Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer les renseignements de sécurité basés par domaine (SI) sur l'ASA avec le module de FirePOWER avec l'utilisation d'Adaptive Security Device Manager (ASDM).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Note: Le filtre de renseignements de sécurité exige un permis de protection.
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Le système de FirePOWER fournit la capacité d'intercepter des demandes du trafic DNS et recherche le nom de domaine malveillant. Si le module de FirePOWER trouve un domaine malveillant, FirePOWER agit la mesure appropriée d'atténuer la demande selon la configuration de la stratégie de DN.
Les nouvelles méthodes d'attaque ont conçu pour ouvrir une brèche l'intelligence basée sur IP, abusent des DN équilibrent la charge des caractéristiques afin de masquer l'adresse IP réelle d'un serveur malveillant. Tandis que les adresses IP associées avec l'attaque sont fréquemment permutées dedans et, le nom de domaine est rarement changé.
FirePOWER fournit la capacité de réorienter la demande malveillante à un serveur d'effondrement qui peut être un serveur de pot à miel pour détecter, guider ou étudier des tentatives de connaître plus le trafic d'attaque.
Les domains lists et les flux contient la liste du nom de domaine malveillant qui est encore classifié dans la diverse catégorie basée sur le type d'attaque. Typiquement, vous pouvez classer les flux par catégorie dans deux types.
Attaquants de DN : Collecte de noms de domaine qui balayent continuellement pour que des vulnérabilités ou des tentatives exploitent d'autres systèmes.
DN Bogon : La collecte de noms de domaine qui n'allouent pas mais renvoient le trafic, également connu sous le nom de faux IPS.
Robots de DN : La collecte de noms de domaine qui participent activement en tant qu'élément d'un botnet, et sont contrôlées par un contrôleur connu de botnet.
Commande numérique par ordinateur de DN : Collecte de noms de domaine qui sont identifiés en tant que serveurs de contrôle pour un Botnet connu.
Kit d'exploit de DN : Collecte de noms de domaine qui tentent d'exploiter d'autres systèmes.
Malware de DN : La collecte de noms de domaine qui tentent de propager le malware ou attaque activement n'importe qui qui les visite.
DN Open_proxy : Collecte de noms de domaine que les proxys ouverts de Web de passage et le Web anonyme d'offre parcourent des services.
DN Open_relay : La collecte de noms de domaine qui offrent des services anonymes de relais d'email l'a utilisé par le Spam et les attaquants phish.
DN Phish : Collecte de noms de domaine qui tentent activement de duper des utilisateurs finaux pour écrire leurs informations confidentielles comme des noms d'utilisateur et mot de passe.
Réponse de DN : Collecte de noms de domaine qui sont à plusieurs reprises observés occupés dans le comportement méfiant ou malveillant.
Spam de DN : Collecte de noms de domaine qui sont identifiés pendant que la source qui envoie des messages électroniques de Spam.
DN méfiants : Collecte de noms de domaine qui affichent l'activité suspecte et sont sous l'enquête active.
DN Tor_exit_node : Collecte de noms de domaine qui offrent des services de noeud de sortie pour le réseau d'Anonymizer de massif de roche.
Liste noire globale pour des DN : Collecte de la liste faite sur commande de noms de domaine qui sont identifiés comme malveillants par l'administrateur.
Whitelist global pour des DN : Collecte de la liste faite sur commande de noms de domaine qui sont identifiés comme véritables par l'administrateur.
Il y a de plusieurs étapes pour configurer les renseignements de sécurité basés par nom de domaine.
Il y a deux listes prédéfinies qui te permettent pour ajouter les domaines à lui. Vous créez vos propres listes et flux pour les domaines que vous voulez bloquer.
Le module de FirePOWER te permet pour ajouter certaine Global-liste noire de domaines quand vous savez qu'ils font partie d'une certaine action malveillante. Des domaines peuvent également être ajoutés à Whitelist global si vous voulez permettre le trafic à certains domaines qui sont bloqués par des domaines de liste noire. Si vous ajoutez n'importe quelle Global-liste noire de domaine/global-Whitelist, elle la prend effet immédiatement sans nécessité d'appliquer la stratégie.
Afin d'ajouter l'adresse IP à Global-Blacklist/global-Whitelist, naviguez vers la surveillance > ASA FirePOWER surveillant > concours complet en temps réel, passer au-dessus la souris sur des événements de connexion et sélectionnez les détails de vue.
Vous pouvez ajouter des domaines à la Global-liste noire/global-Whitelist. Cliquez sur Edit sur la section de DN et les demandes choisies de DN de Whitelist au domaine des demandes de DN maintenant/liste noire au domaine maintenant d'ajouter le domaine à la liste respective, suivant les indications de l'image.
Afin de vérifier que des domaines sont ajoutés au Global-Blacklist/global-Whitelist, naviguent vers la configuration > la configuration ASA FirePOWER > la Gestion d'objet > le SecurityIntelligence > les listes et les flux de DN et éditent la Global-liste noire pour des DN/Whitelist global pour des DN. Vous pouvez également utiliser le bouton d'effacement pour retirer n'importe quel domaine de la liste.
FirePOWER te permet pour créer le domain list fait sur commande qui peut être utilisé pour mettre sur la liste noire (bloc) par deux différentes méthodes.
Nom : Spécifiez le nom de la liste faite sur commande.
Type : Sélectionnez la liste de la liste déroulante.
Liste de téléchargement : Choisissez parcourent pour localiser le fichier texte dans votre système. Sélectionnez le téléchargement pour télécharger le fichier.
La mémoire ASA FirePOWER de clic change pour sauvegarder les modifications.
Vous pouvez utiliser tous les tiers domaines pour la liste faite sur commande pour laquelle le module de FirePOWER peut connecter le serveur de tiers pour chercher le domain list.
Afin de configurer ceci, naviguez vers la configuration > la configuration ASA FirePOWER > la Gestion d'objet > les renseignements de sécurité > les listes et les flux de DN et puis sélectionnez ajoutent des listes et des flux de DN
Nom : Spécifiez le nom du flux fait sur commande.
Type : Sélectionnez le flux de la liste déroulante.
URL de flux : Spécifiez l'URL de serveur auquel le module de FirePOWER peut se connecter et téléchargez le flux.
URL DE MD5 : Spécifiez la valeur de hachage pour valider le chemin URL de flux.
Fréquence de mise à jour : Spécifiez l'intervalle de temps en lequel le module se connecte au serveur de flux URL.
La mémoire choisie ASA FirePOWER change pour sauvegarder les modifications.
L'adresse IP d'effondrement peut être utilisée comme réponse à une demande malveillante de DN. La machine cliente obtient l'adresse IP du serveur d'effondrement pour la consultation malveillante de domaine et, n que l'ordinateur d'extrémité essaye de connecter au serveur d'effondrement. Par conséquent, l'effondrement peut agir en tant que pot à miel pour étudier le trafic d'attaque. L'effondrement peut être configuré pour déclencher un indicateur de la compromission (COI).
Pour ajouter le serveur d'effondrement, la configuration > la configuration ASA FirePOWER > la Gestion > l'effondrement d'objet et cliquer sur l'option d'effondrement d'ajouter.
Nom : Spécifiez le nom du serveur d'effondrement.
Adresse IP : Spécifiez l'adresse IP du serveur d'effondrement.
Connexions de log à l'effondrement : Activez cette option de se connecter toutes les connexions entre le point final et le serveur d'effondrement.
Connexions de bloc et de log à l'effondrement : Activez cette option de bloquer la connexion et de se connecter seulement au début de la connexion d'écoulement. S'il n'y a aucun serveur physique d'effondrement, vous pouvez spécifier n'importe quelle adresse IP et vous pouvez voir les événements de connexion et le déclencheur COI.
Type : Spécifiez le flux de la liste déroulante pour laquelle vous voulez sélectionner le type de COI (indication de compromission) associé avec des événements d'effondrement. Il y a trois types de COI d'effondrement qui peuvent être étiquetés.
