Как защититься от DNS-атак с помощью Ideco NGFW и DNS Protection от SkyDNS

Как защититься от DNS-атак с помощью Ideco NGFW и DNS Protection от SkyDNS

Как защититься от DNS-атак с помощью Ideco NGFW и DNS Protection от SkyDNS

Защита сетевой инфраструктуры от DNS-атак — важная задача, особенно сегодня, когда киберугрозы становятся всё более разнообразными. Соединим отечественный межсетевой экран нового поколения Ideco NGFW с облачным модулем DNS Protection от компании SkyDNS и посмотрим на эффективность такого решения.

 

 

 

 

 

 

  1. Введение
  2. Настройка интеграции Ideco NGFW и SkyDNS
  3. Сценарии использования
    1. 3.1. Фильтрация по категориям и приложениям
    2. 3.2. Работа с запрещающими и разрешающими списками
    3. 3.3. Статистика
  4. Выводы 

Введение

Как известно, DNS отвечает за преобразование доменных имён в IP-адреса, чтобы трафик в сети правильно маршрутизировался. Злоумышленники могут использовать атаки на DNS для нарушения работы сети, перенаправления пользователей на вредоносные веб-сайты, а также для реализации различных техник взлома. Один из примеров — DNS-туннелирование, которое позволяет передавать информацию скрытно, используя DNS-протокол как альтернативный канал связи.

Для защиты от подобных атак требуется следить за безопасностью DNS-серверов, а также использовать специализированные инструменты и технологии. Среди них — межсетевые экраны нового поколения (NGFW) со своей или сторонней функциональностью по защите DNS. Они способны обнаруживать и блокировать вредоносный DNS-трафик, эффективно предотвращают атаки связанные с манипулированием DNS, обеспечивают защиту от фишинговых атак. Также эта функциональность позволяет бороться с автоматически генерируемыми доменными именами (DGA), с помощью которых злоумышленники обходят любые статические чёрные списки традиционных средств защиты информации.

Уход зарубежных вендоров создал вакуум на рынке. Однако такие ситуации стимулируют отечественных производителей быстро заполнять пробелы, предлагая инновационные и конкурентоспособные решения. Интеграция между NGFW от компании Ideco и DNS Protection от SkyDNS — пример того, как российские ИТ-компании демонстрируют готовность предлагать передовые решения, соответствующие высоким стандартам безопасности.

Совместное использование этих двух продуктов позволяет контролировать сетевой трафик, блокировать доступ ко вредоносным ресурсам и обнаруживать потенциальные угрозы на ранних стадиях. Давайте посмотрим, как можно обогатить NGFW новой функциональностью по защите от DNS-атак.

Настройка интеграции Ideco NGFW и SkyDNS

Начинаем процесс из интерфейса продукта Ideco NGFW. Необходимо зайти в раздел «Сервисы», выбрать подраздел «DNS Security» и добавить вручную новый внешний DNS-сервер на вкладке «Внешние DNS-серверы».

 

Рисунок 1. Добавление DNS-сервера SkyDNS

Добавление DNS-сервера SkyDNS

 

Если необходимо обеспечить обязательную фильтрацию через SkyDNS для всей сети, можно настроить запрет доступа к другим DNS-серверам путём активации параметра «Перехват пользовательских DNS-запросов». При этом будут блокироваться и DoH- / DoT-сервисы туннелирования DNS-трафика. Для настройки запрета прямого обращения к сайтам по IP-адресу необходимо перейти к разделу «Правила трафика» в левой панели и заполнить все поля, как показано на рисунке ниже.

 

Рисунок 2. Настройка запрета на прямое обращение к сайтам по IP-адресу

Настройка запрета на прямое обращение к сайтам по IP-адресу

 

Для завершения настройки Ideco NGFW необходимо указать IP-адрес локального интерфейса Ideco NGFW в качестве единственного DNS-сервера в сетевых настройках на всех устройствах, которые необходимо защитить.

Со стороны SkyDNS набор действий минимален: в разделе «Настройки» следует указать статический белый IP-адрес Ideco NGFW или динамический DynDNS.

 

Рисунок 3. Настройка статического IP-адреса NGFW

Настройка статического IP-адреса NGFW

 

Сценарии использования

Для оценки эффективности и надёжности защиты от DNS-атак при использовании DNS Protection от SkyDNS изучим следующие сценарии.

  • Фильтрация по категориям и приложениям: оценка возможностей системы фильтрации для управления доступом к сайтам и приложениям в соответствии с выбранными категориями.
  • Работа с запрещающими и разрешающими списками: проверка правильности обработки доменов в чёрных и белых списках, чтобы обеспечивался соответствующий уровень безопасности сети.
  • Статистика: анализ журналов событий, отслеживание статистики по блокировкам и разрешениям запросов к DNS-серверам, а также регистрация работы пользователя в интерфейсе SkyDNS.

Фильтрация по категориям и приложениям

Фильтры SkyDNS позволяют создавать правила доступа на основе определённых категорий или приложений, что упрощает контроль использования сети и снижает риски для безопасности.

Ключевыми в DNS Protection от SkyDNS являются следующие категории:

  • «Botnets & C2C» — ботнеты и центры управления вредоносными программами;
  • «DGA» — алгоритмически генерируемые доменные имена;
  • «Malware» — сайты, которые распространяют вредоносный код;
  • «Запаркованные домены» — сайты без какого-либо контента, временно размещённые у регистратора доменов; 
  • «Phishing & Typosquatting» — имитационные сайты, вводящие пользователей в заблуждение;
  • «Ransomware» — источники программ-вымогателей;
  • «Cryptojacking» — тайная добыча криптовалют.

Проверим эффективность блокировки вредоносного контента на примере ограничения доступа к категориям «Malware» и «Phishing & Typosquatting», представленным в разделе «Безопасность».

 

Рисунок 4. Настройка блокировки категорий «Malware» и «Phishing & Typosquatting»

Настройка блокировки категорий «Malware» и «Phishing & Typosquatting»

 

В качестве примеров возьмём два вредоносных домена, по одному из каждой категории. 

Работу фильтрации подтвердят события блокировки запросов в разделе «Статистика» на вкладке «Домены». При проведении проверки наблюдаем, что все попытки доступа к выбранным доменам были успешно заблокированы, что подтверждает действенность фильтрации.

 

Рисунок 5. Блокировка вредоносного контента зафиксирована

Блокировка вредоносного контента зафиксирована

 

Для проверки блокировки определённых приложений разрешим доступ пользователей к доменам из категории «VPN, прокси и анонимайзеры» и параллельно запретим доступ к приложению AirVPN.

 

Рисунок 6. Снятие блокировки с категории и запрет приложения AirVPN

Снятие блокировки с категории и запрет приложения AirVPN

 

Проводим попытку доступа к доменным именам двух VPN-сервисов: AirVPN (запрещён) и Surfshark (не запрещён). В результате проверки видим на вкладке «Детальная статистика», что всё соответствует настроенным ранее правилам.

 

Рисунок 7. Статистика запросов и блокировок по выбранным доменным именам

Статистика запросов и блокировок по выбранным доменным именам


Работа с запрещающими и разрешающими списками

С помощью разрешающих списков можно определить, с какими ресурсами пользователи будут вправе взаимодействовать. Это позволяет создавать политики доступа с учётом потребностей организации и предоставлять сотрудникам возможность применять необходимые для работы ресурсы. 

Запрещающие списки, напротив, ограничивают доступ к определённым ресурсам, которые могут представлять угрозу для безопасности сети или содержать нежелательный контент. Это помогает повысить уровень безопасности сети и предотвратить доступ к вредоносным или небезопасным сайтам.

Создание запрещающих и разрешающих списков в SkyDNS выполняется в разделе «Списки». Для проверки правильности работы запрещающих правил добавим домен Anti-Malware.ru, который относится к разрешённым категориям «Компьютеры и Интернет» и «Форумы», в запрещающий список.

 

Рисунок 8. Добавление домена Anti-Malware.ru в запрещающий список

Добавление домена Anti-Malware.ru в запрещающий список

 

В результате попытки доступа к доменному имени получаем сообщение об отсутствии соединения, что свидетельствует о правильной работе запрещающего списка в SkyDNS. Факт блокировки также можно увидеть в разделе «Основная статистика» с использованием фильтрации по категории «Форумы».

 

Рисунок 9. Результат блокировки домена Anti-Malware.ru

Результат блокировки домена Anti-Malware.ru

 

Для проверки разрешающего правила заблокируем категорию «Социальные сети» и выберем домен «vk.com», который относится к этой категории. При добавлении указанного домена в список система автоматически предлагает дополнить его аналогичными доменами для более корректной работы фильтрации.

 

Рисунок 10. Блокировка категории «Социальные сети» и добавление доменного имени «vk.com» в разрешающий список

Блокировка категории «Социальные сети» и добавление доменного имени «vk.com» в разрешающий список

 

В процессе тестирования выявлено, что подключение к веб-ресурсу «vk.com» выполняется успешно. Проанализировав статистику, видим, что количество запросов в определённый промежуток времени превышает количество блокировок, что свидетельствует о корректной работе механизма разрешающих списков в SkyDNS.

 

Рисунок 11. Детальная статистика по домену «vk.com»

Детальная статистика по домену «vk.com»

 

Статистика

Статистика позволяет собирать и анализировать данные о DNS-запросах и действиях пользователей, понимать, как используется сеть, выявлять потенциальные угрозы безопасности и принимать меры для их предотвращения.

Вкладка «Основная статистика» отображает сведения о DNS-запросах по трём критериям: количество запросов за конкретный день, категории доменов и перечень доменов. Вкладка «Детальная статистика» предоставляет информацию о количестве запросов и блокировок по каждому домену с указанием даты и времени. Для более удобного анализа данных в «Основной статистике» имеется фильтрация перечня доменов только по заблокированным, что помогает выявлять потенциально опасные или нежелательные веб-ресурсы и принимать своевременные меры для обеспечения безопасности сети и информации.

 

Рисунок 12. Фильтрация статистики по заблокированным доменам

Фильтрация статистики по заблокированным доменам

 

Также система регистрирует действия пользователей, такие как события входа, изменение настроек, добавление разрешающих и запрещающих правил, на вкладке «Логи» раздела «Аккаунт», что позволяет контролировать операции по конфигурированию системы защиты.

Выводы

Защита от DNS-атак имеет большое значение для обеспечения безопасности сетей и конфиденциальности данных. Интеграция Ideco NGFW с DNS Protection от SkyDNS позволяет эффективно отфильтровывать и блокировать вредоносные DNS-запросы, предотвращая атаки и обеспечивая надёжную защиту сетевой инфраструктуры. 

В частности, NGFW может обнаруживать подозрительную активность на уровне DNS-трафика, а SkyDNS — предоставлять механизмы фильтрации и блокировки запросов на основе различных правил и настроек. Такая интеграция позволяет эффективно бороться с DNS-атаками, обеспечивает повышенный уровень безопасности и стабильности работы сети.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru