Remediação de incidentes com Cisco Firepower Threat Defense e F5 SSL Orchestrator
O F5 SSL Orchestrator permite que as empresas protejam seus negócios e fornece a escala necessária para evitar vários tipos de ataques, vetores e apresentações, ao mesmo tempo em que oferece visibilidade intransigente do tráfego de dados que atravessa diversas zonas de segurança. Quando combinado com uma forte estratégia de negação de serviço distribuída (DDoS), o SSL Orchestrator e sua integração com o Cisco Firepower Threat Defense (FTD) fornecem os componentes necessários de segurança de perímetro e fornecem proteção abrangente, protegendo a empresa contra malware, bots e outros ataques.
Para alcançar uma integração perfeita, a F5 fez uma parceria com a Cisco para validar e produzir arquiteturas de referência para integrar o SSL Orchestrator e o Firepower Threat Defense. Os testes e a validação foram conduzidos nas instalações do F5 Labs usando dispositivos Firepower virtuais e físicos com FTD.
Este guia ajuda os administradores a identificar e implantar configurações validadas para casos de uso comuns. Os cenários de clientes definidos aqui abordam o direcionamento e o bloqueio de tráfego baseados em políticas, bem como a visibilidade e o controle de SSL.
Este cenário utiliza o SSL Orchestrator para alocar fluxos de tráfego para diferentes recursos com base na carga. Como alternativa, ele é alocado usando inteligência de negócios, com base em recursos como gerenciamento centralizado de políticas ou F5 iRules para processos de tomada de decisão mais profundos, que os recursos do FTD podem aproveitar para inspeção. Por exemplo, o Aplicativo A pode ser direcionado para um pool de servidores FTD com um conjunto de regras especializado que monitora assinaturas específicas para seu ambiente, enquanto o Aplicativo B é direcionado para outro pool. A integração com a API de correção do Firepower permite que o sistema reaja dinamicamente para reduzir a demanda na infraestrutura do FTD usando uma iRule para preencher um endereço IP em uma lista de bloqueios. O tráfego do infrator identificado é bloqueado antes de entrar no FTD por um período de tempo predefinido. Como uma estratégia dos invasores é fornecer uma quantidade enorme de tráfego de distração para mascarar o ataque real, essa tática de remediação pode permitir que a FTD concentre recursos na identificação de novos ataques sem precisar remediar invasores já identificados.
A terminação SSL é um processo que consome muitos recursos, mas os dispositivos F5 incluem processadores de hardware dedicados, especializados em processamento SSL. Para cenários de implantação de entrada e saída, utilizar o SSL Orchestrator mais o FTD fornece visibilidade inquestionável do tráfego SSL.
Os aplicativos de entrada raramente são implantados sem alta disponibilidade em mente, e a terminação SSL em uma instância F5 BIG-IP garante entrega segura e aprimorada de aplicativos, ao mesmo tempo em que fornece aos sensores FTD visibilidade do tráfego SSL. Quando a política de segurança determinar, o tráfego pode ser criptografado novamente antes de ser passado para os servidores de back-end.
A proliferação de sites que agora usam criptografia SSL para proteger usuários representa um desafio para os pools de sensores da FTD em sua missão de eliminar malware e ataques. O SSL Orchestrator pode fornecer visibilidade total do tráfego do usuário.
O SSL Orchestrator oferece suporte à inspeção de SSL/TLS de entrada para evitar que ameaças criptografadas passem despercebidas e comprometam ativos críticos. Protege seus aplicativos e servidores eliminando pontos cegos de segurança e interrompendo ameaças ocultas.
A arquitetura validada contém um pool com balanceamento de carga de pools de servidores de aplicativos web front-end de dispositivos Firepower. Essa abordagem maximiza a eficácia da solução combinada da Cisco e da F5 ao mesmo tempo em que aborda tanto a visibilidade e o controle do SSL quanto o gerenciamento e bloqueio de tráfego. O tráfego da zona de inspeção é descriptografado por tempo suficiente para ser inspecionado pelos dispositivos Firepower e criptografado novamente antes de ser enviado ao servidor de aplicativos ou cliente.
Na Figura 1, os Serviços de Poder de Fogo inspecionam, bloqueiam e relatam todos os fluxos de rede. Depois que o tráfego atravessa os dispositivos FTD, ele é roteado de volta pelo SSL Orchestrator. Isso garante que o tráfego possa ser inspecionado e, se necessário, os endereços IP possam ser bloqueados.
Figura 1: O SSL Orchestrator cria uma zona de inspeção onde o FTD pode inspecionar o tráfego e detectar e bloquear ameaças.
O SSL Orchestrator oferece suporte à inspeção SSL/TLS de saída para impedir que malware penetre na rede corporativa e para evitar a comunicação de comando e controle (C&C) por meio de canais criptografados. A solução interrompe infecções de malware, exfiltração de dados e comunicações C&C.
A arquitetura validada protege clientes internos contra ameaças baseadas na Internet. Os clientes acessam a Internet por meio do SSL Orchestrator, que descriptografa esse tráfego e envia uma cópia dele aos dispositivos Firepower para inspeção.
Figura 2: O SSL Orchestrator envia tráfego de saída para o FTD para inspeção a fim de proteger clientes internos contra ameaças da Internet.
Esses procedimentos pressupõem a existência de uma topologia funcional do SSL Orchestrator, de entrada ou de saída, e se concentram na adição de um Cisco Firepower TAP Service, incluindo estas etapas:
- Crie o serviço Firepower TAP.
- Crie iRules.
- Crie servidores virtuais.
- Anexe as iRules aos servidores virtuais.
Ambos os tipos de topologia são suportados e a configuração da solução de correção da Cisco é a mesma. Se você ainda não tiver uma topologia funcional do SSL Orchestrator, consulte a série de artigos do SSL Orchestrator no F5 DevCentral para obter as etapas completas de configuração.
Este guia descreve as etapas necessárias para implantar o Cisco FTD com o SSL Orchestrator, incluindo a configuração dos Firepower Services (nós do Firepower), a política de segurança e a aplicação de iRules. O FTD pode ser implantado como uma solução de camada 2/3 ou TAP. O SSL Orchestrator pode ser implantado como uma solução de camada 2 ou 3. O SSL Orchestrator oferece flexibilidade para implantar da maneira que funciona melhor para você. Por exemplo, o SSL Orchestrator pode ser implantado no modo de camada 2 enquanto o FTD é implantado no modo de camada 3, e vice-versa.
A familiaridade com os conceitos e a tecnologia de implantação do F5, bem como com redes básicas, é essencial para configurar e implantar o SSL Orchestrator. Para mais detalhes sobre configuração e configuração de rede, visite o site de suporte da F5, AskF5 .
Embora o assistente de configuração guiada ajude a configurar a maior parte desta solução, algumas coisas devem ser feitas fora dele. Este exemplo usa uma topologia de saída L2 existente.
1. No Utilitário de configuração, clique em SSL Orchestrator > Configuração > Serviços > Adicionar .
2. Em Propriedades do serviço , selecione Cisco Firepower Threat Defense TAP e clique em Adicionar .
3. Nomeie o serviço e insira o endereço MAC do Firepower (ou 12:12:12:12:12:12 se estiver conectado diretamente ao SSL Orchestrator).
4. Em VLAN , clique em Criar novo , insira um Nome (por exemplo, Firepower) e selecione a interface correta (2.2 neste exemplo). Ou se você configurou a VLAN anteriormente, clique em Usar existente e selecione a VLAN apropriada no menu suspenso.
Observação : Especifique uma tag VLAN, se necessário.
5. A ativação do remapeamento de portas é opcional. Clique em Salvar e Avançar .
6. Clique na Cadeia de Serviços que você deseja configurar (sslo_SC_ServiceChain neste exemplo). Se você ainda não tem uma cadeia de serviços, adicione uma agora.
7. Selecione o serviço Firepower e mova-o para a lista Selecionados clicando na seta apropriada. Clique em Salvar .
8. Clique em Salvar e Avançar e depois em Implantar .
Crie duas iRules e dois servidores virtuais. A primeira iRule escuta solicitações HTTP do dispositivo Firepower. O Firepower então responde por meio de sua API de remediação e envia uma solicitação HTTP contendo um endereço IP e um valor de tempo limite. O endereço é o IP de origem a ser bloqueado pelo SSL Orchestrator, que o bloqueará durante o período de tempo limite. Para obter detalhes e tutoriais do iRules, consulte o F5 DevCentral .
1. Crie a primeira iRule no SSL Orchestrator selecionando Tráfego local > iRules e clicando em Criar .
2. Dê um nome à iRule (FTD-Control neste exemplo) e copie e cole o texto da iRule (na Figura 3 abaixo) no campo Definição . Clique em Concluído . Esta iRule será associada ao servidor virtual de controle.
quando HTTP_REQUEST { se { [URI::query [HTTP::uri] "ação"] for igual a "lista de bloqueio" } { definir bloqueioIP [URI::consulta [HTTP::uri] "sip"] definir IPtimeout [URI::query [HTTP::uri] "tempo limite"] tabela add -subtabela "lista de bloqueio" $blockingIP 1 $IPtimeout HTTP::respond 200 conteúdo "$blockingIP adicionado à lista de bloqueio por $IPtimeout segundos" retornar } HTTP::respond 200 conteúdo "Você precisa incluir uma consulta de ação ?" }
|
|---|
Figura 3: O primeiro texto iRule para copiar e colar
3. Crie uma segunda iRule clicando em Criar novamente.
4. Nomeie a segunda iRule (FTD-Protect neste exemplo) e copie/cole o texto da iRule na Figura 4, abaixo, no campo Definição .
|
|---|
Figura 4: O segundo texto do iRule para copiar e colar
5. Clique em Concluído . Esta iRule será associada ao Protect Virtual Server.
1. Crie os servidores virtuais selecionando Tráfego local > Servidores virtuais e clicando em Criar .
2. Nomeie o servidor virtual (tendo em mente o nome do iRule associado) — FTD-Control neste exemplo. Para Tipo , selecione Padrão .
3. Para Endereço de origem , insira 0.0.0.0/0, o que indica que qualquer endereço de origem corresponderá.
4. Para Endereço/Máscara de destino , insira o endereço IP que o SSL Orchestrator escutará para aceitar solicitações de API do Firepower. (Neste exemplo, é 10.5.9.77/32, o que indica que o SSL Orchestrator responderá somente a conexões com esse único endereço IP.
Observação : O endereço/máscara de destino deve estar na mesma sub-rede que a Segunda Interface de Gerenciamento no Firepower Management Center, o que será discutido mais adiante neste guia.
5. Para VLANs e tráfego de túnel , a F5 recomenda selecionar Habilitado em … a VLAN específica que a Firepower Second Management Interface usará, em vez de Todas as VLANs e Túneis .
6. Selecione a mesma VLAN que será usada pela Firepower Second Management Interface (vlan509 neste exemplo). Clique em << para mover a VLAN correta para a lista Selecionada .
7. Em Recursos , clique no FTD-Control iRule criado anteriormente e clique em << para movê-lo para a lista Habilitado e, em seguida, clique em Concluído .
8. Para criar o segundo servidor virtual, clique em Criar novamente.
9. Nomeie o servidor virtual (FTD-Protect neste exemplo) e, para Tipo , clique em Encaminhamento (IP) .
10. Insira o endereço de origem (10.4.11.152/32 neste exemplo). Este servidor virtual só aceitará conexões com um IP de origem de 10.4.11.152 para fins de teste, para garantir que tudo funcione com um único cliente de teste. Para uma topologia de entrada, o Endereço de Origem pode ser definido como 0.0.0.0/0, o que permitiria conexões de qualquer lugar.
11. Insira o Endereço/Máscara de Destino . Nesse caso, a rede 10.5.11.0 é o destino que o tráfego da rede 10.4.11.0 deve tomar para passar pelo SSL Orchestrator e prosseguir para a Internet.
12. Em Configuração , selecione Habilitado em … para Tráfego de VLAN e Túnel .
13. Em Disponível , selecione a VLAN de entrada na qual o SSL Orchestrator está recebendo tráfego (Direct_all_vlan_511_2 neste exemplo). Clique em << para movê-lo para a lista Selecionados .
14. Em Recursos , clique no FTD-Protect iRule criado anteriormente. Clique em << para movê-lo para a lista Habilitado e depois clique em Concluído .
Agora você tem:
- Criou o Serviço TAP Firepower.
- Criou iRules.
- Servidores virtuais criados.
- Anexei as iRules aos servidores virtuais.
Esses procedimentos pressupõem que o Cisco Firepower e o Firepower Management Center (FMC) foram licenciados e implantados e estão funcionando corretamente.
1. Efetue login no Firepower Management Center para visualizar o Painel de Resumo .
2. Clique em Sistema > Configuração . (A aba Dispositivos será aberta.)
3. Clique em Interfaces de gerenciamento no menu à esquerda. Uma interface de gerenciamento do FMC deve ser configurada para tráfego de eventos e deve estar na mesma sub-rede que o Control Virtual Server no SSL Orchestrator (10.5.9.77 nos exemplos).
