Configurar a inteligência de Segurança baseada domínio (política DNS) no módulo de FirePOWER com ASDM (o Gerenciamento da Em-caixa)
Índice
Introdução
Este original descreve como configurar a inteligência de Segurança baseada domínio (SI) no ASA com o módulo de FirePOWER com o uso do Security Device Manager adaptável (ASDM).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento do Firewall ASA (ferramenta de segurança adaptável)
- ASDM (Security Device Manager adaptável)
- Conhecimento do módulo de FirePOWER
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software:
- Módulos ASA FirePOWER (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) com versão de software 6.0.0 e acima
- Módulo ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) com versão de software 6.0.0 e acima
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste original começaram com uma configuração cancelada (do padrão). Se sua rede está viva, certifique-se de que você compreende o impacto potencial do comando any.
Informações de fundo
O sistema de FirePOWER fornece a capacidade para interceptar o tráfego DNS pede e procura o Domain Name malicioso. Se o módulo de FirePOWER encontra um domínio malicioso, FirePOWER toma a ação apropriada abrandar o pedido conforme a configuração da política DNS.
Os métodos novos do ataque projetaram romper a inteligência com base em IP, empregam mal características do equilíbrio da carga DNS a fim esconder o IP address real de um server malicioso. Quando os IP address associados com o ataque forem trocados frequentemente dentro e para fora, o Domain Name está mudado raramente.
FirePOWER fornece a capacidade para reorientar o pedido malicioso a um server do sinkhole que possa ser um server do honeypot para detectar, deflexionar ou estudar tentativas de saber mais sobre o tráfego do ataque.
Vista geral das listas de domínios e das alimentações
As listas de domínios e as alimentações contêm a lista do Domain Name malicioso que é classificado mais na vária categoria baseada no tipo do ataque. Tipicamente, você pode categorizar as alimentações em dois tipos.
Cisco TALOS forneceu listas de domínios e alimentações
Atacantes DNS: Coleção dos Domain Name que fazem a varredura continuamente para que vulnerabilidades ou as tentativas explorem outros sistemas.
DNS Bogon: A coleção dos Domain Name que não atribuem mas enviam novamente o tráfego, igualmente conhecido como a falsificação IPs.
Bot DNS: A coleção dos Domain Name que participam ativamente como parte de um botnet, e é controlada por um controlador conhecido do botnet.
CnC DNS: Coleção dos Domain Name que são identificados como os server do controle para um Botnet conhecido.
Jogo da façanha DNS: Coleção dos Domain Name que tentam explorar outros sistemas.
Malware DNS: A coleção dos Domain Name que tentam propagar o malware ou ataca ativamente qualquer um que os visita.
DNS Open_proxy: A coleção dos Domain Name que são executado proxys abertos da Web e Web anônima da oferta consulta serviços.
DNS Open_relay: A coleção dos Domain Name que oferecem serviços anônimos do relé do email usou-se pelo Spam e por atacantes phish.
DNS Phish: Coleção dos Domain Name que tentam ativamente enganar os utilizadores finais para incorporar sua informação confidencial como nomes de usuário e senha.
Resposta de DNS: Coleção dos Domain Name que são observados repetidamente contratados no comportamento suspeito ou malicioso.
Spam DNS: Coleção dos Domain Name que são identificados enquanto a fonte que envia mensagens de Email do Spam.
DNS suspeito: Coleção dos Domain Name que indicam a atividade suspeita e estão sob a investigação ativa.
DNS Tor_exit_node: Coleção dos Domain Name que oferecem serviços de nó da saída para a rede de Anonymizer do Tor.
Listas de domínios e alimentações feitas sob encomenda
Lista negra global para o DNS: Coleção da lista feita sob encomenda de Domain Name que são identificados como maliciosos pelo administrador.
Whitelist global para o DNS: Coleção da lista feita sob encomenda de Domain Name que são identificados como genuínos pelo administrador.
Configurar a inteligência de Segurança DNS
Há umas etapas múltiplas para configurar a inteligência de Segurança baseada Domain Name.
- Configurar a alimentação/lista DNS do costume (opcionais)
- Configurar o objeto do Sinkhole (opcional)
- Configurar a política DNS
- Configurar a política do controle de acesso
- Distribua a política do controle de acesso
Etapa 1. Configurar a alimentação/lista DNS do costume (opcionais).
Há duas lista predefinidas que permitem que você lhe adicione os domínios. Você cria suas próprias lista & alimentações para os domínios que você quer obstruir.
