SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Configuração
  • Outras Features do IPS Cisco (Parte 2)
06/07/2022

Outras Features do IPS Cisco (Parte 2)

Outras Features do IPS Cisco (Parte 2)

by André Ortega / segunda-feira, 11 maio 2009 / Published in Configuração, Security

Atendendo a grande procura que tivemos para o tópico sobre a configuração inicial de um IPS, resolvi postar um resumo que fiz na época que estava estudando para a prova de IPS. Este material foi escrito com base no material de estudo para o IPS appliance, mas em linhas gerais é a mesma coisa para os módulos IPS (para roteador e ASA) e para o IOS IPS.

Seguindo a linha do blog, este conteúdo é focado em dispositivos Cisco, mas parte da teoria pode servir para equipamentos de outros fabricantes.

Risk Rating

O Risk Rating é um valor de 0 a 100 que representa o risco de um evento. Para definir este valor é utilizado a formula abaixo, que leva em consideração informações referentes a assinatura, a importância do host ou da rede e outros.

RR = (ASR * TVR * SFR)/10.000 + ARR – PD + WLR

Com base nesta formula o IPS pode mudar dinamicamente a ação de uma assinatura. Por exemplo, se uma assinatura esta configurada apenas para gerar um alerta, mas o Risk Rating é alto, o IPS altera a ação da assinatura para que além do alerta o atacante seja bloqueado.

Para funcionar é preciso que seja habilitada a opção Event Action Overrides. Nesta opção você define os níveis do Risk Rating e qual ação deverá ser tomada.

Na formula são utilizadas as seguintes variáveis:

Target Value Rating (TVR): É um valor que você associa a um host ou a uma rede, de acordo com a importância deste host ou desta rede no seu cenário. Os valores disponíveis para o TVR são: Zero (50), Low (75), Médium (100), High (150) e Mission Critical (200). Quanto maior o número mais importante é o host ou a rede.

Attack Severity Rating (ASR): É configurado por assinatura e indica o quão perigoso é o evento. As opções que temos são Information (25), Low (50), Médium (75) e High (100). Os números nos parentes são a representação numérica da severidade.

Signature Fidelity Rating (SFR): Também é configurado por assinatura, e podem ser atribuídos valores de 0 a 100. O SFR define o quanto uma assinatura é assertiva (gera pouco falso-positivo).

Attack Relevancy Rating (ARR): É um valor definido pelo IPS com base na informação de Sistema Operacional, e não configurável. Ele mostra a importância do ataque no ambiente. Por exemplo, um ataque para Windows em um ambiente Linux não tem muita importância, mas o mesmo ataque em um ambiente Windows terá muita importância. Possíveis valores: Relevant (10), Unknown (0) e Not Relevant (-10).

Promiscuous Delta (PD): É configurado por assinatura, com valores de 0 a 30. Esta variável é importante apenas quando o sensor esta trabalhando em modo promíscuo. Ele diminui o Risk Rating de algumas assinaturas, quando trabalhando em modo promíscuo. Não é recomendado mudar o valor do PD.

Watch List Rating (WLR): É um valor associado a um host pelo CSA – Cisco Segure Agent, quando é utilizado na rede. Com base neste valor o host pode ser colocado em quarentena. Valores possíveis: 0 a 100, mas o CSA utiliza apenas de 0 a 35.

Anomaly Detection (AD)

É um componente que permiti analisar o tráfego com base no comportamento da rede, e não baseado nas assinaturas. As assinaturas, lembremos, servem para identificar apenas ataques conhecidos. O AD identifica quando um host abre muitas conexões para a mesma porta com destino diferente (comportamento padrão para worms, como Code Red e SQL Slammer).

Para funcionar corretamente você deve deixar o AD monitorar a rede por 24 horas (default), pelo menos. Para isso você deve configurar AD Operational Mode para learn. Isto permitirá que seja criado um baseline da rede, e assim, quando o padrão mudar ele será capaz de identificar esta mudança.

Zone: É um grupo de endereços de destino. Dividir a rede em zonas permite diminuir o número de falso positivo. Seus endereços da LAN devem ser configurados como zona interna.

Resumo da configuração:
1) Adicione o AD ao sensor (você pode usar o ad0 ou criar um novo)
2) Configure as Zonas, protocolos e serviços (defina a zona interna, especifique os protocolos e serviços que serão monitorados)
3) Configure o AD Operational mode como learn
4) Deixe o sensor rodar pelo menos 24 horas (uma semana é o recomendado)
5) Mude o AD Operational mode para Detection (ele mudará automaticamente depois do tempo de learn configurado)
6) Configure os parâmetros de detecção do AD (worm timeout, IPs de origem e destino que devem passar pelo AD sem serem monitorados, …)

Bypass

A partir da versão 6.0, o IPS possui opção de software bypass. Esta opção permite que o tráfego continue ou não a ser enviado para o destino caso o software do IPS pare de funcionar. Temos 3 opções:

Auto: Se a engine de análise parar, o tráfego continuará a passar pelo IPS normalmente.

Off: Se a engine de análise parar, o tráfego é bloqueado.

On: Permite que o tráfego passe pelo IPS sem ser inspecionado. Normalmente utilizado com a rede está com problemas.

O bypass de hardware só é possível com a adição de um módulo adicional ao IPS. Com este módulo, mesmo que o hardware falhe o tráfego continua fluindo pelo appliance. Para saber quais modelos de IPS suportam a adição deste módulo, acesse o site da Cisco.

Passive Operating System Finger Print (POSFP)

Feature dos IPSs Cisco que identifica os sistemas operacionais que estão na rede. Após saber que SO é utilizado o IPS pode dar mais ou menos importância a um ataque. Para isso ele aumenta ou diminui o Risk Rating. Vem habilitado por padrão e além de aprender automaticamente, você pode também mapear manualmente IPs e Sistemas Operacionais.

Blocking

Funcionalidade que permite ao IPS interagir (enviar comando) para outro device, e assim impedir um ataque. A aplicação que efetivamente realiza o bloqueio chama-se ARC (Attack Response Controller). O IPS pode interagir com roteadores, PIX, 6500 e com o ASA. No caso dos roteadores e do 6500 o IPS envia uma Access-list, que é aplicada na interface desejada. Para o PIX e ASA o IPS manda o comando Shun. A lista com os modelos exatos que suportam essa opção deve ser verificada no site da Cisco.

Obviamente, para funcionar, é preciso que o IPS e o dispositivo que efetuará o bloqueio sejam capazes de comunicar e devemos também permitir acesso remoto nos dispositivos (Telnet ou SSH, que é o default).

Resumo da configuração:
1)
Associe à ação de bloqueio a assinatura. Assim, quando ela for disparada o IPS enviará o comando para bloquear o ataque.
2) Configure os parâmetros do Blocking (habilitar o Blocking, definir o número máximo de dispositivos a serem bloqueados, com o cuidado de não bloquear o próprio IPS, e cadastrar os IPs que nunca devem ser bloqueados).
3) Crie o profile para login no device remoto (cadastre username, password e enable password que será utilizado para conectar no device que efetuará o bloqueio).
4) Configure os parâmetros do dispositivo que efetuará o bloqueio, como IP, Hostname, método de comunicação.
5) Defina a interface onde a ACL será aplicada, no caso de roteadores e do 6500.
6) Opcional: Cadastro o master blocking sensor, caso exista um.

Tuning e License

  • É muito importante fazer o tunning das assinaturas quando configurando um IPS. Se no seu ambiente são utilizados apenas servidores com Apache, assinaturas destinadas a ataques ao IIS (ou vice-versa) são irrelevantes e podem ser desabilitadas. Habilitar assinaturas desnecessárias faze o IPS perder desempenho.
  • Alertas que não precisam ser gerados devem ser desabilitados (por default todas as assinaturas vêem configuradas para gerar alerta). Isso torna a administração do IPS mais difícil, já que um grande volume de alertas pode ser gerado. Se for o caso aumente os thresholds, para que um alerta seja gerado somente quando um evento ocorrer mais de n vezes.
  • Colocar o IPS atrás do firewall diminui o tráfego que chegará até o IPS, e melhorará o desempenho do mesmo.
  • Os IPSs da Cisco podem funcionar sem licença, no entanto, é necessário ter a licença para que seja possível atualizar as assinaturas.
  • A licença é adicional ao smartnet, que servirá apenas para atualização do software, acesso ao TAC e troca de hardware.

Até a próxima.

Relacionado

Tagged under: Conceitos, IDS, Intrusion Detection System, Intrusion Prevention System, IPS

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

ASA Cut Through Proxy (integrado com AD)
[OFF] Redes Sociais x Privacidade
Conceitos Dial-Peer Matching – Parte 2/3

POSTS RECENTES

  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022
  • Testando acesso com o Test-NetConnection (PowerShell)
    Testando acesso com o Test-NetConnection (PowerShell)
    31/05/2022
  • Cisco Cybersecurity Giveaway
    Cisco Cybersecurity Giveaway
    23/05/2022
  • Participação no RotaDefaultVideos
    Participação no RotaDefaultVideos
    18/05/2022

Tags

policy-map WLC ACL PIX CCIE SDWAN ASA Switches Roteador DHCP CiscoChampion Access-list aniversário Segurança QoS licença IPv6 EEM WIFI senha Firewall Backup IOS FirePower ISE VoIP Sorteio WLAN Controller CCNA Wireless Catalyst Configuração LAB FMC VMware Meraki VPN switch Brainwork FTD certificação Vulnerabilidade Cisco IPS Upgrade

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Blog: Cisco Catalyst na dashboard Meraki brainwork.com.br/2022/06/15/c… #Catalyst #Cisco #CiscoChampion

@CiscoChampion I'd love to be there 🙁

Como estão suas senhas??? Faz sentido "senhas complexas" ou a única boa opção é usar MFA? pic.twitter.com/aY3JLje1oX

Blog: Testando acesso com o Test-NetConnection (PowerShell) brainwork.com.br/2022/05/31/t… #PowerShell #Test-Connection #Teste

Seguir @brainworkblog
  1. Daniel em Participação no RotaDefaultVideos
  2. Marcelo em Tipos de LSAs e áreas OSPF
  3. Licenciamento Cisco para Controladora Wireless – Smart Licensing – em Cisco Smart Licensing nos Catalysts 9K
  4. meireles abel em Cisco Catalyst na dashboard Meraki
  5. Cisco Champions 2020 – Brainwork em Cisco Champion 2019
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/mer… #CiscoChampion #Meraki #ThousandEyes
    about 7 dias ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP