Configure la inteligencia de Seguridad basadadominio (directiva DNS) en el módulo deFirePOWER con ASDM (la Administración delEn-cuadro) Contenido

IntroducciónPrerequisitesRequisitosComponentes usadosAntecedentesDescripción de las listas y de las alimentaciones del dominioCisco TALOS proporcionó a las listas y a las alimentaciones del dominioListas y alimentaciones de encargo del dominioConfigure la inteligencia de Seguridad DNSPaso 1. Configure la alimentación/la lista de la aduana DNS (opcionales).Agregue manualmente los IP Addresses a la lista negra global y a la lista blanca globalCree la lista de encargo de dominios de la lista negraPaso 2. Configure un objeto de la dolina (opcional).Paso 3. Configure la directiva DNS.Paso 4. Configure la directiva del control de acceso.Paso 5. Despliegue la directiva del control de acceso.VerifiqueMonitoreo de evento de la inteligencia de Seguridad DNSTroubleshootingInformación Relacionada

Introducción

Este documento describe cómo configurar la inteligencia de Seguridad basada dominio (SI) en elASA con el módulo de FirePOWER con el uso del Administrador de dispositivos de seguridadadaptante (ASDM).

Prerequisites

  

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Conocimiento del Firewall ASA (dispositivo de seguridad adaptante)●

ASDM (Administrador de dispositivos de seguridad adaptante)●

Conocimiento del módulo de FirePOWER●

Note: El filtro de la inteligencia de Seguridad requiere una licencia de la protección.

Componentes usados

La información que contiene este documento se basa en estas versiones de software:

Módulos ASA FirePOWER (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) con laversión de software 6.0.0 y arriba

●

Módulo ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) con laversión de software 6.0.0 y arriba

●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El sistema de FirePOWER proporciona a la capacidad de interceptar el tráfico DNS pide y buscael Domain Name malévolo. Si el módulo de FirePOWER encuentra un dominiomalévolo, FirePOWER toma la acción apropiada para atenuar la petición según la configuraciónde la directiva DNS.

Los nuevos métodos del ataque diseñaron violar la inteligencia IP-basada, emplean mal lascaracterísticas de la balanza de la carga DNS para ocultar la dirección IP real de un servidormalévolo. Mientras que los IP Addresses asociados al ataque se intercambian con frecuenciaadentro y hacia fuera, el Domain Name se cambia raramente. 

FirePOWER proporciona a la capacidad de reorientar la petición malévola a un servidor de ladolina que pueda ser un servidor del honeypot para detectar, para desviar o para estudiar lastentativas de saber más sobre el tráfico del ataque. 

Descripción de las listas y de las alimentaciones del dominio

El dominio enumera y las alimentaciones contienen la lista del Domain Name malévolo que seclasifica más a fondo en la diversa categoría basada sobre el tipo del ataque. Típicamente, ustedpuede categorizar las alimentaciones en dos tipos. 

Cisco TALOS proporcionó a las listas y a las alimentaciones del dominio

Atacantes DNS: Colección de Domain Name que analizan continuamente para que lasvulnerabilidades o las tentativas exploten otros sistemas. 

DNS Bogon: La colección de Domain Name que no afecten un aparato sino vuelven a enviar el

tráfico, también conocido como falsificación IPS.

Bots DNS: La colección de Domain Name que participen activamente como parte de un botnet, yes controlada por un regulador sabido del botnet.

CNC DNS: Colección de Domain Name que se identifican como los servidores del control para unBotnet conocido. 

Equipo del exploit DNS: Colección de Domain Name que intentan explotar otros sistemas. 

DNS Malware: La colección de Domain Name que intenten propagar el malware o atacaactivamente a cualquier persona que los visite.

DNS Open_proxy: La colección de Domain Name que se ejecuten los proxys abiertos de la red yred anónima de la oferta hojea los servicios.

DNS Open_relay: La colección de Domain Name que ofrecen los servicios anónimos de laretransmisión del correo electrónico utilizó por el Spam y los atacantes phish.

DNS Phish: Colección de Domain Name que intentan activamente engañar a los usuarios finalespara ingresar su información confidencial como los nombres de usuario y contraseña.

Respuesta de DNS: Colección de Domain Name que en varias ocasiones se observan dedicadosal comportamiento sospechoso o malévolo.

Spam DNS: Colección de Domain Name se identifican que mientras que la fuente que envía loscorreos electrónicos del Spam.

DNS sospechoso: Colección de Domain Name que visualizan la actividad sospechosa y estánbajo investigación activa.

DNS Tor_exit_node: Colección de Domain Name que ofrecen los servicios de nodo de la salidapara la red de Anonymizer del Tor. 

Listas y alimentaciones de encargo del dominio

Lista negra global para el DNS: Colección de la lista de encargo de Domain Name que sonidentificados como malévolos por el administrador. 

Lista blanca global para el DNS: Colección de la lista de encargo de Domain Name que sonidentificados como auténticos por el administrador.  

Configure la inteligencia de Seguridad DNS

Hay pasos múltiples para configurar la inteligencia de Seguridad basada Domain Name. 

 Configure la alimentación/la lista de la aduana DNS (opcionales)1. Configure el objeto de la dolina (opcional)2.Configure la directiva DNS3.Configure la directiva del control de acceso4.Despliegue la directiva del control de acceso 5.

Paso 1. Configure la alimentación/la lista de la aduana DNS (opcionales).

Hay dos listas predefinidas que permiten que usted agregue los dominios a él. Usted crea suspropias listas y alimentaciones para los dominios que usted quiere bloquear. 

Lista negra global para el DNS●

Lista blanca global para el DNS●

Agregue manualmente los IP Addresses a la lista negra global y a la lista blanca global

El módulo de FirePOWER permite que usted agregue ciertos dominios a la lista negra globalcuando usted sabe que son parte de una cierta actividad maliciosa. Los dominios se puedentambién agregar a la lista blanca global si usted quiere permitir el tráfico a ciertos dominios quesean bloqueados por los dominios de la lista negra. Si usted agrega cualquier dominio a la listanegra global/a la lista blanca global, toma el efecto inmediatamente sin la necesidad de aplicar ladirectiva. 

Para agregar la dirección IP a la lista blanca global Global-Blacklist/, navegar a vigilar > ASAFirePOWER que vigila > Eventing en tiempo real, asomar el ratón en los eventos de conexión yseleccionar los detalles de la visión. 

Usted puede agregar los dominios a la lista negra global/a la lista blanca global. El tecleo ahoracorrige en la sección DNS y las peticiones selectas de la lista blanca DNS al dominio/laspeticiones de la lista negra DNS al dominio ahora de agregar el dominio a la lista respectiva, tal ycomo se muestra en de la imagen. 

Para verificar que los dominios estén agregados a la lista blanca global Global-Blacklist/, naveguea la configuración > a la configuración ASA FirePOWER > a la Administración del objeto > aSecurityIntelligence > a las listas DNS y alimenta y corrige la lista negra global para el DNS/la listablanca global para el DNS. Usted puede también utilizar el botón Delete Button para quitarcualquier dominio de la lista. 

Cree la lista de encargo de dominios de la lista negra

FirePOWER permite que usted cree la aduana lista de dominio que se puede utilizar para poner(bloque) por dos métodos distintos.

Usted puede escribir los Domain Name a un archivo de texto (un dominio por la línea) ycargar por teletratamiento el fichero al módulo de FirePOWER.

Para cargar por teletratamiento el fichero, navegue a la configuración > a la configuraciónASA FirePOWER > a la Administración del objeto > a SecurityIntelligence > a las listas y alas alimentaciones DNS y después seleccione agregan las listas y las alimentaciones DNS                   Nombre:  Especifique el nombre de la lista de encargo.    Tipo:  Seleccione la listade la lista desplegable.     Lista de la carga por teletratamiento:  Elija hojean para localizar elarchivo de texto en su sistema. Seleccione la carga por teletratamiento para cargar porteletratamiento el fichero.                    

1.

Haga clic los cambios ASA FirePOWER del almacén para salvar los cambios.                                                                                                                                                                                                                                                                               Usted puede utilizar cualquier dominio de tercera persona para la lista de encargo para lacual el módulo de FirePOWER puede conectar el servidor del otro vendedor para traer listade dominio.

Para configurar esto, navegue a la configuración > a la configuración ASA FirePOWER > ala inteligencia del > Security (Seguridad) de la Administración del objeto > a las listas y a lasalimentaciones DNS y después seleccione agregan las listas y las alimentaciones DNS

2.

         Nombre: Especifique el nombre de la alimentación de encargo.

         Tipo: Seleccione la alimentación de la lista desplegable. 

         Alimentación URL: Especifique el servidor URL con el cual el módulo de FirePOWER puedeconectar y descargue la alimentación. 

         MD5 URL: Especifique el valor de troceo para validar el trayecto del URL de laalimentación. 

         Frecuencia de la actualización: Especifique el intervalo de tiempo en el cual el móduloconecta con el servidor de la alimentación URL.  

Seleccione los cambios ASA FirePOWER del almacén para salvar los cambios.  

Paso 2. Configure un objeto de la dolina (opcional).

La dirección IP de la dolina se puede utilizar como la respuesta a una petición malévola DNS. Lamáquina del cliente consigue la dirección IP del servidor de la dolina para la búsqueda de dominiomalévola y, n que la máquina del extremo intenta conectar con el servidor de la dolina. Por lotanto, la dolina puede actuar como el Honeypot para investigar el tráfico del ataque. La dolina sepuede configurar para accionar un indicador del compromiso (IOC).

Para agregar el servidor de la dolina, la configuración > la configuración ASA FirePOWER > laAdministración > la dolina del objeto y hacer clic la opción de la dolina del agregar. 

Nombre: Especifique el nombre del servidor de la dolina. 

Dirección IP: Especifique la dirección IP del servidor de la dolina. 

Registre las conexiones a la dolina: Permita a esta opción registrar todas las conexiones entre lapunto final y el servidor de la dolina.

Bloquee y registre las conexiones a la dolina: Permita a esta opción bloquear la conexión ysolamente el registro al inicio de la conexión del flujo. Si no hay servidor físico de la dolina, ustedpuede especificar cualquier dirección IP y usted puede ver los eventos de conexión y el activadorIOC. 

Tipo: Especifique la alimentación de la lista desplegable para la cual usted quiere seleccionar eltipo de IOC (indicación del compromiso) asociado a los eventos de la dolina. Hay tres tipos de ladolina IOC que pueden ser marcados con etiqueta. 

Malware●

Comando y control●

Phish                                                                                                                                                                            

       

●

Paso 3. Configure la directiva DNS.

La directiva DNS necesita ser configurada para decidir a la acción para la alimentación/la listaDNS. Navegue a la configuración > a la configuración ASA FirePOWER > a las directivas > a ladirectiva DNS.  

La directiva del valor por defecto DNS contiene dos reglas predeterminadas. La primeraregla, lista blanca global para el DNS, contiene la lista de encargo del dominio permitido (Global-WHITELIST-para-DNS). Esta regla está en el top a hacer juego primero antes de que el sistemaintente hacer juego cualquier dominio de la lista negra. La segunda regla, lista negra global parael DNS, contiene la lista de encargo del dominio bloqueado (Global-Lista-para-DNS). 

Usted puede agregar más reglas para definir las diversas acciones para Cisco TALOSproporcionó a las listas y a las alimentaciones del dominio. Para agregar una nuevaregla, selecta agregue la regla DNS. 

Nombre: Especifique el nombre de la regla. 

Acción:  Especifique la acción para accionar cuando esta regla hace juego. 

Lista blanca: Esto permite la interrogación DNS. ●

Monitor: Esta acción genera el evento para la interrogación DNS y el tráfico continúahaciendo juego las reglas subsiguientes. 

●

Dominio no encontrado: Esta acción envía la respuesta de DNS como dominio no encontrado(dominio inexistente).

●

Descenso: Esta acción bloquea y cae la interrogación DNS silenciosamente. ●

Dolina: Esta acción envía la dirección IP del servidor de la dolina como la respuesta a lapetición DNS. 

●

Especifique la red de las zonas para definir las condiciones de la regla. En la tabulación DNS, elijalas listas y las alimentaciones DNS y muévase a la opción de los elementos seleccionados dondeusted puede aplicar la acción configurada. 

Usted puede configurar las reglas múltiples DNS para diversas listas y las alimentaciones DNScon una diversa acción basada en sus necesidades de la organización.

  

Haga clic la opción del agregar para agregar la regla.  

Paso 4. Configure la directiva del control de acceso.

Para configurar el DNS basó la inteligencia de Seguridad, navega a la configuración > a laconfiguración ASA FirePOWER > a las directivas > a la directiva del control de acceso, seleccionala inteligencia de Seguridad cuadro. 

Asegúrese de que directiva DNS está configurado y opcionalmente, usted puede activar losregistros mientras que usted hace clic en el icono de los registros tal y como se muestra en de laimagen. 

Elija los cambios ASA FirePOWER del almacén de la opción para salvar los cambios de políticaCA. 

Paso 5. Despliegue la directiva del control de acceso.

Para que los cambios tomen el efecto, usted debe desplegar la directiva del control de acceso.Antes de que usted aplique la directiva, vea una indicación que si la directiva del control deacceso es en el dispositivo o no anticuada.

Para desplegar los cambios al sensor, el tecleo despliega y elige despliega los cambios deFirePOWER después los selecciona despliega en la ventana emergente para desplegar loscambios. 

Note: En la versión 5.4.x, aplicar la política de acceso al sensor, usted necesita hacer clicaplica los cambios ASA FirePOWER.

Note: Navegue a vigilar > ASA FirePOWER que vigila > estatus de la tarea.  Asegúreseque la tarea sea completa confirmar los cambios de configuración. 

Verifique

La configuración puede ser verificada solamente si se acciona un evento. Para esto, usted puedeforzar una interrogación DNS en una máquina. Sin embargo, sea prudente de las repercusionescuando se apunta un servidor malévolo sabido. Después de que usted genere esta interrogación,usted puede ver el evento en la sección en tiempo real de Eventing.

Monitoreo de evento de la inteligencia de Seguridad DNS

Para ver la inteligencia de Seguridad por el módulo de FirePOWER, navegue a vigilar > ASAFirePOWER que vigila > Eventing en tiempo real. Seleccione la inteligencia de Seguridad cuadro.Esto aparece los eventos tal y como se muestra en de la imagen:

Troubleshooting

Esta sección proporciona a la información que usted puede utilizar para resolver problemas suconfiguración.

Para asegurarse de que las alimentaciones de la inteligencia de Seguridad sean actualizadas,navegue a la configuración > a la configuración ASA FirePOWER > a la inteligencia del > Security(Seguridad) de la Administración del objeto > a las listas DNS y alimenta y controla el tiempo enque la alimentación fue puesta al día por último. Usted puede elegir corrige para fijar la frecuenciade la actualización de la alimentación. 

Asegúrese de que la implementación de política del control de acceso haya completado conéxito. 

Vigile la tabulación en tiempo real de Eventing de la inteligencia de Seguridad para ver si sebloquea el tráfico o no.

Información Relacionada

Guía de inicio rápido del módulo de Cisco ASA FirePOWER●

Soporte técnico y documentación - Cisco Systems●