SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Configuração
  • Bloqueando botnets com o ASA
17/08/2022

Bloqueando botnets com o ASA

Bloqueando botnets com o ASA

by André Ortega / terça-feira, 26 janeiro 2010 / Published in Configuração, Security

Já foi o tempo em que a ameaça vinha de fora… Com as botnets, além de nos preocuparmos com possíveis ataques, também precisamos garantir que não estamos “atacando” ninguém.

Botnets são rede de computadores infectados, que passam a ser controladas pelo botmaster. Uma botnet pode ter computadores espalhados pelo mundo, e seu controlador a utiliza, sem que os verdadeiros donos dos PCs percebam, para enviar spam e fazer ataques, entre outros.

Segundo estimativa do FBI, existem entre 1 e 5 milhões de hosts infectados nos Estados Unidos e uma botnet pode ser “alugada” por até 50 mil dólares por dia.

Para evitar estes tipo de problema o Cisco ASA, com a licença apropriada, pode fazer a verificação dinâmica, através de URL ou IP, e identificar a comunicação entre um host infectado e seu controlador.

Análise do tráfego para identificação de botnet

Após habilitar a verificação, quando um host interno tenta acessar uma URL, o ASA consulta o DNS para transformar a URL em IP e então compara com sua base de dados, que é constantemente atualizado pelo Cisco Security Intelligence Operations (trabalha com reputação, como o Senderbase e o Ironport). Caso este IP esteja na base de dados, ele é adicionado no DNS Reverse Lookup Cache, que é consultado quando a conexão é realizada. Assim, todas vez que um host se conectar a este IP é gerando um log, para que o administrador possa tomar as medidas cabíveis.

Também é possível criar sua própria blacklist e whitelist.

Configurando o ASA para detectar botnets

1°) Configure o DNS no ASA, para que as URLs (nomes) possam ser convertidos para IP.

dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
domain-name brainwork.com.br

2°) Habilite o dynamic-filter updater-client, para baixar as atualizações do SIO.

dynamic-filter updater-client enable

3°) Configure o ASA para utilizar o banco de dados (também podemos configurar para usar black list).

dynamic-filter use-database

4°) Habilite a filtragem para todos os protocolos.

access-list dynamic-filter_acl extended permit ip any any

5°) Aplique a filtragem na interface de saída, neste caso a outside.

dynamic-filter enable interface outside classify-list dynamic-filter_acl

6°) Agora habilite o DNS snooping na interface outside, que fará a inspeção nas consultas DNS.

class-map dynamic-filter_snoop_class
match port udp eq domain
policy-map dynamic-filter_snoop_policy
class dynamic-filter_snoop_class
inspect dns dynamic-filter-snoop
service-policy dynamic-filter_snoop_policy interface outside

7°) (Opcional) Adicione entradas na black e white lists.

dynamic-filter blacklist
name exemploblack1.com.br
name exemploblack2.com.ru
address 200.20.20.1 255.255.255.255
dynamic-filter whitelist
name exemplowhite1.com.br
name exemplowhite2.com
address 200.30.1.1 255.255.255.255

Bloqueando a botnet

Após as configurações o ASA passará a gerar logs quando um host tentar acessar um IP com má reputação.

Exemplo de log

ASA-4-338002: Dynamic Filter permitted black listed TCP traffic from inside:10.1.1.45/6798 (209.165.201.1/7890) to outside:209.165.202.129/80 (209.165.202.129/80), destination 209.165.202.129 resolved from dynamic list: bad.example.com

Após verificar o log, devemos impedir que o host infectado tenha acesso a rede.

1°) Crie uma access-list.

access-list bloquear_botnet extended deny ip host 10.1.1.45 host 209.165.202.129
access-list bloquear_botnet extended permit ip any any

2°) Aplique a access-list na interface outside.

access-group bloquear_botnet out interface outside

No site da Cisco também tem um vídeo tutorial, mostrando como fazer esta configuração via ASDM.

Até a próxima.

Relacionado

Tagged under: ASA, Botnet

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

NAT Parte 3: Configuração de NAT Dinâmico
Autenticação para o RIP
Cidade Administrativa utiliza soluções Cisco

POSTS RECENTES

  • Cisco invadida
    Cisco invadida
    11/08/2022
  • Cisco Secure Network Analytics (Stealthwatch)
    Cisco Secure Network Analytics (Stealthwatch)
    08/08/2022
  • Instalando certificado em roteador Cisco
    Instalando certificado em roteador Cisco
    07/07/2022
  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022

Tags

QoS ISE licença VPN Sorteio Wireless CCIE Access-list DHCP Configuração Backup Upgrade Cisco Brainwork EEM WLC WIFI IOS policy-map senha Switches LAB VMware FMC WLAN Controller ASA Firewall CiscoChampion FirePower IPS Catalyst IPv6 PIX certificação switch SDWAN FTD Roteador aniversário CCNA ACL VoIP Meraki Segurança Vulnerabilidade

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Cisco invadida brainwork.com.br/2022/08/11/c… #Ataque #Cisco_Invadida #Incidente

Blog: Cisco Secure Network Analytics (Stealthwatch) brainwork.com.br/2022/08/08/c… #Stealtwatch

Triste realidade... Que atenção você da para seu IPS e demais soluções de monitoramento de rede? #ips #siem #logs pic.twitter.com/pfaffolRP4

Blog: Instalando certificado em roteador Cisco brainwork.com.br/2022/07/07/i… #Certificado #CiscoChampion #Root

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Seguir @brainworkblog
  1. André Ortega em Testando acesso com o Test-NetConnection (PowerShell)
  2. André Ortega em Alta utilização de CPU – Coletando logs com o Event Manager
  3. Jardel D'Oliveira em Alta utilização de CPU – Coletando logs com o Event Manager
  4. Bruno Veras em Testando acesso com o Test-NetConnection (PowerShell)
  5. André Ortega em Cisco Catalyst na dashboard Meraki
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Cisco invadida brainwork.com.br/2022/08/11/cis… #Ataque #Cisco_Invadida #Incidente
    about 6 dias ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP