Atendendo a grande procura que tivemos para o tópico sobre a configuração inicial de um IPS, resolvi postar um resumo que fiz na época que estava estudando para a prova de IPS. Este material foi escrito com base no material de estudo para o IPS appliance, mas em linhas gerais é a mesma coisa para os módulos IPS (para roteador e ASA) e para o IOS IPS.
Seguindo a linha do blog, este conteúdo é focado em dispositivos Cisco, mas parte da teoria pode servir para equipamentos de outros fabricantes.
Risk Rating
O Risk Rating é um valor de 0 a 100 que representa o risco de um evento. Para definir este valor é utilizado a formula abaixo, que leva em consideração informações referentes a assinatura, a importância do host ou da rede e outros.
RR = (ASR * TVR * SFR)/10.000 + ARR – PD + WLR
Com base nesta formula o IPS pode mudar dinamicamente a ação de uma assinatura. Por exemplo, se uma assinatura esta configurada apenas para gerar um alerta, mas o Risk Rating é alto, o IPS altera a ação da assinatura para que além do alerta o atacante seja bloqueado.
Para funcionar é preciso que seja habilitada a opção Event Action Overrides. Nesta opção você define os níveis do Risk Rating e qual ação deverá ser tomada.
Na formula são utilizadas as seguintes variáveis:
Target Value Rating (TVR): É um valor que você associa a um host ou a uma rede, de acordo com a importância deste host ou desta rede no seu cenário. Os valores disponíveis para o TVR são: Zero (50), Low (75), Médium (100), High (150) e Mission Critical (200). Quanto maior o número mais importante é o host ou a rede.
Attack Severity Rating (ASR): É configurado por assinatura e indica o quão perigoso é o evento. As opções que temos são Information (25), Low (50), Médium (75) e High (100). Os números nos parentes são a representação numérica da severidade.
Signature Fidelity Rating (SFR): Também é configurado por assinatura, e podem ser atribuídos valores de 0 a 100. O SFR define o quanto uma assinatura é assertiva (gera pouco falso-positivo).
Attack Relevancy Rating (ARR): É um valor definido pelo IPS com base na informação de Sistema Operacional, e não configurável. Ele mostra a importância do ataque no ambiente. Por exemplo, um ataque para Windows em um ambiente Linux não tem muita importância, mas o mesmo ataque em um ambiente Windows terá muita importância. Possíveis valores: Relevant (10), Unknown (0) e Not Relevant (-10).
Promiscuous Delta (PD): É configurado por assinatura, com valores de 0 a 30. Esta variável é importante apenas quando o sensor esta trabalhando em modo promíscuo. Ele diminui o Risk Rating de algumas assinaturas, quando trabalhando em modo promíscuo. Não é recomendado mudar o valor do PD.
Watch List Rating (WLR): É um valor associado a um host pelo CSA – Cisco Segure Agent, quando é utilizado na rede. Com base neste valor o host pode ser colocado em quarentena. Valores possíveis: 0 a 100, mas o CSA utiliza apenas de 0 a 35.
Anomaly Detection (AD)
É um componente que permiti analisar o tráfego com base no comportamento da rede, e não baseado nas assinaturas. As assinaturas, lembremos, servem para identificar apenas ataques conhecidos. O AD identifica quando um host abre muitas conexões para a mesma porta com destino diferente (comportamento padrão para worms, como Code Red e SQL Slammer).
Para funcionar corretamente você deve deixar o AD monitorar a rede por 24 horas (default), pelo menos. Para isso você deve configurar AD Operational Mode para learn. Isto permitirá que seja criado um baseline da rede, e assim, quando o padrão mudar ele será capaz de identificar esta mudança.
Zone: É um grupo de endereços de destino. Dividir a rede em zonas permite diminuir o número de falso positivo. Seus endereços da LAN devem ser configurados como zona interna.
Resumo da configuração:
1) Adicione o AD ao sensor (você pode usar o ad0 ou criar um novo)
2) Configure as Zonas, protocolos e serviços (defina a zona interna, especifique os protocolos e serviços que serão monitorados)
3) Configure o AD Operational mode como learn
4) Deixe o sensor rodar pelo menos 24 horas (uma semana é o recomendado)
5) Mude o AD Operational mode para Detection (ele mudará automaticamente depois do tempo de learn configurado)
6) Configure os parâmetros de detecção do AD (worm timeout, IPs de origem e destino que devem passar pelo AD sem serem monitorados, …)
Bypass
A partir da versão 6.0, o IPS possui opção de software bypass. Esta opção permite que o tráfego continue ou não a ser enviado para o destino caso o software do IPS pare de funcionar. Temos 3 opções:
Auto: Se a engine de análise parar, o tráfego continuará a passar pelo IPS normalmente.
Off: Se a engine de análise parar, o tráfego é bloqueado.
On: Permite que o tráfego passe pelo IPS sem ser inspecionado. Normalmente utilizado com a rede está com problemas.
O bypass de hardware só é possível com a adição de um módulo adicional ao IPS. Com este módulo, mesmo que o hardware falhe o tráfego continua fluindo pelo appliance. Para saber quais modelos de IPS suportam a adição deste módulo, acesse o site da Cisco.
Passive Operating System Finger Print (POSFP)
Feature dos IPSs Cisco que identifica os sistemas operacionais que estão na rede. Após saber que SO é utilizado o IPS pode dar mais ou menos importância a um ataque. Para isso ele aumenta ou diminui o Risk Rating. Vem habilitado por padrão e além de aprender automaticamente, você pode também mapear manualmente IPs e Sistemas Operacionais.
Blocking
Funcionalidade que permite ao IPS interagir (enviar comando) para outro device, e assim impedir um ataque. A aplicação que efetivamente realiza o bloqueio chama-se ARC (Attack Response Controller). O IPS pode interagir com roteadores, PIX, 6500 e com o ASA. No caso dos roteadores e do 6500 o IPS envia uma Access-list, que é aplicada na interface desejada. Para o PIX e ASA o IPS manda o comando Shun. A lista com os modelos exatos que suportam essa opção deve ser verificada no site da Cisco.
Obviamente, para funcionar, é preciso que o IPS e o dispositivo que efetuará o bloqueio sejam capazes de comunicar e devemos também permitir acesso remoto nos dispositivos (Telnet ou SSH, que é o default).
Resumo da configuração:
1) Associe à ação de bloqueio a assinatura. Assim, quando ela for disparada o IPS enviará o comando para bloquear o ataque.
2) Configure os parâmetros do Blocking (habilitar o Blocking, definir o número máximo de dispositivos a serem bloqueados, com o cuidado de não bloquear o próprio IPS, e cadastrar os IPs que nunca devem ser bloqueados).
3) Crie o profile para login no device remoto (cadastre username, password e enable password que será utilizado para conectar no device que efetuará o bloqueio).
4) Configure os parâmetros do dispositivo que efetuará o bloqueio, como IP, Hostname, método de comunicação.
5) Defina a interface onde a ACL será aplicada, no caso de roteadores e do 6500.
6) Opcional: Cadastro o master blocking sensor, caso exista um.
Tuning e License
-
É muito importante fazer o tunning das assinaturas quando configurando um IPS. Se no seu ambiente são utilizados apenas servidores com Apache, assinaturas destinadas a ataques ao IIS (ou vice-versa) são irrelevantes e podem ser desabilitadas. Habilitar assinaturas desnecessárias faze o IPS perder desempenho.
-
Alertas que não precisam ser gerados devem ser desabilitados (por default todas as assinaturas vêem configuradas para gerar alerta). Isso torna a administração do IPS mais difícil, já que um grande volume de alertas pode ser gerado. Se for o caso aumente os thresholds, para que um alerta seja gerado somente quando um evento ocorrer mais de n vezes.
-
Colocar o IPS atrás do firewall diminui o tráfego que chegará até o IPS, e melhorará o desempenho do mesmo.
-
Os IPSs da Cisco podem funcionar sem licença, no entanto, é necessário ter a licença para que seja possível atualizar as assinaturas.
-
A licença é adicional ao smartnet, que servirá apenas para atualização do software, acesso ao TAC e troca de hardware.
Até a próxima.