- Lista negra global para o DNS
- Whitelist global para o DNS
Adicionar manualmente a Global-lista negra dos IP address e o Global-WHITELIST
O módulo de FirePOWER permite que você adicione determinada Global-lista negra dos domínios quando você sabe que são parte de alguma atividade mal-intencionada. Os domínios podem igualmente ser adicionados a Whitelist global se você quer permitir o tráfego a determinados domínios que estão obstruídos por domínios da lista negra. Se você adiciona qualquer Global-lista negra do domínio/WHITELIST, toma o efeito imediatamente sem a necessidade de aplicar a política.
A fim adicionar o IP address a Global-Blacklist/Global-WHITELIST, navegue à monitoração > ASA FirePOWER que monitora > tempo real Eventing, paire o rato em eventos de conexão e selecione detalhes da vista.
Você pode adicionar domínios à Global-lista negra/WHITELIST. O clique edita na seção DNS e em pedidos seletos de Whitelist DNS ao domínio pedidos DNS agora/lista negra ao domínio agora adicionar o domínio à lista respectiva, segundo as indicações da imagem.
A fim verificar que os domínios estão adicionados ao Global-Blacklist/Global-WHITELIST, navegue à configuração > à configuração ASA FirePOWER > ao Gerenciamento do objeto > ao SecurityIntelligence > às lista DNS e alimente e editem a Global-lista negra para o DNS/Whitelist global para o DNS. Você pode igualmente usar o botão Delete Button para remover todo o domínio da lista.
Crie a lista feita sob encomenda de domínios da lista negra
FirePOWER permite que você crie a lista de domínios feita sob encomenda que pode ser usada para põr (bloco) por dois métodos diferentes.
- Você pode escrever Domain Name a um arquivo de texto (um domínio pela linha) e transferir arquivos pela rede o arquivo ao módulo de FirePOWER.
A fim transferir arquivos pela rede o arquivo, navegue à configuração > à configuração ASA FirePOWER > ao Gerenciamento do objeto > ao SecurityIntelligence > às lista e às alimentações DNS e selecione então adicionam lista e alimentações DNSNome: Especifique o nome da lista feita sob encomenda.
Tipo: Selecione a lista da lista de drop-down.
Lista da transferência de arquivo pela rede: Escolha consultam para encontrar o arquivo de texto em seu sistema. Selecione a transferência de arquivo pela rede para transferir arquivos pela rede o arquivo.
Clique mudanças da loja ASA FirePOWER para salvar as mudanças. -
Você pode usar todos os domínios da terceira para a lista feita sob encomenda para que o módulo de FirePOWER pode conectar o server da terceira parte para buscar a lista de domínios.
A fim configurar isto, navegue à configuração > à configuração ASA FirePOWER > à inteligência do > segurança do Gerenciamento do objeto > às lista e às alimentações DNS e selecione então adicionam lista e alimentações DNS
Nome: Especifique o nome da alimentação feita sob encomenda.
Tipo: Selecione a alimentação da lista de drop-down.
Alimentação URL: Especifique o server URL a que o módulo de FirePOWER pode conectar e transfira a alimentação.
MD5 URL: Especifique o valor de hash para validar o trajeto da alimentação URL.
Frequência da atualização: Especifique o intervalo de tempo em que o módulo conecta ao server da alimentação URL.
Selecione mudanças da loja ASA FirePOWER para salvar as mudanças.
Etapa 2. Configurar um objeto do Sinkhole (opcional).
O IP address do Sinkhole pode ser usado como a resposta a um pedido malicioso DNS. A máquina cliente obtém o endereço IP do servidor do sinkhole para a consulta de domínio maliciosa e, n que a máquina da extremidade tenta conectar ao server do sinkhole. Daqui, o sinkhole pode atuar como o honeypot para investigar o tráfego do ataque. O sinkhole pode ser configurado para provocar um indicador do acordo (IOC).
Para adicionar o server do sinkhole, a configuração > a configuração ASA FirePOWER > o Gerenciamento > o Sinkhole do objeto & clicar a opção do Sinkhole adicionar.
Nome: Especifique o nome do server do sinkhole.
IP address: Especifique o IP address do server do sinkhole.
Registre conexões ao Sinkhole: Permita esta opção de registrar todas as conexões entre o valor-limite e o server do sinkhole.