La stratégie de DN doit être configurée pour décider l'action pour le flux/liste de DN. Naviguez vers la configuration > la configuration ASA FirePOWER > les stratégies > la stratégie de DN.
La stratégie par défaut de DN contient deux règles par défaut. La première règle, Whitelist global pour des DN, contient la liste faite sur commande du domaine permis (Global-Whitelist-pour-DN). Cette règle est au dessus à apparier d'abord avant que les essais de système au match any mettent le domaine sur la liste noire. La deuxième règle, liste noire globale pour des DN, contient la liste faite sur commande du domaine bloqué (Global-Liste-pour-DN).
Vous pouvez ajouter plus de règles de définir les diverses actions pour les domains lists et les flux fournis par TALOS de Cisco. Pour ajouter une nouvelle règle, choisie ajoutent la règle de DN.
Nom : Spécifiez le nom de règle.
Action : Spécifiez l'action de déclencher quand cette règle s'assortit.
Spécifiez le réseau de zones pour définir les conditions de règle. Dans les DN tabulez, choisissez les listes et les flux de DN et déplacez-vous à l'option d'éléments sélectionnés où vous pouvez appliquer l'action configurée.
Vous pouvez configurer les plusieurs règles de DN pour différents listes et flux de DN avec une action différente basée sur vos besoins d'organisation.
Cliquez sur l'option d'ajouter d'ajouter la règle.
Afin de configurer les DN a basé des renseignements de sécurité, naviguent vers la configuration > la configuration ASA FirePOWER > les stratégies > la stratégie de contrôle d'accès, onglet choisi de renseignements de sécurité.
Assurez-vous que des DN que la stratégie est configurée et sur option, vous pouvez activer les logs pendant que vous cliquez sur en fonction l'icône de logs suivant les indications de l'image.
Choisissez les modifications de la mémoire ASA FirePOWER d'option pour sauvegarder les changements de politique à C.A.
Pour que les modifications les prennent effet, vous devez déployer la stratégie de contrôle d'accès. Avant que vous appliquiez la stratégie, voir l'indication qui, que la stratégie de contrôle d'accès soit périmée sur le périphérique ou pas.
Pour déployer les modifications au capteur, le clic se déploient et choisissent déploient des modifications de FirePOWER puis les sélectionnent se déploient dans la fenêtre externe pour déployer les modifications.
Note: Dans la version 5.4.x, pour appliquer la stratégie d'accès au capteur, vous devez cliquer sur Apply des modifications ASA FirePOWER.
Note: Naviguez vers la surveillance > ASA FirePOWER surveillant > état de tâche. Assurez que la tâche est complète pour confirmer les modifications de configuration.
La configuration peut être vérifiée seulement si un événement est déclenché. Pour ceci, vous pouvez forcer une requête DNS sur un ordinateur. Cependant, soyez prudent des répercussions quand un serveur malveillant connu est visé. Après que vous génériez cette requête, vous pouvez voir l'événement dans la section en temps réel de concours complet.
Afin de voir les renseignements de sécurité par le module de FirePOWER, naviguez vers la surveillance > ASA FirePOWER surveillant > concours complet en temps réel. Sélectionnez l'onglet de renseignements de sécurité. Ceci révèle les événements suivant les indications de l'image :
Cette section fournit les informations que vous pouvez employer afin de dépanner votre configuration.
Afin de s'assurer que les flux de renseignements de sécurité est à jour, naviguez vers la configuration > la configuration ASA FirePOWER > la Gestion d'objet > les renseignements de sécurité > les listes et les flux de DN et vérifiez le moment où le flux a été pour la dernière fois mis à jour. Vous pouvez choisir éditez pour placer la fréquence de la mise à jour de flux.
Assurez-vous que le déploiement de stratégie de contrôle d'accès s'est terminé avec succès.
Surveillez l'onglet en temps réel de concours complet de renseignements de sécurité pour voir si le trafic est bloqué ou pas.