Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Buraco de DNS

Visão geral

O recurso DNS Sinkhole permite bloquear solicitações de DNS para os domínios desautorizados, resolvendo os domínios em um servidor de buraco ou rejeitando as solicitações de DNS.

Você pode configurar a filtragem de DNS em dispositivos da Série SRX para identificar solicitações de DNS para domínios desautorizados.

Nota:

A partir do Junos OS Release 20.4 R1, você pode configurar a filtragem de DNS em instâncias vSRX e todos os dispositivos da Série SRX, exceto a linha SRX 5000 de dispositivos. O suporte para configurar a filtragem de DNS na linha SRX 5000 de dispositivos foi introduzido no Junos OS Release 21.1 R1.

Após identificar as solicitações de DNS para domínios desautorizados, você pode realizar qualquer uma das seguintes ações:

  • Bloqueie o acesso ao domínio desautorizado enviando uma resposta de DNS que contenha o endereço IP ou o nome de domínio totalmente qualificado (FQDN) de um servidor de buraco hospedado no dispositivo da Série SRX. Isso garante que, quando o cliente tenta enviar tráfego para o domínio desautorizado, o tráfego vai para o servidor de buracos.

  • Registre a solicitação de DNS e rejeite o acesso.

A solicitação de DNS para os domínios defeituosos conhecidos é tratada de acordo com o tipo de consulta (QTYPE). As consultas de DNS do tipo – A, AAAA, MX, CNAME, TXT, SRV e ANY resultarão em ação de buracos e serão contabilizadas e relatadas individualmente. As consultas de DNS de outros tipos só serão registradas em um domínio ruim (e depois permitidas a passar) e relatadas juntas como tipo "misc".

Nota:
  • O recurso de sumidouro de DNS está disponível apenas com a licença premium Juniper ATP Cloud.

  • O servidor de buracos pode impedir o acesso adicional do domínio desautorizado de usuários inadequados ou pode tomar qualquer outra ação ao mesmo tempo em que permite o acesso. As ações do servidor de buraco não são controladas pelo recurso de filtragem de DNS. Você deve configurar as ações do servidor de sumidouro separadamente.

Benefícios

  • Redireciona as solicitações de DNS para domínios desautorizados para servidores sumidos e impede que qualquer pessoa que opere o sistema acesse os domínios desautorizados.

  • Fornece bloqueio em linha para domínios desautorizados por meio de feeds SecIntel.

  • Ajuda a identificar o host infectado em sua rede.

Workflow

A topologia lógica para DNS Sinkhole é mostrada na Figura 1.

Figura 1: Buraco DNS Sinkhole de DNS

Um fluxo de trabalho de alto nível para identificar um host infectado em uma rede usando o recurso DNS Sinkhole é o seguinte:

Passo

Descrição

1

O cliente envia uma solicitação de DNS para o Bad Domain Server.

2

O dispositivo da Série SRX consulta primeiro o servidor de DNS corporativo para o domian. Se a consulta de DNS for desconhecida, o servidor DNS corporativo encaminha a solicitação ao servidor raiz DNS público.

3

O dispositivo da Série SRX, configurado com a política juniper ATP Cloud, transmite a consulta DNS desconhecida do servidor DNS corporativo até o Juniper ATP Cloud para inspeção.

4

O Juiper ATP Cloud oferece feeds de domínio por tenant (LSYS/TSYS), como feeds DNS permitidos, feeds DNS personalizados e feeds DNS globais para o dispositivo da Série SRX.

O Juniper ATP Cloud coleta as informações de FQDN de fontes de terceiros e o Juniper Threat Lab para seus feeds de DNS globais. O cliente pode postar seu próprio feed DNS personalizado pelo OpenAPI.

5

O dispositivo da Série SRX baixa os feeds de domínio de DNS da ATP Cloud e aplica ações como buraco, bloqueio (queda/fechamento), permissão ou recomendado para os domínios combinados.

  • Para feeds listados, a solicitação de DNS é registrada e o acesso é permitido.

  • Para feeds DNS personalizados, sinkholeblock com queda ou fechamento, permite recommended ações são permitidas com base no nível de ameaça para os domínios combinados.

Nota:

Por padrão, o dispositivo da Série SRX responde às consultas de DNS para o domínio desautorizado com o servidor de sumidouro padrão.

6

Neste exemplo, o dispositivo da Série SRX está configurado com a ação do sumidouro. Depois que o Juniper ATP Cloud identificou um servidor de domínio ruim como um domínio malicioso, o dispositivo da Série SRX responde a consultas para servidor de domínio ruim com seu próprio endereço IP de buraco de pia.

7

O cliente tenta se comunicar com um servidor de domínio ruim, mas, em vez disso, se conecta ao endereço IP sumido que está hospedado no dispositivo da Série SRX.

8

O cliente infectado que se conecta ao endereço IP de buracos na pia é identificado, adicionado ao feed de hosts infectados e colocado em quarentena. O administrador do sistema pode identificar todos os clientes que tentam se comunicar com o endereço IP do buraco procurando o endereço IP do buraco nos registros de ameaças e tráfego.

Configure o buraco de DNS

Para configurar o buraco de DNS para domínios desautorizados:

  1. Configure o perfil de DNS. Neste exemplo, o nome do perfil é dns-profile. Para feeds dns-feed-1listados, a solicitação de DNS é registrada e o acesso é permitido. Para feed custom-dns-feed-1DNS personalizado, a solicitação de DNS está configurada para sinkholing.

    [edit services]

    user@host# set security-intelligence profile dns-profile category DNS

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 match feed-name dns-feed-1

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 1

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 2

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 3

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 4

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 5

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 6

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 7

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 then action permit

    user@host# set security-intelligence profile dns-profile rule dns-rule-1 then log

    user@host# set security-intelligence profile dns-profile rule dns-rule-2 match feed-name custom-dns-feed-1

    user@host# set security-intelligence profile dns-profile rule dns-rule-2 match threat-level 8

    user@host# set security-intelligence profile dns-profile rule dns-rule-2 match threat-level 9

    user@host# set security-intelligence profile dns-profile rule dns-rule-2 match threat-level 10

    user@host# set security-intelligence profile dns-profile rule dns-rule-2 then action sinkhole

    user@host# set security-intelligence profile dns-profile rule dns-rule-2 then log

  2. (Opcional) Configure o servidor de sumidouro DNS. Definiremos o nome de domínio para o servidor de sumidouro DNS como sinkhole.junipernetworks.com.

    [edit services]

    user@host# set dns-filtering sinkhole fqdn sinkhole.junipernetworks.com

    Nota:
    • O valor sinkhole.junipernetworks.com da FQDN é fornecido como exemplo, não o use na configuração real.

    • Se você não configurar o servidor de sumidouro DNS e, por padrão, o endereço IP do buraco hospedado no firewall SRX funciona como o servidor de buracos.

  3. Configure a política de DNS.

    [edit services]

    user@host# set security-intelligence policy dns-policy category DNS security-intelligence-profile dns-profile

  4. Configure uma política de segurança e atribua a política de DNS à política de segurança.

    [edit security]

    user@host# set policies from-zone trust to-zone untrust policy security-policy match source-address any

    user@host# set policies from-zone trust to-zone untrust policy security-policy match destination-address any

    user@host# set policies from-zone trust to-zone untrust policy security-policy> match application any

    user@host# set policies from-zone trust to-zone untrust policy security-policy then permit application-services security-intelligence-policy dns-policy

  5. (Opcional) Para transmitir os logs DNS, use o seguinte comando:

    [edit security]

    user@host# set log stream <dnsf-stream-name> category dnsf

Para exibir estatísticas de DNS para sistemas lógicos e sistemas de locatários, use os seguintes comandos:

  • show services security-intelligence dns-statistics logical-system logical-system-name

  • show services security-intelligence dns-statistics tenant tenant-name

Para exibir estatísticas de perfil de DNS para sistemas lógicos e sistemas de locatários, use os seguintes comandos:

  • show services security-intelligence dns-statistics profile p1 logical-system logical-system-name

  • show services security-intelligence dns-statistics profile p1 tenant tenant-name

Para exibir todas as estatísticas de DNS para sistemas lógicos e sistemas de locatários, use os seguintes comandos:

  • show services security-intelligence dns-statistics logical-system all

  • show services security-intelligence dns-statistics tenant all

  • show services security-intelligence dns-statistics

Para limpar estatísticas para filtragem de DNS, use os seguintes comandos:

  • clear services security-intelligence dns-statistics logical-system logical-system-name

  • clear services security-intelligence dns-statistics logical-system all

  • clear services security-intelligence dns-statistics