Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》揪出ATP事件中真正的連線client 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》揪出ATP事件中真正的連線client引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos的ATP模組能在traffic透過XG做routing時,即時的過濾攔阻有害連線,
但在網域環境中,最頭痛的就是DNS Client的解析問題。

雖然惡意domain的DNS解析被XG的ATP攔下來了,
不過網域中client的DNS是指向內部的DNS Server,
當client欲連到惡意domain時,第一步的DNS解析工作會交給內部DNS Server來進行,
內部DNS Server沒有惡意domain的IP對應資訊,因此會再向上層DNS主機要求解析,
以至於ATP攔截事件中,攔的來源IP往往都是內部的DNS Server,而不是直正的DNS Client...

找不出來真正有問題的DNS Client,不是DNS Server也不是ATP的問題,
它們都正常的執行交付的工作.這是網域環境架構下的限制。
那麼在這樣的架構下,有沒有辦法揪出真正的DNS Client呢?


順子想到了一個做法,不過它需要DNS Server的配合。
既然DNS解析工作是由內部的DNS Server來進行,那麼我們就直接在DNS Server上建立一筆該domain的IP對應record,
例如將惡意domain msdnupdate.com 對應到 10.199.199.2 這個沒在使用的IP。
如何設定?Windows的DNS主機可以參考 這一篇 的做法。

然後在XG上啟用一個閒置介面,配置一個zone與這個假IP同網段的IP,例如 10.199.199.1/29,
接著設定內部到這個zone(或IP)的阻擋規則,並勾選log記錄,
這樣當內部電腦欲連到這個惡意domain時,DNS Server就會指向這個假IP,
而電腦依照DNS解析出來的結果,透過XG routing要連到這個假IP時,就會被XG上的阻擋規則所記錄下來,
我們只要去查看log,就可以清楚知道有哪些內部IP試圖連到這個惡意domain,揪出真正的DNS client!

為了避免連線被ATP所攔截,設定完成後,
請將這個惡意domain加到ATP的exception中,做例外放行,由設定阻擋規則來進行攔阻。


這個方法在實做上有幾個重點要注意。

  1. 綁IP的網卡必需為up狀態,簡單來說就是這張網卡必需接上switch,
    這樣介面路由才會運作,導向假IP的流向才會routing到這個介面,進而被防火牆規則阻擋而留下記錄。
    若只是設定好IP資訊,但網卡介面為down,則介面routing不會生效。

    網卡介面可以是一般網卡、VLAN或是Alias IP,
    若使用Alias IP來設定,那封鎖記錄的防火牆規則需小心定義,以免連帶擋掉所有正常流量。

  2. 用來補抓DNS Client IP的防火牆規則必需是阻擋類型,
    若採用放行規則,則該網卡介面必需真的接到一台設定假IP的主機才會留下記錄,
    大大的增加複雜度。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-09-20, 14:14 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR