Avez-vous un compte?
  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configurez les renseignements de sécurité basés par domaine (stratégie de DN) dans le module de FirePOWER avec ASDM (la Gestion de Sur-case)

Options de téléchargement

  • PDF     (1.2 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (1.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (894.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 juillet 2018
ID du document:213284
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer les renseignements de sécurité basés par domaine (SI) sur l'ASA avec le module de FirePOWER avec l'utilisation d'Adaptive Security Device Manager (ASDM).

    Conditions préalables

      

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • La connaissance du Pare-feu ASA (appliance de sécurité adaptable)
    • ASDM (Adaptive Security Device Manager)
    • La connaissance de module de FirePOWER

    Note: Le filtre de renseignements de sécurité exige un permis de protection.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • Modules ASA FirePOWER (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) avec la version de logiciel 6.0.0 et en haut
    • Module ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) avec la version de logiciel 6.0.0 et en haut

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

    Informations générales

    Le système de FirePOWER fournit la capacité d'intercepter des demandes du trafic DNS et recherche le nom de domaine malveillant. Si le module de FirePOWER trouve un domaine malveillant, FirePOWER agit la mesure appropriée d'atténuer la demande selon la configuration de la stratégie de DN.

    Les nouvelles méthodes d'attaque ont conçu pour ouvrir une brèche l'intelligence basée sur IP, abusent des DN équilibrent la charge des caractéristiques afin de masquer l'adresse IP réelle d'un serveur malveillant. Tandis que les adresses IP associées avec l'attaque sont fréquemment permutées dedans et, le nom de domaine est rarement changé. 

    FirePOWER fournit la capacité de réorienter la demande malveillante à un serveur d'effondrement qui peut être un serveur de pot à miel pour détecter, guider ou étudier des tentatives de connaître plus le trafic d'attaque. 

    Aperçu des domains lists et des flux

    Les domains lists et les flux contient la liste du nom de domaine malveillant qui est encore classifié dans la diverse catégorie basée sur le type d'attaque. Typiquement, vous pouvez classer les flux par catégorie dans deux types. 

    Domains lists et flux fournis par TALOS de Cisco

    Attaquants de DN : Collecte de noms de domaine qui balayent continuellement pour que des vulnérabilités ou des tentatives exploitent d'autres systèmes. 

    DN Bogon : La collecte de noms de domaine qui n'allouent pas mais renvoient le trafic, également connu sous le nom de faux IPS.

    Robots de DN : La collecte de noms de domaine qui participent activement en tant qu'élément d'un botnet, et sont contrôlées par un contrôleur connu de botnet.

    Commande numérique par ordinateur de DN : Collecte de noms de domaine qui sont identifiés en tant que serveurs de contrôle pour un Botnet connu. 

    Kit d'exploit de DN : Collecte de noms de domaine qui tentent d'exploiter d'autres systèmes. 

    Malware de DN : La collecte de noms de domaine qui tentent de propager le malware ou attaque activement n'importe qui qui les visite.

    DN Open_proxy : Collecte de noms de domaine que les proxys ouverts de Web de passage et le Web anonyme d'offre parcourent des services.

    DN Open_relay : La collecte de noms de domaine qui offrent des services anonymes de relais d'email l'a utilisé par le Spam et les attaquants phish.

    DN Phish : Collecte de noms de domaine qui tentent activement de duper des utilisateurs finaux pour écrire leurs informations confidentielles comme des noms d'utilisateur et mot de passe.

    Réponse de DN : Collecte de noms de domaine qui sont à plusieurs reprises observés occupés dans le comportement méfiant ou malveillant.

    Spam de DN : Collecte de noms de domaine qui sont identifiés pendant que la source qui envoie des messages électroniques de Spam.

    DN méfiants : Collecte de noms de domaine qui affichent l'activité suspecte et sont sous l'enquête active.

    DN Tor_exit_node : Collecte de noms de domaine qui offrent des services de noeud de sortie pour le réseau d'Anonymizer de massif de roche. 

    Domains lists et flux faits sur commande

    Liste noire globale pour des DN : Collecte de la liste faite sur commande de noms de domaine qui sont identifiés comme malveillants par l'administrateur. 

    Whitelist global pour des DN : Collecte de la liste faite sur commande de noms de domaine qui sont identifiés comme véritables par l'administrateur.  

    Configurez les renseignements de sécurité de DN

    Il y a de plusieurs étapes pour configurer les renseignements de sécurité basés par nom de domaine. 

    1.  Configurez les DN faits sur commande alimentent/listes (facultatifs)
    2.  Configurez l'objet d'effondrement (facultatif)
    3. Configurez la stratégie de DN
    4. Configurez la stratégie de contrôle d'accès
    5. Déployez la stratégie de contrôle d'accès 

    Étape 1. Configurez le flux/liste faits sur commande de DN (facultatifs).

    Il y a deux listes prédéfinies qui te permettent pour ajouter les domaines à lui. Vous créez vos propres listes et flux pour les domaines que vous voulez bloquer. 

    • Liste noire globale pour des DN
    • Whitelist global pour des DN

    Ajoutez manuellement la Global-liste noire d'adresses IP et global-Whitelist

    Le module de FirePOWER te permet pour ajouter certaine Global-liste noire de domaines quand vous savez qu'ils font partie d'une certaine action malveillante. Des domaines peuvent également être ajoutés à Whitelist global si vous voulez permettre le trafic à certains domaines qui sont bloqués par des domaines de liste noire. Si vous ajoutez n'importe quelle Global-liste noire de domaine/global-Whitelist, elle la prend effet immédiatement sans nécessité d'appliquer la stratégie. 

    Afin d'ajouter l'adresse IP à Global-Blacklist/global-Whitelist, naviguez vers la surveillance > ASA FirePOWER surveillant > concours complet en temps réel, passer au-dessus la souris sur des événements de connexion et sélectionnez les détails de vue

    Vous pouvez ajouter des domaines à la Global-liste noire/global-Whitelist. Cliquez sur Edit sur la section de DN et les demandes choisies de DN de Whitelist au domaine des demandes de DN maintenant/liste noire au domaine maintenant d'ajouter le domaine à la liste respective, suivant les indications de l'image. 

    Afin de vérifier que des domaines sont ajoutés au Global-Blacklist/global-Whitelist, naviguent vers la configuration > la configuration ASA FirePOWER > la Gestion d'objet > le SecurityIntelligence > les listes et les flux de DN et éditent la Global-liste noire pour des DN/Whitelist global pour des DN. Vous pouvez également utiliser le bouton d'effacement pour retirer n'importe quel domaine de la liste. 

    Créez la liste faite sur commande de domaines de liste noire

    FirePOWER te permet pour créer le domain list fait sur commande qui peut être utilisé pour mettre sur la liste noire (bloc) par deux différentes méthodes.

    1. Vous pouvez écrire des noms de domaine à un fichier texte (un domaine par la ligne) et télécharger le fichier au module de FirePOWER.

      Afin de télécharger le fichier, naviguez vers la configuration > la configuration ASA FirePOWER > la Gestion d'objet > le SecurityIntelligence > les listes et les flux de DN et puis sélectionnez ajoutent des listes et des flux de DN  

                   

           Nom :  Spécifiez le nom de la liste faite sur commande.

           Type :  Sélectionnez la liste de la liste déroulante. 

           Liste de téléchargement :  Choisissez parcourent pour localiser le fichier texte dans votre système. Sélectionnez le téléchargement pour télécharger le fichier.          
                  
      La mémoire ASA FirePOWER de clic change pour sauvegarder les modifications.                                                                                                                                                                                                                                                                                 

    2. Vous pouvez utiliser tous les tiers domaines pour la liste faite sur commande pour laquelle le module de FirePOWER peut connecter le serveur de tiers pour chercher le domain list.

      Afin de configurer ceci, naviguez vers la configuration > la configuration ASA FirePOWER > la Gestion d'objet > les renseignements de sécurité > les listes et les flux de DN et puis sélectionnez ajoutent des listes et des flux de DN

              Nom : Spécifiez le nom du flux fait sur commande.

              Type : Sélectionnez le flux de la liste déroulante. 

              URL de flux : Spécifiez l'URL de serveur auquel le module de FirePOWER peut se connecter et téléchargez le flux. 

              URL DE MD5 : Spécifiez la valeur de hachage pour valider le chemin URL de flux. 

              Fréquence de mise à jour : Spécifiez l'intervalle de temps en lequel le module se connecte au serveur de flux URL.  

    La mémoire choisie ASA FirePOWER change pour sauvegarder les modifications.  

    Étape 2. Configurez un objet d'effondrement (facultatif).

    L'adresse IP d'effondrement peut être utilisée comme réponse à une demande malveillante de DN. La machine cliente obtient l'adresse IP du serveur d'effondrement pour la consultation malveillante de domaine et, n que l'ordinateur d'extrémité essaye de connecter au serveur d'effondrement. Par conséquent, l'effondrement peut agir en tant que pot à miel pour étudier le trafic d'attaque. L'effondrement peut être configuré pour déclencher un indicateur de la compromission (COI).

    Pour ajouter le serveur d'effondrement, la configuration > la configuration ASA FirePOWER > la Gestion > l'effondrement d'objet et cliquer sur l'option d'effondrement d'ajouter

    Nom : Spécifiez le nom du serveur d'effondrement. 

    Adresse IP : Spécifiez l'adresse IP du serveur d'effondrement. 

    Connexions de log à l'effondrement : Activez cette option de se connecter toutes les connexions entre le point final et le serveur d'effondrement.

    Connexions de bloc et de log à l'effondrement : Activez cette option de bloquer la connexion et de se connecter seulement au début de la connexion d'écoulement. S'il n'y a aucun serveur physique d'effondrement, vous pouvez spécifier n'importe quelle adresse IP et vous pouvez voir les événements de connexion et le déclencheur COI. 

    Type : Spécifiez le flux de la liste déroulante pour laquelle vous voulez sélectionner le type de COI (indication de compromission) associé avec des événements d'effondrement. Il y a trois types de COI d'effondrement qui peuvent être étiquetés. 

    • Malware
    • Commandement et contrôle
    • Phish       
                                                                                                                                                                                     

    Étape 3. Configurez la stratégie de DN.

    La stratégie de DN doit être configurée pour décider l'action pour le flux/liste de DN. Naviguez vers la configuration > la configuration ASA FirePOWER > les stratégies > la stratégie de DN.  

    La stratégie par défaut de DN contient deux règles par défaut. La première règle, Whitelist global pour des DN, contient la liste faite sur commande du domaine permis (Global-Whitelist-pour-DN). Cette règle est au dessus à apparier d'abord avant que les essais de système au match any mettent le domaine sur la liste noire. La deuxième règle, liste noire globale pour des DN, contient la liste faite sur commande du domaine bloqué (Global-Liste-pour-DN). 

    Vous pouvez ajouter plus de règles de définir les diverses actions pour les domains lists et les flux fournis par TALOS de Cisco. Pour ajouter une nouvelle règle, choisie ajoutent la règle de DN. 

    Nom : Spécifiez le nom de règle. 

    Action :  Spécifiez l'action de déclencher quand cette règle s'assortit. 

    • Whitelist : Ceci permet la requête DNS. 
    • Moniteur : Cette action génère l'événement pour la requête DNS et le trafic continuent à apparier des règles ultérieures. 
    • Domaine non trouvé : Cette action envoie la réponse de DN comme domaine non trouvé (domaine inexistant).
    • Baisse : Cette action bloque et relâche la requête DNS silencieusement. 
    • Effondrement : Cette action envoie l'adresse IP du serveur d'effondrement comme la réponse à la demande de DN. 

