Configurar a inteligência de Segurança baseada domínio (política DNS) no módulo de FirePOWER com ASDM (o Gerenciamento da Em-caixa)

Transcrição

1 Configurar a inteligência de Segurança baseada domínio (política DNS) no módulo de FirePOWER com ASDM (o Gerenciamento da Em-caixa) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de fundo Vista geral das listas de domínios e das alimentações Cisco TALOS forneceu listas de domínios e alimentações Listas de domínios e alimentações feitas sob encomenda Configurar a inteligência de Segurança DNS Etapa 1. Configurar a alimentação/lista DNS do costume (opcionais). Adicionar manualmente a Global-lista negra dos IP address e o Global-WHITELIST Crie a lista feita sob encomenda de domínios da lista negra Etapa 2. Configurar um objeto do Sinkhole (opcional). Etapa 3. Configurar a política DNS. Etapa 4. Configurar a política do controle de acesso. Etapa 5. Distribua a política do controle de acesso. Verificar Monitoramento de evento da inteligência de Segurança DNS Troubleshooting Informações Relacionadas Introdução Este original descreve como configurar a inteligência de Segurança baseada domínio (SI) no ASA com o módulo de FirePOWER com o uso do Security Device Manager adaptável (ASDM). Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: Conhecimento do Firewall ASA (ferramenta de segurança adaptável)

2 ASDM (Security Device Manager adaptável) Conhecimento do módulo de FirePOWER Note: O filtro da inteligência de Segurança exige uma licença da proteção. Componentes Utilizados As informações neste documento são baseadas nestas versões de software: Módulos ASA FirePOWER (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) com versão de software e acima Módulo ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) com versão de software e acima As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste original começaram com uma configuração cancelada (do padrão). Se sua rede está viva, certifique-se de que você compreende o impacto potencial do comando any. Informações de fundo O sistema de FirePOWER fornece a capacidade para interceptar o tráfego DNS pede e procura o Domain Name malicioso. Se o módulo de FirePOWER encontra um domínio malicioso, FirePOWER toma a ação apropriada abrandar o pedido conforme a configuração da política DNS. Os métodos novos do ataque projetaram romper a inteligência com base em IP, empregam mal características do equilíbrio da carga DNS a fim esconder o IP address real de um server malicioso. Quando os IP address associados com o ataque forem trocados frequentemente dentro e para fora, o Domain Name está mudado raramente. FirePOWER fornece a capacidade para reorientar o pedido malicioso a um server do sinkhole que possa ser um server do honeypot para detectar, deflexionar ou estudar tentativas de saber mais sobre o tráfego do ataque. Vista geral das listas de domínios e das alimentações As listas de domínios e as alimentações contêm a lista do Domain Name malicioso que é classificado mais na vária categoria baseada no tipo do ataque. Tipicamente, você pode categorizar as alimentações em dois tipos. Cisco TALOS forneceu listas de domínios e alimentações Atacantes DNS: Coleção dos Domain Name que fazem a varredura continuamente para que vulnerabilidades ou as tentativas explorem outros sistemas. DNS Bogon: A coleção dos Domain Name que não atribuem mas enviam novamente o tráfego, igualmente conhecido como a falsificação IPs.

3 Bot DNS: A coleção dos Domain Name que participam ativamente como parte de um botnet, e é controlada por um controlador conhecido do botnet. CnC DNS: Coleção dos Domain Name que são identificados como os server do controle para um Botnet conhecido. Jogo da façanha DNS: Coleção dos Domain Name que tentam explorar outros sistemas. Malware DNS: A coleção dos Domain Name que tentam propagar o malware ou ataca ativamente qualquer um que os visita. DNS Open_proxy: A coleção dos Domain Name que são executado proxys abertos da Web e Web anônima da oferta consulta serviços. DNS Open_relay: A coleção dos Domain Name que oferecem serviços anônimos do relé do usou-se pelo Spam e por atacantes phish. DNS Phish: Coleção dos Domain Name que tentam ativamente enganar os utilizadores finais para incorporar sua informação confidencial como nomes de usuário e senha. Resposta de DNS: Coleção dos Domain Name que são observados repetidamente contratados no comportamento suspeito ou malicioso. Spam DNS: Coleção dos Domain Name que são identificados enquanto a fonte que envia mensagens de do Spam. DNS suspeito: Coleção dos Domain Name que indicam a atividade suspeita e estão sob a investigação ativa. DNS Tor_exit_node: Coleção dos Domain Name que oferecem serviços de nó da saída para a rede de Anonymizer do Tor. Listas de domínios e alimentações feitas sob encomenda Lista negra global para o DNS: Coleção da lista feita sob encomenda de Domain Name que são identificados como maliciosos pelo administrador. Whitelist global para o DNS: Coleção da lista feita sob encomenda de Domain Name que são identificados como genuínos pelo administrador. Configurar a inteligência de Segurança DNS Há umas etapas múltiplas para configurar a inteligência de Segurança baseada Domain Name.

4 1. Configurar a alimentação/lista DNS do costume (opcionais) 2. Configurar o objeto do Sinkhole (opcional) 3. Configurar a política DNS 4. Configurar a política do controle de acesso 5. Distribua a política do controle de acesso Etapa 1. Configurar a alimentação/lista DNS do costume (opcionais). Há duas lista predefinidas que permitem que você lhe adicione os domínios. Você cria suas próprias lista & alimentações para os domínios que você quer obstruir. Lista negra global para o DNS Whitelist global para o DNS Adicionar manualmente a Global-lista negra dos IP address e o Global-WHITELIST O módulo de FirePOWER permite que você adicione determinada Global-lista negra dos domínios quando você sabe que são parte de alguma atividade mal-intencionada. Os domínios podem igualmente ser adicionados a Whitelist global se você quer permitir o tráfego a determinados domínios que estão obstruídos por domínios da lista negra. Se você adiciona qualquer Global-lista negra do domínio/whitelist, toma o efeito imediatamente sem a necessidade de aplicar a política. A fim adicionar o IP address a Global-Blacklist/Global-WHITELIST, navegue à monitoração > ASA FirePOWER que monitora > tempo real Eventing, paire o rato em eventos de conexão e selecione detalhes da vista. Você pode adicionar domínios à Global-lista negra/whitelist. O clique edita na seção DNS e em pedidos seletos de Whitelist DNS ao domínio pedidos DNS agora/lista negra ao domínio agora adicionar o domínio à lista respectiva, segundo as indicações da imagem.

5 A fim verificar que os domínios estão adicionados ao Global-Blacklist/Global-WHITELIST, navegue à configuração > à configuração ASA FirePOWER > ao Gerenciamento do objeto > ao SecurityIntelligence > às lista DNS e alimente e editem a Global-lista negra para o DNS/Whitelist global para o DNS. Você pode igualmente usar o botão Delete Button para remover todo o domínio da lista. Crie a lista feita sob encomenda de domínios da lista negra FirePOWER permite que você crie a lista de domínios feita sob encomenda que pode ser usada para põr (bloco) por dois métodos diferentes. 1. Você pode escrever Domain Name a um arquivo de texto (um domínio pela linha) e transferir arquivos pela rede o arquivo ao módulo de FirePOWER. A fim transferir arquivos pela rede o arquivo, navegue à configuração > à configuração ASA FirePOWER > ao Gerenciamento do objeto > ao SecurityIntelligence > às lista e às alimentações DNS e selecione então adicionam lista e alimentações DNS Nome: Especifique o nome da lista feita sob encomenda. Tipo: Selecione a lista da lista de dropdown. Lista da transferência de arquivo pela rede: Escolha consultam para encontrar o arquivo de texto em seu sistema. Selecione a transferência de arquivo pela rede para transferir arquivos pela rede o arquivo.

6 Clique mudanças da loja ASA FirePOWER para salvar as mudanças. 2. Você pode usar todos os domínios da terceira para a lista feita sob encomenda para que o módulo de FirePOWER pode conectar o server da terceira parte para buscar a lista de domínios. A fim configurar isto, navegue à configuração > à configuração ASA FirePOWER > à inteligência do > segurança do Gerenciamento do objeto > às lista e às alimentações DNS e selecione então adicionam lista e alimentações DNS Nome: Especifique o nome da alimentação feita sob encomenda. Tipo: Selecione a alimentação da lista de drop-down. Alimentação URL: Especifique o server URL a que o módulo de FirePOWER pode conectar e transfira a alimentação. MD5 URL: Especifique o valor de hash para validar o trajeto da alimentação URL. Frequência da atualização: Especifique o intervalo de tempo em que o módulo conecta ao server da alimentação URL. Selecione mudanças da loja ASA FirePOWER para salvar as mudanças. Etapa 2. Configurar um objeto do Sinkhole (opcional).

7 O IP address do Sinkhole pode ser usado como a resposta a um pedido malicioso DNS. A máquina cliente obtém o endereço IP do servidor do sinkhole para a consulta de domínio maliciosa e, n que a máquina da extremidade tenta conectar ao server do sinkhole. Daqui, o sinkhole pode atuar como o honeypot para investigar o tráfego do ataque. O sinkhole pode ser configurado para provocar um indicador do acordo (IOC). Para adicionar o server do sinkhole, a configuração > a configuração ASA FirePOWER > o Gerenciamento > o Sinkhole do objeto & clicar a opção do Sinkhole adicionar. Nome: Especifique o nome do server do sinkhole. IP address: Especifique o IP address do server do sinkhole. Registre conexões ao Sinkhole: Permita esta opção de registrar todas as conexões entre o valorlimite e o server do sinkhole. Obstrua e registre conexões ao Sinkhole: Permita esta opção de obstruir a conexão e somente o log no início da conexão do fluxo. Se não há nenhum server físico do sinkhole, você pode especificar todo o IP address e você pode ver os eventos de conexão e o disparador IOC. Tipo: Especifique a alimentação da lista de drop-down para que você quer selecionar o tipo de IOC (indicação do acordo) associado com os eventos do sinkhole. Há três tipos do sinkhole IOC que podem ser etiquetados. Malware Comando e controle Phish Etapa 3. Configurar a política DNS. A política DNS precisa de ser configurada para decidir a ação para a alimentação/lista DNS. Navegue à configuração > à configuração ASA FirePOWER > às políticas > à política DNS. A política DNS do padrão contém duas regras de padrão. A primeira regra, Whitelist global para o DNS, contém a lista feita sob encomenda do domínio permitido (Global-WHITELIST-para-DNS).

8 Esta regra está na parte superior a combinar primeiramente antes que o sistema tente combinar todo o domínio da lista negra. A segunda regra, lista negra global para o DNS, contém a lista feita sob encomenda do domínio obstruído (Global-Lista-para-DNS). Você pode adicionar mais regras para definir as várias ações para Cisco TALOS forneceu listas de domínios e alimentações. Para adicionar uma regra nova, seleta adicionar a regra DNS. Nome: Especifique o nome da regra. Ação: Especifique a ação para provocar quando esta regra combina. Whitelist: Isto permite a pergunta DNS. Monitor: Esta ação gerencie o evento para a pergunta DNS e o tráfego continua a combinar regras subsequentes. Domínio não encontrado: Esta ação envia a resposta de DNS como domínio não encontrado (domínio não existente). Gota: Esta ação obstrui e deixa cair a pergunta DNS silenciosamente. Sinkhole: Esta ação envia o IP address do server do Sinkhole como a resposta ao pedido DNS. Especifique a rede das zonas para definir as condições da regra. Na aba DNS, escolha as lista & alimentações DNS e mova-se para a opção selecionada dos artigos onde você pode aplicar a ação configurada. Você pode configurar as regras múltiplas DNS para lista diferentes e alimentações DNS com uma ação diferente baseada em suas necessidades da organização. Clique a opção adicionar para adicionar a regra.

9 Etapa 4. Configurar a política do controle de acesso. A fim configurar o DNS baseou a inteligência de Segurança, navega à configuração > à configuração ASA FirePOWER > às políticas > à política do controle de acesso, seleciona a aba da inteligência de Segurança. Assegure-se de que política DNS esteja configurado e opcionalmente, você pode permitir os logs enquanto você clica sobre o ícone dos logs segundo as indicações da imagem. Escolha mudanças da loja ASA FirePOWER da opção salvar as alterações de política C.A. Etapa 5. Distribua a política do controle de acesso. Para que as mudanças tomem o efeito, você deve distribuir a política do controle de acesso. Antes que você aplique a política, veja uma indicação que se a política do controle de acesso seja expirado no dispositivo ou não. Para distribuir as mudanças ao sensor, o clique distribui e escolhe distribui mudanças de FirePOWER a seguir seleciona-as distribui na janela pop-up para distribuir as mudanças. Note: Na versão 5.4.x, para aplicar a política de acesso ao sensor, você precisa de clicar aplica mudanças ASA FirePOWER. Note: Navegue à monitoração > ASA FirePOWER que monitora > estado da tarefa. Assegure-se de que a tarefa esteja completa confirmar as alterações de configuração.

10 Verificar A configuração pode ser verificada somente se um evento é provocado. Para isto, você pode forçar uma pergunta DNS em uma máquina. Contudo, seja cauteloso das repercussões quando um server malicioso conhecido é visado. Depois que você gerencie esta pergunta, você pode ver o evento na seção de Eventing do tempo real. Monitoramento de evento da inteligência de Segurança DNS A fim ver a inteligência de Segurança pelo módulo de FirePOWER, navegue à monitoração > ASA FirePOWER que monitora > tempo real Eventing. Selecione a aba da inteligência de Segurança. Isto aparece os eventos segundo as indicações da imagem: Troubleshooting Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração. A fim assegurar-se de que as alimentações da inteligência de Segurança sejam atualizadas, navegue à configuração > à configuração ASA FirePOWER > à inteligência do > segurança do Gerenciamento do objeto > às lista DNS e alimente e verifiquem o tempo em que a alimentação foi atualizada por último. Você pode escolher edita para ajustar a frequência da atualização da alimentação. Assegure-se de que a distribuição de política do controle de acesso termine com sucesso. Monitore a aba de Eventing do tempo real da inteligência de Segurança para ver se o tráfego é obstruído ou não.

11 Informações Relacionadas Guia de início rápido do módulo de Cisco ASA FirePOWER Suporte técnico & documentação - Cisco Systems