4. Ao usar uma máquina virtual para FMC, clique em Adicionar novo dispositivo e adicione uma segunda NIC no console do Hypervisor. (Consulte a captura de tela abaixo e o guia de administração do Hypervisor para obter mais informações sobre como fazer isso.)
5. Para configurar a segunda interface de gerenciamento, clique no ícone de lápis (editar).
6. Selecione Ativado . (O Tráfego de Eventos deve estar habilitado, mas o Tráfego de Gerenciamento não é obrigatório.)
7. Defina a configuração IPv4 como Estática . Digite o endereço IP e a máscara de sub-rede e clique em OK .
Observação : Esta interface deve estar na mesma VLAN e sub-rede que a interface de controle no SSL Orchestrator.
8. Clique em Salvar .
Este guia pressupõe que as políticas de intrusão e malware, que devem ser semelhantes ao exemplo abaixo, estejam habilitadas para o dispositivo Firepower.
Em seguida, crie uma política de correção do Firepower. Uma política de remediação pode adotar uma variedade de ações com base em um conjunto quase infinito de critérios. Por exemplo, se um evento de intrusão for detectado, o Firepower pode dizer ao SSL Orchestrator para bloquear o IP de origem por um determinado período de tempo.
1. Instale o Módulo de Correção F5. Para fazer isso, no FMC, clique em Políticas > Ações > Respostas > Módulos .
2. Clique em Procurar para localizar o Módulo de Correção F5 no seu computador. Selecione-o, clique em Abrir e depois em Instalar . Após a instalação, clique na lupa à direita.
3. Clique em Adicionar para configurar uma instância.
4. Nomeie a instância (Block_Bad_Actors neste exemplo). Insira o endereço IP do Servidor Virtual de Controle do SSL Orchestrator (10.5.9.77 neste exemplo). Alterar o tempo limite é opcional. Por fim, clique em Criar .
5. Em seguida, em Correções configuradas , clique em Adicionar .
6. Nomeie a correção (RemediateBlockIP neste exemplo) e clique em Criar .
7. Selecione Políticas > Correlação > Criar política para criar uma Política de correlação, que definirá quando e como iniciar a correção.
8. Nomeie a política de correlação (Remediação neste exemplo) e clique em Salvar .
9. Na guia Gerenciamento de regras , clique em Criar regra .
10. Nomeie a regra (RemediateRule neste exemplo).
11. Para o tipo de evento, selecione um evento de intrusão ocorre . (Para testes, veja também a nota na próxima etapa.)
12. Para a Condição , selecione País de origem > é > Coreia do Norte (por exemplo) e clique em Salvar .
Observação : O FMC pode acionar uma correção para uma variedade de eventos diferentes, não apenas intrusão. Na verdade, ao configurar a correção, você pode querer usar um tipo de evento diferente para facilitar o acionamento de um evento e verificar se ele foi corrigido com sucesso. Por exemplo, escolha um evento de conexão que ocorre e defina a Condição como URL > contém a string > foo . Então a regra de correção deverá ser acionada se você tentar acessar foo.com.
13. Retorne à guia Gerenciamento de Políticas e clique na política criada anteriormente (Remediação neste exemplo). Clique em Adicionar regras .
14. Selecione RemediateRule e clique em Adicionar .
15. Clique em Salvar .
As políticas de correlação podem ser ativadas ou desativadas usando o botão de alternância à direita. Certifique-se de que a política correta esteja habilitada.
O status dos eventos de correção pode ser visualizado no FMC clicando em Análise > Correlação > Status. Veja a coluna Mensagem de resultado para a mensagem “Conclusão bem-sucedida da correção”.
Essas práticas recomendadas configuram o F5 BIG-IP SSL Orchestrator com o Cisco FTD em uma arquitetura demonstrada para abordar tanto o cenário de usuário de visibilidade e controle de SSL quanto o cenário de usuário de direcionamento e bloqueio de tráfego baseado em política de IPS. Com a terminação SSL no SSL Orchestrator, os sensores FTD fornecem visibilidade do tráfego de entrada e saída para adaptar e proteger os aplicativos, servidores e outros recursos de uma organização. Usando o direcionamento de tráfego baseado em políticas de segurança, uma organização pode capitalizar essa configuração e continuar a escalar, adicionando mais dispositivos gerenciados por FTD para fornecer maior capacidade de tráfego para redes e aplicativos protegidos. A flexibilidade baseada em políticas fornecida pelo SSL Orchestrator também pode ser aproveitada para direcionar seletivamente o tráfego para diferentes pools de recursos com base em requisitos comerciais, de segurança ou de conformidade.
Conecte-se com F5