    Spécifiez le réseau de zones pour définir les conditions de règle. Dans les DN tabulez, choisissez les listes et les flux de DN et déplacez-vous à l'option d'éléments sélectionnés où vous pouvez appliquer l'action configurée. 

    Vous pouvez configurer les plusieurs règles de DN pour différents listes et flux de DN avec une action différente basée sur vos besoins d'organisation.

      

    Cliquez sur l'option d'ajouter d'ajouter la règle.  

    Étape 4. Configurez la stratégie de contrôle d'accès.

    Afin de configurer les DN a basé des renseignements de sécurité, naviguent vers la configuration > la configuration ASA FirePOWER > les stratégies > la stratégie de contrôle d'accès, onglet choisi de renseignements de sécurité

    Assurez-vous que des DN que la stratégie est configurée et sur option, vous pouvez activer les logs pendant que vous cliquez sur en fonction l'icône de logs suivant les indications de l'image. 

    Choisissez les modifications de la mémoire ASA FirePOWER d'option pour sauvegarder les changements de politique à C.A. 

    Étape 5. Déployez la stratégie de contrôle d'accès.

    Pour que les modifications les prennent effet, vous devez déployer la stratégie de contrôle d'accès. Avant que vous appliquiez la stratégie, voir l'indication qui, que la stratégie de contrôle d'accès soit périmée sur le périphérique ou pas.

    Pour déployer les modifications au capteur, le clic se déploient et choisissent déploient des modifications de FirePOWER puis les sélectionnent se déploient dans la fenêtre externe pour déployer les modifications. 

    Note: Dans la version 5.4.x, pour appliquer la stratégie d'accès au capteur, vous devez cliquer sur Apply des modifications ASA FirePOWER.

    Note: Naviguez vers la surveillance > ASA FirePOWER surveillant > état de tâche.  Assurez que la tâche est complète pour confirmer les modifications de configuration. 

    Vérifiez

    La configuration peut être vérifiée seulement si un événement est déclenché. Pour ceci, vous pouvez forcer une requête DNS sur un ordinateur. Cependant, soyez prudent des répercussions quand un serveur malveillant connu est visé. Après que vous génériez cette requête, vous pouvez voir l'événement dans la section en temps réel de concours complet.

    Surveillance d'événement de renseignements de sécurité de DN

    Afin de voir les renseignements de sécurité par le module de FirePOWER, naviguez vers la surveillance > ASA FirePOWER surveillant > concours complet en temps réel. Sélectionnez l'onglet de renseignements de sécurité. Ceci révèle les événements suivant les indications de l'image :

    Dépannez

    Cette section fournit les informations que vous pouvez employer afin de dépanner votre configuration.

    Afin de s'assurer que les flux de renseignements de sécurité est à jour, naviguez vers la configuration > la configuration ASA FirePOWER > la Gestion d'objet > les renseignements de sécurité > les listes et les flux de DN et vérifiez le moment où le flux a été pour la dernière fois mis à jour. Vous pouvez choisir éditez pour placer la fréquence de la mise à jour de flux. 

    Assurez-vous que le déploiement de stratégie de contrôle d'accès s'est terminé avec succès. 

    Surveillez l'onglet en temps réel de concours complet de renseignements de sécurité pour voir si le trafic est bloqué ou pas.

    Informations connexes

    TAC Authored

    Contribution d’experts de Cisco

    • Adwiti Dash
      Ingénieur TAC Cisco
    • Sunil Kumar
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Laissez-nous vous aider

    Discussions connexes de communautés d’assistance

    Ce document s’applique à ces produits

    À PROPOS DE NOUS
    COMMUNIQUER AVEC NOUS
    TRAVAILLER AVEC NOUS