Obstrua e registre conexões ao Sinkhole: Permita esta opção de obstruir a conexão e somente o log no início da conexão do fluxo. Se não há nenhum server físico do sinkhole, você pode especificar todo o IP address e você pode ver os eventos de conexão e o disparador IOC.
Tipo: Especifique a alimentação da lista de drop-down para que você quer selecionar o tipo de IOC (indicação do acordo) associado com os eventos do sinkhole. Há três tipos do sinkhole IOC que podem ser etiquetados.
- Malware
- Comando e controle
- Phish
Etapa 3. Configurar a política DNS.
A política DNS precisa de ser configurada para decidir a ação para a alimentação/lista DNS. Navegue à configuração > à configuração ASA FirePOWER > às políticas > à política DNS.
A política DNS do padrão contém duas regras de padrão. A primeira regra, Whitelist global para o DNS, contém a lista feita sob encomenda do domínio permitido (Global-WHITELIST-para-DNS). Esta regra está na parte superior a combinar primeiramente antes que o sistema tente combinar todo o domínio da lista negra. A segunda regra, lista negra global para o DNS, contém a lista feita sob encomenda do domínio obstruído (Global-Lista-para-DNS).
Você pode adicionar mais regras para definir as várias ações para Cisco TALOS forneceu listas de domínios e alimentações. Para adicionar uma regra nova, seleta adicionar a regra DNS.
Nome: Especifique o nome da regra.
Ação: Especifique a ação para provocar quando esta regra combina.
- Whitelist: Isto permite a pergunta DNS.
- Monitor: Esta ação gerencie o evento para a pergunta DNS e o tráfego continua a combinar regras subsequentes.
- Domínio não encontrado: Esta ação envia a resposta de DNS como domínio não encontrado (domínio não existente).
- Gota: Esta ação obstrui e deixa cair a pergunta DNS silenciosamente.
- Sinkhole: Esta ação envia o IP address do server do Sinkhole como a resposta ao pedido DNS.
Especifique a rede das zonas para definir as condições da regra. Na aba DNS, escolha as lista & alimentações DNS e mova-se para a opção selecionada dos artigos onde você pode aplicar a ação configurada.
Você pode configurar as regras múltiplas DNS para lista diferentes e alimentações DNS com uma ação diferente baseada em suas necessidades da organização.
Clique a opção adicionar para adicionar a regra.
Etapa 4. Configurar a política do controle de acesso.
A fim configurar o DNS baseou a inteligência de Segurança, navega à configuração > à configuração ASA FirePOWER > às políticas > à política do controle de acesso, seleciona a aba da inteligência de Segurança.
Assegure-se de que política DNS esteja configurado e opcionalmente, você pode permitir os logs enquanto você clica sobre o ícone dos logs segundo as indicações da imagem.
Escolha mudanças da loja ASA FirePOWER da opção salvar as alterações de política C.A.
Etapa 5. Distribua a política do controle de acesso.
Para que as mudanças tomem o efeito, você deve distribuir a política do controle de acesso. Antes que você aplique a política, veja uma indicação que se a política do controle de acesso seja expirado no dispositivo ou não.
Para distribuir as mudanças ao sensor, o clique distribui e escolhe distribui mudanças de FirePOWER a seguir seleciona-as distribui na janela pop-up para distribuir as mudanças.
Verificar
A configuração pode ser verificada somente se um evento é provocado. Para isto, você pode forçar uma pergunta DNS em uma máquina. Contudo, seja cauteloso das repercussões quando um server malicioso conhecido é visado. Depois que você gerencie esta pergunta, você pode ver o evento na seção de Eventing do tempo real.
Monitoramento de evento da inteligência de Segurança DNS
A fim ver a inteligência de Segurança pelo módulo de FirePOWER, navegue à monitoração > ASA FirePOWER que monitora > tempo real Eventing. Selecione a aba da inteligência de Segurança. Isto aparece os eventos segundo as indicações da imagem:
Troubleshooting
Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.
A fim assegurar-se de que as alimentações da inteligência de Segurança sejam atualizadas, navegue à configuração > à configuração ASA FirePOWER > à inteligência do > segurança do Gerenciamento do objeto > às lista DNS e alimente e verifiquem o tempo em que a alimentação foi atualizada por último. Você pode escolher edita para ajustar a frequência da atualização da alimentação.
Assegure-se de que a distribuição de política do controle de acesso termine com sucesso.
Monitore a aba de Eventing do tempo real da inteligência de Segurança para ver se o tráfego é obstruído ou não.
Informações Relacionadas
FeedbackDeixe-nos ajudar
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)