Seja o primeiro a comentar

Por André Ortega, 07/06/2009 04:46

Como mencionei no post IPS no ASA5505 o módulo AIP-SSC-5 não possui nenhuma interface, mas mesmo assim podemos configurá-lo via console ou acesso remoto, através de seu IP de gerência.

1°) Acessando via console

Acesse o ASA via linha de comando, e digite session 1. Com isso você entrará na console do módulo.

asa# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is ‘CTRL-^X’.

Login: cisco
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States and local
country laws governing import, export, transfer and use. Delivery of Cisco cryptographic
products does not imply third-party authority to import, export, distribute or use
encryption. Importers, exporters, distributors and users are responsible for compliance
with U.S. and local country laws. By using this product you agree to comply with
applicable laws and regulations. If you are unable to comply with U.S. and local laws,
return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to export@cisco.com.

***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license to obtain a new license or install a license.
aip-ssm#

2°) Através do IP de Gerência

O módulo não tem interface física, mas podemos criar uma interface VLAN no ASA e através dele chegar ao IPS, para gerência. Para isso siga o procedimento abaixo:

!Por padrão a VLAN 1 é a VLAN de gerência do ASA (interface inside), mas devemos desabilitá-la
hostname(config)# interface vlan 1
hostname(config-if)# no allow-ssc-mgmt

! Crie um interface VLAN qualquer e defina o nome
hostname(config-if)# interface vlan 20
hostname(config-if)# nameif inside

! Coloque o IP para gerência do ASA e o security-level
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# security-level 100

! Configure a interface para permitir a gerência do módulo e habilite a interface
hostname(config-if)# allow-ssc-mgmt
hostname(config-if)# no shutdown

! Configure a interface para servir apenas para gerência
hostname(config-if)# management-only

! Configure o IP de gerência do módulo e seu gateway
hostname(config)# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1

! Especifique quem pode acessar o módulo para administração (10.1.1.30, neste exemplo)
hostname(config)# hw-module module 1 allow-ip 10.1.1.30 255.255.255.255

! Associe a VLAN a uma interface física do ASA e habilite a interface
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 20
hostname(config-if)# no shutdown

Com esta configuração acima, podemos acessar o ASA através do IP 10.1.1.1 e o módulo IPS através do IP 10.1.1.2. Observe porém, que nesta configuração apenas o host 10.1.1.30 poderá acessar o IPS.

Após acessar o módulo, pela console ou pelo IP de gerência, basta digitar setup que será apresentado um prompt interativo para que a configuração inicial seja realizada, assim como nos demais módulos e appliances IPS.

Por padrão o módulo AIP-SSC-5 vem configurado com usuário e senha cisco, IP administrativo 192.168.1.2/24, gateway 192.168.1.1 e permite o acesso remoto da rede 192.168.1.0/24.

Direcionando o tráfego para inspeção no IPS

A configuração do ASA5505 para enviar o tráfego para inspeção no módulo AIP-SSC-5 é exatamente igual a configuração realizada nos ASA5510, ASA5520 e ASA5540 para inspeção nos módulos AIP-SSM.

Exemplo: Configuração do ASA (5505, 5510, 5520 ou 5540) para envio de tráfego para o módulo IPS (AIP-SSC-5, AIP-SSM10 ou AIP-SSM20)

! Conecte no ASA e entre no modo de configuração global
asa# configure terminal

! Crie uma access-list selecionando o tráfego que será inspecionado (neste exemplo, todo o tráfego)
asa(config)# access-list aclips permit ip any any

! Crie um class-map que identificará o tráfego que será enviado para o módulo
asa(config)# class-map ips_class

! Dentro do class-map indique a access-list criada acima para seleção do tráfego
asa(config-cmap)# match access-list aclips

! Agora crie um policy-map, que definirá a ação que será tomada com relação ao tráfego selecionado
asa(config-cmap)# policy-map ips_policy

! Dentro do policy-map especifique o class-map criado anteriormente
asa(config-pmap)# class ips_class

! Especifique se o IPS trabalhará inline ou em modo promíscuos e como o tráfego será tratado se o IPS falhar
Observação:    fail-close: Se o IPS falhar todo o tráfego selecionado para inspeção será bloqueado
                      fail-open: Se o IPS falhar todo o tráfego selecionado para inspeção será liberado
asa(config-pmap-c)# ips inline fail-open

! Ative o service policy em uma interface ou em modo global
asa(config)# service-policy ips_policy outside

Com esta configuração todo o tráfego ip que entrar ou sair pela interface outside, será enviado para inspeção no módulo IPS. Se o módulo parar de funcionar o tráfego será enviado para seu destino normalmente, sem a análise do IPS no entanto.

O guia completo para configuração de IPS pode ser encontrado no site da Cisco.

Até a próxima.

(2) Comentários

Por André Ortega, 04/06/2009 17:12

Enfim o slot do ASA5505 passa a ter utilidade. O appliance pode agora utilizar o módulo AIP-SSC-5 em seu slot e assim contar com IPS integrado. Este é o quarto modelo de ASA que pode ter o IPS integrado, já que os modelos 5510, 5520 e 5540 já tinham essa opção.

Diferente dos demais módulos para o ASA o AIP-SSC-5 não conta com nenhuma interface. O acesso administrativo ao módulo pode ser feito através da console do próprio ASA ou pelo IP da VLAN de gerência que é criada para este fim.

O AIP-SSC-5 tem 75 Mbps de throughput e fornece proteção para mais de 25.000 ameaças digitais.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 11/05/2009 06:23

Atendendo a grande procura que tivemos para o tópico sobre a configuração inicial de um IPS, resolvi postar um resumo que fiz na época que estava estudando para a prova de IPS. Este material foi escrito com base no material de estudo para o IPS appliance, mas em linhas gerais é a mesma coisa para os módulos IPS (para roteador e ASA) e para o IOS IPS.

Seguindo a linha do blog, este conteúdo é focado em dispositivos Cisco, mas parte da teoria pode servir para equipamentos de outros fabricantes.

Risk Rating

O Risk Rating é um valor de 0 a 100 que representa o risco de um evento. Para definir este valor é utilizado a formula abaixo, que leva em consideração informações referentes a assinatura, a importância do host ou da rede e outros.

RR = (ASR * TVR * SFR)/10.000 + ARR – PD + WLR

Com base nesta formula o IPS pode mudar dinamicamente a ação de uma assinatura. Por exemplo, se uma assinatura esta configurada apenas para gerar um alerta, mas o Risk Rating é alto, o IPS altera a ação da assinatura para que além do alerta o atacante seja bloqueado.

Para funcionar é preciso que seja habilitada a opção Event Action Overrides. Nesta opção você define os níveis do Risk Rating e qual ação deverá ser tomada.

Na formula são utilizadas as seguintes variáveis:

Target Value Rating (TVR): É um valor que você associa a um host ou a uma rede, de acordo com a importância deste host ou desta rede no seu cenário. Os valores disponíveis para o TVR são: Zero (50), Low (75), Médium (100), High (150) e Mission Critical (200). Quanto maior o número mais importante é o host ou a rede.

Attack Severity Rating (ASR): É configurado por assinatura e indica o quão perigoso é o evento. As opções que temos são Information (25), Low (50), Médium (75) e High (100). Os números nos parentes são a representação numérica da severidade.

Signature Fidelity Rating (SFR): Também é configurado por assinatura, e podem ser atribuídos valores de 0 a 100. O SFR define o quanto uma assinatura é assertiva (gera pouco falso-positivo).

Attack Relevancy Rating (ARR): É um valor definido pelo IPS com base na informação de Sistema Operacional, e não configurável. Ele mostra a importância do ataque no ambiente. Por exemplo, um ataque para Windows em um ambiente Linux não tem muita importância, mas o mesmo ataque em um ambiente Windows terá muita importância. Possíveis valores: Relevant (10), Unknown (0) e Not Relevant (-10).

