Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar a inteligência de Segurança baseada domínio (política DNS) no módulo de FirePOWER com ASDM (o Gerenciamento da Em-caixa)

Opções de download

  • PDF     (1.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.2 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (893.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de Julho de 2018
ID do documento:213284
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este original descreve como configurar a inteligência de Segurança baseada domínio (SI) no ASA com o módulo de FirePOWER com o uso do Security Device Manager adaptável (ASDM).

    Pré-requisitos

      

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conhecimento do Firewall ASA (ferramenta de segurança adaptável)
    • ASDM (Security Device Manager adaptável)
    • Conhecimento do módulo de FirePOWER

    Note: O filtro da inteligência de Segurança exige uma licença da proteção.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • Módulos ASA FirePOWER (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) com versão de software 6.0.0 e acima
    • Módulo ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) com versão de software 6.0.0 e acima

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste original começaram com uma configuração cancelada (do padrão). Se sua rede está viva, certifique-se de que você compreende o impacto potencial do comando any.

    Informações de fundo

    O sistema de FirePOWER fornece a capacidade para interceptar o tráfego DNS pede e procura o Domain Name malicioso. Se o módulo de FirePOWER encontra um domínio malicioso, FirePOWER toma a ação apropriada abrandar o pedido conforme a configuração da política DNS.

    Os métodos novos do ataque projetaram romper a inteligência com base em IP, empregam mal características do equilíbrio da carga DNS a fim esconder o IP address real de um server malicioso. Quando os IP address associados com o ataque forem trocados frequentemente dentro e para fora, o Domain Name está mudado raramente. 

    FirePOWER fornece a capacidade para reorientar o pedido malicioso a um server do sinkhole que possa ser um server do honeypot para detectar, deflexionar ou estudar tentativas de saber mais sobre o tráfego do ataque. 

    Vista geral das listas de domínios e das alimentações

    As listas de domínios e as alimentações contêm a lista do Domain Name malicioso que é classificado mais na vária categoria baseada no tipo do ataque. Tipicamente, você pode categorizar as alimentações em dois tipos. 

    Cisco TALOS forneceu listas de domínios e alimentações

    Atacantes DNS: Coleção dos Domain Name que fazem a varredura continuamente para que vulnerabilidades ou as tentativas explorem outros sistemas. 

    DNS Bogon: A coleção dos Domain Name que não atribuem mas enviam novamente o tráfego, igualmente conhecido como a falsificação IPs.

    Bot DNS: A coleção dos Domain Name que participam ativamente como parte de um botnet, e é controlada por um controlador conhecido do botnet.

    CnC DNS: Coleção dos Domain Name que são identificados como os server do controle para um Botnet conhecido. 

    Jogo da façanha DNS: Coleção dos Domain Name que tentam explorar outros sistemas. 

    Malware DNS: A coleção dos Domain Name que tentam propagar o malware ou ataca ativamente qualquer um que os visita.

    DNS Open_proxy: A coleção dos Domain Name que são executado proxys abertos da Web e Web anônima da oferta consulta serviços.

    DNS Open_relay: A coleção dos Domain Name que oferecem serviços anônimos do relé do email usou-se pelo Spam e por atacantes phish.

    DNS Phish: Coleção dos Domain Name que tentam ativamente enganar os utilizadores finais para incorporar sua informação confidencial como nomes de usuário e senha.

    Resposta de DNS: Coleção dos Domain Name que são observados repetidamente contratados no comportamento suspeito ou malicioso.

    Spam DNS: Coleção dos Domain Name que são identificados enquanto a fonte que envia mensagens de Email do Spam.

    DNS suspeito: Coleção dos Domain Name que indicam a atividade suspeita e estão sob a investigação ativa.

    DNS Tor_exit_node: Coleção dos Domain Name que oferecem serviços de nó da saída para a rede de Anonymizer do Tor. 

    Listas de domínios e alimentações feitas sob encomenda

    Lista negra global para o DNS: Coleção da lista feita sob encomenda de Domain Name que são identificados como maliciosos pelo administrador. 

    Whitelist global para o DNS: Coleção da lista feita sob encomenda de Domain Name que são identificados como genuínos pelo administrador.  

    Configurar a inteligência de Segurança DNS

    Há umas etapas múltiplas para configurar a inteligência de Segurança baseada Domain Name. 

    1.  Configurar a alimentação/lista DNS do costume (opcionais)
    2.  Configurar o objeto do Sinkhole (opcional)
    3. Configurar a política DNS
    4. Configurar a política do controle de acesso
    5. Distribua a política do controle de acesso 

    Etapa 1. Configurar a alimentação/lista DNS do costume (opcionais).

    Há duas lista predefinidas que permitem que você lhe adicione os domínios. Você cria suas próprias lista & alimentações para os domínios que você quer obstruir. 

    • Lista negra global para o DNS
    • Whitelist global para o DNS

    Adicionar manualmente a Global-lista negra dos IP address e o Global-WHITELIST

    O módulo de FirePOWER permite que você adicione determinada Global-lista negra dos domínios quando você sabe que são parte de alguma atividade mal-intencionada. Os domínios podem igualmente ser adicionados a Whitelist global se você quer permitir o tráfego a determinados domínios que estão obstruídos por domínios da lista negra. Se você adiciona qualquer Global-lista negra do domínio/WHITELIST, toma o efeito imediatamente sem a necessidade de aplicar a política. 

    A fim adicionar o IP address a Global-Blacklist/Global-WHITELIST, navegue à monitoração > ASA FirePOWER que monitora > tempo real Eventing, paire o rato em eventos de conexão e selecione detalhes da vista

    Você pode adicionar domínios à Global-lista negra/WHITELIST. O clique edita na seção DNS e em pedidos seletos de Whitelist DNS ao domínio pedidos DNS agora/lista negra ao domínio agora adicionar o domínio à lista respectiva, segundo as indicações da imagem. 

    A fim verificar que os domínios estão adicionados ao Global-Blacklist/Global-WHITELIST, navegue à configuração > à configuração ASA FirePOWER > ao Gerenciamento do objeto > ao SecurityIntelligence > às lista DNS e alimente e editem a Global-lista negra para o DNS/Whitelist global para o DNS. Você pode igualmente usar o botão Delete Button para remover todo o domínio da lista. 

    Crie a lista feita sob encomenda de domínios da lista negra

    FirePOWER permite que você crie a lista de domínios feita sob encomenda que pode ser usada para põr (bloco) por dois métodos diferentes.

    1. Você pode escrever Domain Name a um arquivo de texto (um domínio pela linha) e transferir arquivos pela rede o arquivo ao módulo de FirePOWER.

      A fim transferir arquivos pela rede o arquivo, navegue à configuração > à configuração ASA FirePOWER > ao Gerenciamento do objeto > ao SecurityIntelligence > às lista e às alimentações DNS e selecione então adicionam lista e alimentações DNS  

                   

           Nome:  Especifique o nome da lista feita sob encomenda.

           Tipo:  Selecione a lista da lista de drop-down. 

           Lista da transferência de arquivo pela rede:  Escolha consultam para encontrar o arquivo de texto em seu sistema. Selecione a transferência de arquivo pela rede para transferir arquivos pela rede o arquivo.          
                  
      Clique mudanças da loja ASA FirePOWER para salvar as mudanças.                                                                                                                                                                                                                                                                                 

    2. Você pode usar todos os domínios da terceira para a lista feita sob encomenda para que o módulo de FirePOWER pode conectar o server da terceira parte para buscar a lista de domínios.

      A fim configurar isto, navegue à configuração > à configuração ASA FirePOWER > à inteligência do > segurança do Gerenciamento do objeto > às lista e às alimentações DNS e selecione então adicionam lista e alimentações DNS

              Nome: Especifique o nome da alimentação feita sob encomenda.

              Tipo: Selecione a alimentação da lista de drop-down. 

              Alimentação URL: Especifique o server URL a que o módulo de FirePOWER pode conectar e transfira a alimentação. 

              MD5 URL: Especifique o valor de hash para validar o trajeto da alimentação URL. 

              Frequência da atualização: Especifique o intervalo de tempo em que o módulo conecta ao server da alimentação URL.  

    Selecione mudanças da loja ASA FirePOWER para salvar as mudanças.  

    Etapa 2. Configurar um objeto do Sinkhole (opcional).

    O IP address do Sinkhole pode ser usado como a resposta a um pedido malicioso DNS. A máquina cliente obtém o endereço IP do servidor do sinkhole para a consulta de domínio maliciosa e, n que a máquina da extremidade tenta conectar ao server do sinkhole. Daqui, o sinkhole pode atuar como o honeypot para investigar o tráfego do ataque. O sinkhole pode ser configurado para provocar um indicador do acordo (IOC).

    Para adicionar o server do sinkhole, a configuração > a configuração ASA FirePOWER > o Gerenciamento > o Sinkhole do objeto & clicar a opção do Sinkhole adicionar

    Nome: Especifique o nome do server do sinkhole. 

    IP address: Especifique o IP address do server do sinkhole. 

    Registre conexões ao Sinkhole: Permita esta opção de registrar todas as conexões entre o valor-limite e o server do sinkhole.

    Obstrua e registre conexões ao Sinkhole: Permita esta opção de obstruir a conexão e somente o log no início da conexão do fluxo. Se não há nenhum server físico do sinkhole, você pode especificar todo o IP address e você pode ver os eventos de conexão e o disparador IOC. 

    Tipo: Especifique a alimentação da lista de drop-down para que você quer selecionar o tipo de IOC (indicação do acordo) associado com os eventos do sinkhole. Há três tipos do sinkhole IOC que podem ser etiquetados. 

    • Malware
    • Comando e controle
    • Phish       
                                                                                                                                                                                     

    Etapa 3. Configurar a política DNS.

    A política DNS precisa de ser configurada para decidir a ação para a alimentação/lista DNS. Navegue à configuração > à configuração ASA FirePOWER > às políticas > à política DNS.  

    A política DNS do padrão contém duas regras de padrão. A primeira regra, Whitelist global para o DNS, contém a lista feita sob encomenda do domínio permitido (Global-WHITELIST-para-DNS). Esta regra está na parte superior a combinar primeiramente antes que o sistema tente combinar todo o domínio da lista negra. A segunda regra, lista negra global para o DNS, contém a lista feita sob encomenda do domínio obstruído (Global-Lista-para-DNS). 

    Você pode adicionar mais regras para definir as várias ações para Cisco TALOS forneceu listas de domínios e alimentações. Para adicionar uma regra nova, seleta adicionar a regra DNS. 

    Nome: Especifique o nome da regra. 

    Ação:  Especifique a ação para provocar quando esta regra combina. 

    • Whitelist: Isto permite a pergunta DNS. 
    • Monitor: Esta ação gerencie o evento para a pergunta DNS e o tráfego continua a combinar regras subsequentes. 
    • Domínio não encontrado: Esta ação envia a resposta de DNS como domínio não encontrado (domínio não existente).
    • Gota: Esta ação obstrui e deixa cair a pergunta DNS silenciosamente. 
    • Sinkhole: Esta ação envia o IP address do server do Sinkhole como a resposta ao pedido DNS. 

    Especifique a rede das zonas para definir as condições da regra. Na aba DNS, escolha as lista & alimentações DNS e mova-se para a opção selecionada dos artigos onde você pode aplicar a ação configurada. 

    Você pode configurar as regras múltiplas DNS para lista diferentes e alimentações DNS com uma ação diferente baseada em suas necessidades da organização.

      

    Clique a opção adicionar para adicionar a regra.  

    Etapa 4. Configurar a política do controle de acesso.

    A fim configurar o DNS baseou a inteligência de Segurança, navega à configuração > à configuração ASA FirePOWER > às políticas > à política do controle de acesso, seleciona a aba da inteligência de Segurança

    Assegure-se de que política DNS esteja configurado e opcionalmente, você pode permitir os logs enquanto você clica sobre o ícone dos logs segundo as indicações da imagem. 

    Escolha mudanças da loja ASA FirePOWER da opção salvar as alterações de política C.A. 

    Etapa 5. Distribua a política do controle de acesso.

    Para que as mudanças tomem o efeito, você deve distribuir a política do controle de acesso. Antes que você aplique a política, veja uma indicação que se a política do controle de acesso seja expirado no dispositivo ou não.

    Para distribuir as mudanças ao sensor, o clique distribui e escolhe distribui mudanças de FirePOWER a seguir seleciona-as distribui na janela pop-up para distribuir as mudanças. 

    Note: Na versão 5.4.x, para aplicar a política de acesso ao sensor, você precisa de clicar aplica mudanças ASA FirePOWER.

    Note: Navegue à monitoração > ASA FirePOWER que monitora > estado da tarefa.  Assegure-se de que a tarefa esteja completa confirmar as alterações de configuração. 

    Verificar

    A configuração pode ser verificada somente se um evento é provocado. Para isto, você pode forçar uma pergunta DNS em uma máquina. Contudo, seja cauteloso das repercussões quando um server malicioso conhecido é visado. Depois que você gerencie esta pergunta, você pode ver o evento na seção de Eventing do tempo real.

    Monitoramento de evento da inteligência de Segurança DNS

    A fim ver a inteligência de Segurança pelo módulo de FirePOWER, navegue à monitoração > ASA FirePOWER que monitora > tempo real Eventing. Selecione a aba da inteligência de Segurança. Isto aparece os eventos segundo as indicações da imagem:

    Troubleshooting

    Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

    A fim assegurar-se de que as alimentações da inteligência de Segurança sejam atualizadas, navegue à configuração > à configuração ASA FirePOWER > à inteligência do > segurança do Gerenciamento do objeto > às lista DNS e alimente e verifiquem o tempo em que a alimentação foi atualizada por último. Você pode escolher edita para ajustar a frequência da atualização da alimentação. 

    Assegure-se de que a distribuição de política do controle de acesso termine com sucesso. 

    Monitore a aba de Eventing do tempo real da inteligência de Segurança para ver se o tráfego é obstruído ou não.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Adwiti Dash
      Engenheiro de TAC da Cisco
    • Sunil Kumar
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco