - 安全性

  • 子类型 - DNS保护

  • DNS保护类别 - 匹配DNS请求的Cato的DNS保护类型

  • DNS查询 - 在DNS请求中查询的域名

您可以在此处了解有关使用事件页面的更多信息。 您可以使用DNS保护预设来过滤事件。

这篇文章有帮助吗?

8 人中有 8 人觉得有帮助

0 条评论