Promiscuous Delta (PD): É configurado por assinatura, com valores de 0 a 30. Esta variável é importante apenas quando o sensor esta trabalhando em modo promíscuo. Ele diminui o Risk Rating de algumas assinaturas, quando trabalhando em modo promíscuo. Não é recomendado mudar o valor do PD.

Watch List Rating (WLR): É um valor associado a um host pelo CSA – Cisco Segure Agent, quando é utilizado na rede. Com base neste valor o host pode ser colocado em quarentena. Valores possíveis: 0 a 100, mas o CSA utiliza apenas de 0 a 35.

Anomaly Detection (AD)

É um componente que permiti analisar o tráfego com base no comportamento da rede, e não baseado nas assinaturas. As assinaturas, lembremos, servem para identificar apenas ataques conhecidos. O AD identifica quando um host abre muitas conexões para a mesma porta com destino diferente (comportamento padrão para worms, como Code Red e SQL Slammer).

Para funcionar corretamente você deve deixar o AD monitorar a rede por 24 horas (default), pelo menos. Para isso você deve configurar AD Operational Mode para learn. Isto permitirá que seja criado um baseline da rede, e assim, quando o padrão mudar ele será capaz de identificar esta mudança.

Zone: É um grupo de endereços de destino. Dividir a rede em zonas permite diminuir o número de falso positivo. Seus endereços da LAN devem ser configurados como zona interna.

Resumo da configuração:
1) Adicione o AD ao sensor (você pode usar o ad0 ou criar um novo)
2) Configure as Zonas, protocolos e serviços (defina a zona interna, especifique os protocolos e serviços que serão monitorados)
3) Configure o AD Operational mode como learn
4) Deixe o sensor rodar pelo menos 24 horas (uma semana é o recomendado)
5) Mude o AD Operational mode para Detection (ele mudará automaticamente depois do tempo de learn configurado)
6) Configure os parâmetros de detecção do AD (worm timeout, IPs de origem e destino que devem passar pelo AD sem serem monitorados, …)

Bypass

A partir da versão 6.0, o IPS possui opção de software bypass. Esta opção permite que o tráfego continue ou não a ser enviado para o destino caso o software do IPS pare de funcionar. Temos 3 opções:

Auto: Se a engine de análise parar, o tráfego continuará a passar pelo IPS normalmente.

Off: Se a engine de análise parar, o tráfego é bloqueado.

On: Permite que o tráfego passe pelo IPS sem ser inspecionado. Normalmente utilizado com a rede está com problemas.

O bypass de hardware só é possível com a adição de um módulo adicional ao IPS. Com este módulo, mesmo que o hardware falhe o tráfego continua fluindo pelo appliance. Para saber quais modelos de IPS suportam a adição deste módulo, acesse o site da Cisco.

Passive Operating System Finger Print (POSFP)

Feature dos IPSs Cisco que identifica os sistemas operacionais que estão na rede. Após saber que SO é utilizado o IPS pode dar mais ou menos importância a um ataque. Para isso ele aumenta ou diminui o Risk Rating. Vem habilitado por padrão e além de aprender automaticamente, você pode também mapear manualmente IPs e Sistemas Operacionais.

Blocking

Funcionalidade que permite ao IPS interagir (enviar comando) para outro device, e assim impedir um ataque. A aplicação que efetivamente realiza o bloqueio chama-se ARC (Attack Response Controller). O IPS pode interagir com roteadores, PIX, 6500 e com o ASA. No caso dos roteadores e do 6500 o IPS envia uma Access-list, que é aplicada na interface desejada. Para o PIX e ASA o IPS manda o comando Shun. A lista com os modelos exatos que suportam essa opção deve ser verificada no site da Cisco.

Obviamente, para funcionar, é preciso que o IPS e o dispositivo que efetuará o bloqueio sejam capazes de comunicar e devemos também permitir acesso remoto nos dispositivos (Telnet ou SSH, que é o default).

Resumo da configuração:
1) Associe à ação de bloqueio a assinatura. Assim, quando ela for disparada o IPS enviará o comando para bloquear o ataque.
2) Configure os parâmetros do Blocking (habilitar o Blocking, definir o número máximo de dispositivos a serem bloqueados, com o cuidado de não bloquear o próprio IPS, e cadastrar os IPs que nunca devem ser bloqueados).
3) Crie o profile para login no device remoto (cadastre username, password e enable password que será utilizado para conectar no device que efetuará o bloqueio).
4) Configure os parâmetros do dispositivo que efetuará o bloqueio, como IP, Hostname, método de comunicação.
5) Defina a interface onde a ACL será aplicada, no caso de roteadores e do 6500.
6) Opcional: Cadastro o master blocking sensor, caso exista um.

Tuning e License

• É muito importante fazer o tunning das assinaturas quando configurando um IPS. Se no seu ambiente são utilizados apenas servidores com Apache, assinaturas destinadas a ataques ao IIS (ou vice-versa) são irrelevantes e podem ser desabilitadas. Habilitar assinaturas desnecessárias faze o IPS perder desempenho.
• Alertas que não precisam ser gerados devem ser desabilitados (por default todas as assinaturas vêem configuradas para gerar alerta). Isso torna a administração do IPS mais difícil, já que um grande volume de alertas pode ser gerado. Se for o caso aumente os thresholds, para que um alerta seja gerado somente quando um evento ocorrer mais de n vezes.
• Colocar o IPS atrás do firewall diminui o tráfego que chegará até o IPS, e melhorará o desempenho do mesmo.
• Os IPSs da Cisco podem funcionar sem licença, no entanto, é necessário ter a licença para que seja possível atualizar as assinaturas.
• A licença é adicional ao smartnet, que servirá apenas para atualização do software, acesso ao TAC e troca de hardware.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 07/05/2009 06:40

Atendendo a grande procura que tivemos para o tópico sobre a configuração inicial de um IPS, resolvi postar um resumo que fiz na época que estava estudando para a prova de IPS. Este conteúdo foi escrito com base no material de estudo que utilizei (para IPS appliance), mas em linhas gerais é a mesma coisa para os módulos IPS (para roteador e ASA) e para o IOS IPS.

Seguindo a linha do blog, este conteúdo é focado em dispositivos Cisco, mas parte da teoria pode servir para equipamentos de outros fabricantes.

IPS/IDS

Como sabemos o IDS – Intrusion Detection System é uma ferramenta de detecção de atividades suspeitas na rede. O IDS apenas monitora e loga as informações, permitindo que o administrador decida como parar o ataque. Trabalha em modo promíscuo, recebendo uma cópia do tráfego.

O IPS – Intrusion Prevention System é uma ferramenta para detecção e prevenção de atividades suspeitas na rede. É a evolução do IDS e pode ser configurado para que ao perceber a “invasão” uma ação seja tomada (gerar uma alerta, bloquear o atacante, dropar o pacote…). Deve ficar inline na rede.

Hoje normalmente o mesmo equipamento pode atuar como IPS ou IDS, dependendo apenas da configuração aplicada e como ele esta conectado a rede. 

Observe na figura acima: O IPS (com o destaque verde) está “na linha” por onde o tráfego passa (tem duas interfaces conectadas). Já o IDS (destacado em vermelho) tem apenas uma interface conectada, e o tráfego deve ser espelhado para ele.

Sensor

No caso da Cisco, quando falamos IPS estamos nos referindo ao hardware, normalmente. Quem faz a verificação do tráfego, de fato, é o sensor.

Podemos imaginar o sensor como a parte do software que faz a análise dos pacotes, com base nas assinaturas. Ele é composto por uma instancia de assinaturas (sig), uma instancia de regras (rules) e uma instancia do Anomaly Detection (ad). Assim todos eles, bem como as interfaces, devem ser associados ao sensor.

Por padrão o IPS vem com o vs0 (virtual sensor 0), e este não pode ser deletado. A ele está associado o sig0 (instancia de assinatura 0), rules0 (instancia de regras 0) e ad0 (instancia 0 do Anomaly Detection).

O processamento do tráfego é virtualizado, de forma que você pode ter no mesmo IPS vários virtuais sensores. Podemos ter, por exemplo, o vs0 onde temos a interfaces G0/1 associada e o sensor trabalhando em modo promíscuo, e ter também o vs1, onde associamos as interfaces G0/2 e G0/3 para trabalhar em modo inline. Com isso teríamos um IPS monitorando duas partes da rede de forma independente, como se fossem dois IPSs.

Até 4 virtuais sensores podem ser criados em um IPS.

Assinaturas

As assinaturas são um grupo de regras que o sensor utiliza para identificar uma atividade invasiva. O sensor verifica os pacotes utilizando as assinaturas, e assim identifica os ataques conhecidos. Para cada novo ataque é criada uma nova assinatura.

Por padrão as assinaturas mais importantes (ou as que causam mais danos) vêm habilitadas, e o restante pode ser habilitado ou não, dependendo da necessidade.

As assinaturas que vêm configuradas no IPS são chamadas assinaturas default. Também temos as custom signatures, que são as assinaturas criadas pelo administrador e as Tuned Signatures, que são as assinaturas default editadas.

As assinaturas padrões (que são mais de 1500) não podem ser deletadas ou renomeadas e para criar uma Custom Signature é possível utilizar o wizard.

As assinaturas podem ser configuradas para tomarem as seguintes ações: dropar o pacote, produzir um alerta, logar o IP de quem está atacando, da vítima ou ambos, bloquear a conexão ou um host especificamente, fazer notificação via SNMP ou ainda terminar a sessão TCP entre o atacante e o atacado. No entanto, algumas dessas ações podem ser configuradas apenas quando o sensor está atuando em modo inline (IPS).

Signature Engine

Um Signature Engine é um grupo de assinaturas, feito de acordo com as características das assinaturas. Atomic, Flood, Meta, Normalizar, Service, State, String, Sweep, Traffic, Troajan e AIC são os Signature Engines existentes.

Tipos de interfaces

Temos dois tipos de interfaces em um IPS: Command and Control e Monitoring Interfaces.

Cada IPS tem apenas uma interface do tipo Command and Control. Esta interface deve ser endereçada e é utilizada para gerenciar o equipamento. Vem habilitada por padrão e é dedicada para gerencia.

As Monitoring Interface são as interfaces utilizadas para analisar o tráfego. Vêm desabilitadas por padrão e podem ser configuradas para trabalhar em quatro modos: Promíscuos, Inline Interface, Inline VLAN Pair e VLAN Group. Estas interfaces devem ser associadas a um Virtual Sensor.

Tipos de contas

Existem 4 tipos de contas no IPS. Quando um usuário é criado ele deve ser associado a um destes tipos de conta.

Administrator: Nível máximo de privilégio. Um usuário deste tipo tem acesso total a todas as áreas de configuração e monitoração. Pode visualizar e alterar as configurações.

Operator: Nível intermediário de privilégio. Pode fazer o tunning das assinaturas, gerenciar dispositivos bloqueados e mudar sua própria senha. Pode também visualizar as configurações e eventos.

Viewer: Conta com o menor nível de privilégio. Pode ver a configuração e eventos gerados, mas não tem direito a alterar nada.

Service: Conta especial, que permite acessar o sistema operacional (Linux) do IPS. É o acesso root. Não devem ser feitas alterações no IPS através dessa conta sem a supervisão do TAC. Apenas um usuário service pode existir por vez, e é normalmente utilizado para troubleshooting.

Em breve postarei a parte 2.

Até a próxima.

(3) Comentários

Por André Ortega, 29/04/2009 22:03

A maneira mais fácil de fazer a configuração inicial de um IPS Cisco é através do comando setup. Este comando apresenta um prompt interativo para que o usuário escolha as opções desejadas. Quando o IPS ainda não está configurado o IPS inicia o processo de setup automaticamente quando o usuário faz o login.

Abaixo segue o procedimento para deixarmos o equipamento gerenciável (depois disso é só acessar via browser).

1) Conecte o PC ao IPS via cabo console (RS-232) e abra um emulador de terminal (Hyper Terminal, Tera Terminal,…). Caso o equipamento seja novo o username e password padrão é cisco. O equipamento exigirá que a senha senha trocada, na primeira vez que você se conectar.

Obs1: A senha deverá ter ao menos 8 caracteres, e não pode ser uma palavra que exista em inglês!

2) Após logar no equipamento, digite setup. O IPS exibirá a configuração atual e perguntará se você deseja continuar com o processo de setup (como mencionado anteriormente, se o equipamento não tiver configuração ele iniciará o processo automaticamente).

service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name sensor
telnet-option enabled
access-list 192.168.1.0/24
ftp-timeout 300
no login-banner-text
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option disabled
exit
service web-server
port 443
exit
service interface
physical-interfaces GigabitEthernet0/1
admin-state enabled
exit
exit
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet0/1
exit
exit

Current time: Wed Apr 29 13:16:34 2009
Setup Configuration last modified: Wed Apr 29 13:16:08 2009

Continue with configuration dialog?[yes]:

Digite yes e aperte enter.

3) Agora vamos começar a configuração do IPS.

3.1) Hostname (neste exemplo BrainIPS).
Enter host name[sensor]: BrainIPS

3.2) IP da Interface de gerência (Command and Control Interface), máscara e gateway.
Enter IP interface[192.168.9.20/24,192.168.9.1]: 10.10.9.200/22,10.10.10.1

3.3) Opção para habilitar Telnet. Para manter o default (disable), tecle enter.
Enter telnet-server status[disable]: 

3.4) Porta que será usada para acesso web (443 é a porta padrão).
Enter web-server port[443]:

3.5) Definição da access-list que limitará o acesso administrativo. Nesta caso existia uma acl liberando acesso da rede 192.168.1.0/24. Ela foi deletada e posteriormente criei uma nova acl, permitindo a minha rede.
Modify current access list?[no]: yes
Current access list entries:
  [1] 192.168.1.0/24
Delete: 1
Delete:
Permit: 10.10.8.0/22
Permit:

3.6) Definição de NTP, horário de verão, DST Zone.
Modify system clock settings?[no]:

3.7) Definição das configuração do "sensor". Clique enter (para não alterar a configuração), pois é mais amigável fazer esta configuração via interface gráfica.
Modify virtual sensor "vs0" configuration?[no]:

Após o item 3.7 a configuração realizada será exibida:

The following configuration was entered.

service host
network-settings
host-ip 10.10.9.200/22,10.10.10.1
host-name BrainIPS
telnet-option disabled
access-list 10.10.8.0/22
ftp-timeout 300
no login-banner-text
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option disabled
exit
service web-server
port 443
exit
service interface
physical-interfaces GigabitEthernet0/1
admin-state enabled
exit
exit
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet0/1
exit
exit
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.

4) Caso esteja tudo certo tecle 2 e de enter. Novamente ele perguntará se deseja mudar o clock do IPS. Basta dar enter (para não mudar) e pronto.

Enter your selection[2]: 2
Configuration Saved.
*14:36:22 UTC Wed Apr 29 2009
Modify system date and time?[no]:
sensor#

Agora o IPS já pode ser acessado via interface gráfica (Https, IDM ou IME), por onde deverá receber o restante das configurações. Observe que o hostname não mudou, mas no próximo login ele aparecerá corretamente.

Obs2: Para configurar o módulo AIP-SSM, primeiro digite session 1, via linha de comando no ASA. Esse comando te levará para a console do IPS. A partir daí o processo será o mesmo descrito acima.

asa# session 1

Obs3: Para o módulo AIM-IPS, na linha de comando do roteador digite service-module ids-sensor 0/0 session. Da mesma forma você cairá na console do módulo. O setup do AIM-IPS também é o mesmo descrito acima.

router# service-module ids-sensor 0/0 session
Trying 10.1.9.1, 2322 … Open

sensor login: cisco
Password: ********

Mais detalhes sobre a configuração do IPS podem ser encontradas aqui.

Até a próxima.