|

23T51 Zaawansowana Ochrona na FW Czyli IPS oraz DoS w 17 min. [Konfiguracja Fortigate]

PrzezDarek Koralewski

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

4:10 Topologia

4:40 Konfiguracja Denial of Service

11:14 Konfiguracja Polityki dla LANu

13:42 Przypisanie Polityk na Firewallu

16:2o Podsumowanie

Transkrypcja

W dzisiejszym odcinku będziemy omawiać dwa mechanizmy zaawansowanego
bezpieczeństwa na Firewallu Fortigate. Pierwszy to będzie temat związany z Denial of Service czyli mechanizmami, które pozwalają nam ograniczyć wpływ takich ataków, które nam mają zablokować pewne usługi. Drugi element który będziemy dzisiaj omawiać to jest IPS Intrusion Prevention System czyli mechanizm zaawansowany, który monitoruje ruch sieciowy i składa sesję warstwy siódmej po to żeby zrozumieć transakcje, które zachodzą i blokować te które są związane z sygnaturami, które są powiązane z podatnościami. Czyli ma po prostu to urządzenie bazę informacji o tym jakie ataki są dostępne, na jakie podatności i stara się szukać pewnych schematów zachowań tej komunikacji sieciowej, które pozwala wykryć dany ciąg zdarzeń czyli na przykład wiadomo, że jest podatność na przykład w usłudze https i że ta podatność jest związana z wykonywaniem jakiegoś Cross skryptu więc ten IPS stara się analizować tą transakcję i jeżeli wykrywa takie zachowanie które powoduje właśnie wykorzystanie tej podatności no to jest w stanie zablokować inline czyli tak naprawę w czasie rzeczywistym.

Jeżeli chodzi o ten pierwszy mechanizm to tutaj mówimy o takich elementach, które są związane z Denial of Service czyli z takim blokowaniem zasobów ale nie na zasadzie dowolnej ilości dużej ilości pakietów no bo przed tym się samo urządzenie typu Firewall nie jest w stanie obronić z tego prostego powodu że po prostu każde urządzenie ma jakąś ograniczoną swoją wydajność i jeżeli jest przekroczona ta wydajność no to po prostu urządzenie się blokuje i jakoś reaguje w sposób nieprzewidziany w normalnej pracy. Tutaj chodzi o takie mechanizmy, które są pewną techniką optymalizacji takich ataków DOSowych czyli na przykład staramy się generować dużo transakcji TCP – tu tylko przypomnę dla tych, którzy nie mają pełnej świadomości, że protokół TCP jest połączeniowy czyli jest po prostu nawiązywanie połączenia oddanego z danego systemu do jakiegoś serwera, który jest po naszej stronie za Firewallem i ta sesja jest po prostu tworzona. Firewall te sesje trzyma czyli ma całą listę tych sesji, tak samo system końcowy, jakiś serwer.

No i teraz jeżeli my wysyłamy bardzo dużą ilość pakietów fałszywych ale tylko na przykład z tym TCP SYN to tworzymy dużą ilość tych otwartych sesji i one dopóki nie minie jakiś czas timeout ustawiony na danym systemie to one zajmują zasoby, pamięć danego serwera. No więc jeżeli wytworzymy bardzo dużo takich zapytań i nie ma mechanizmów obronnych na Firewallu czy na tym serwerze no to jesteśmy w stanie wysycić te zasoby najczęściej doprowadzając do jakiegoś rodzaju przepełnienia bufora i w związku z tym próby wykorzystania czegoś albo zatrzymania tego systemu po prostu, tak po prostu albo próby wykonania w związku z tym, że dany sposób działania systemu czyli na przykład obszar pamięci w którym normalnie proces działa jest przekroczony to dodając pewne dodatkowe próby komunikacji możemy próbować wyjść z obszaru chronionego tego serwera i wykonać skuteczny atak, który nam pozwoli otrzymać jakiś dostęp czyli tutaj jakby można miksować ten typ ataku Denial of Service czyli po prostu wyłączenie usługi z innymi atakami natomiast tutaj jeżeli chodzi o tą funkcjonalność tego Firewalla to możemy po prostu wybrać sobie konkretne funkcje, które będziemy monitorować i dzięki temu będziemy odciążać serwer od analizy i

Topologia jaką mamy jest bardzo prosta czyli mamy jedną część dotyczącą
LANu sieć 10.10.10.0 maska 24 bity i sieć dotyczącą serwera FTP 15.15.15.0, maska 24 bity. Wyjście do internetu przez port pierwszy i będziemy konfigurować te dwie polityki czyli IPS i Denial of Service, tutaj zapobieganie temu atakowi czy tym atakom na Fortigate.

Zacznijmy więc od konfiguracji dotyczącej tego Denial of Service czyli dla IPv4 polityka DOS. Oczywiście tworzymy nową politykę, jakoś ją nazywamy. Zacznijmy od polityki LAN. No i tutaj LAN to znaczy że Interface wejściowy będzie na porcie drugim, na LANie jeżeli chodzi o Source adres – Any. Destination adress – tutaj będziemy mieli określenie, że będzie to IP czy sieć dotycząca LANu i tak jak wspomniałem 10.10.10 z maską 24 bity. Mamy więc określony zakres adresacji no i określamy serwis jako All czyli tutaj wszystkie serwisy realizujemy. Jeżeli chodzi o anomalie L3 to klikamy monitoring, logging. Mamy tutaj wtedy w monitoringu IP Source session, widzimy te źródłowe adresy IP i docelowe IP Destination session. Mamy tutaj w L4 czyli już na poziomie warstwy czwartej możliwość zaznaczenia różnych elementów, które będziemy monitorować. Zaznaczamy tcp_syn_flood to jest sposób na monitorowanie, tu będziemy monitorować, nie blokować zachowania, które będziemy określać jako zasypywanie pakietami TCP SYN.

Czyli po prostu ten Firewall monitoruje wszystkie pakiety w protokole TCP i jeżeli widzisz, że dużo ich jest tylko w tej fazie SYN czyli nawiązywania połączenia a nie ma dalszych pakietów z daną sesją to po prostu będzie wykrywał, że to jest zalewanie pakietów czyli atak DDos czy tam bardziej DOS. No ale to z punktu widzenia tego mechanizmu tu raczej się posługujemy DOSem czyli będzie monitorował ilość z poszczególnego pojedynczego adresu tych pakietów. Tutaj kolejna funkcjonalność to TCP pod scan czyli będziemy monitorować jak dużo od pytań na dane porty widzi ten Firewall. Czyli jeżeli będzie widział że jest tych zapytań dużo no to będzie kwalifikował, że to jest właśnie sytuacja skanowania portów. Tu oczywiście po prawej stronie mamy też Holdy czyli poziomy, które ustalamy, które będą informować, że to już jest powyżej spodziewanego poziomu dla danej sieci czyli tu każdy może mieć swój trochę przypadek i specyfikę działania sieci i te też Holdy powinien dostosować do swojej sytuacji.

Idziemy dalej, co tutaj jeszcze możemy zaznaczyć z takich rzeczy typowych: udp_skan czyli skanowanie portów udp, zasypywanie pakietami icmp czyli pingami tu możemy oczywiście też hold sobie dostosować. No i klikamy ok. Generalnie z politykami DOS jak i IPS to trzeba sobie popróbować, potestować i sprawdzić, że dla naszej sieci to działa właściwie i nie powoduje false positive czyli niewłaściwych zgłoszeń problemu czy wykrycia. Kolejna polityka dla serwera DOS FTP na porcie VAN będziemy sprawdzać czyli od internetu z dowolnego adresu IP. Jeżeli chodzi o adres docelowy to tutaj wpiszemy sobie adres lub sieć tego serwera, tu już w zależności od tego jak szeroko chcesz pisać tą politykę. Tutaj akurat w oparciu o sieć. Przykład czyli cała maska 24 bitowa.

Mamy już obiekt serwer. No i na koniec serwisy możemy dać all ale ponieważ tutaj mówiliśmy serwerze FTP to moglibyśmy również dać poziom serwisu FTP. No i tak anomalie na poziomie warstwy trzeciej, wykrywanie czy monitorowanie, logowanie – tak jak poprzednio. IP Source, IP Destynation, tcp_syn_flood. Będziemy blokować w tym przykładzie czyli jeżeli będzie dużo tych pakietów które będą nasz serwer próbowały osiągnąć to my już na Firewallu będziemy blokować te pakiety podobnie ze skanowaniem portów TCP, z zalewaniem pakietami icmp czyli pingi icmp sweep to jest inny sposób zalewania pakietami icmp i też taki sposób czy taką komunikację jeżeli przekroczy ten Threshold będziemy blokować.

Tutaj jeszcze na koniec przykład zastosowania monitoringu dla protokołów sctp – source destynation session. Tutaj tylko w trybie monitoringu ale to są protokoły, które są takie charakterystyczne dla połączeń czy też sieci komórkowych. Czyli operatorzy połączeń GSM’owych. Akceptujemy czyli mamy tutaj te dwie polityki już stworzone.Teraz to co musimy zrobić to przejść do Security Profiles, Intrusion Prevention i będziemy konfigurować teraz politykę IPSową. IPS dla LANu będziemy blokować takie adresy, które są dla nas znane jako niebezpieczne i oprócz tego sygnatury i filtry. No więc filtry tutaj mamy i włączamy status, klikamy jakie rodzaje filtrów będziemy stosować. Tutaj jak widzisz w środkowej części pokazują się różne znane podatności a my sobie po prawej stronie tyko zaznaczamy dla jakich systemów operacyjnych, usług, aplikacji, protokołów będziemy wykorzystywać tą naszą bazę danych czyli na tym Fortigate mamy już całą gamę różnych znanych powiązanych z CVE, mamy tu opis, możemy sobie zobaczyć co dany atak robi, czego dotyczy, jaki jest poziom jego krytyczności, co jest celem tego ataku, czy to jest klient czy to jest serwer.

Teraz konfigurujemy politykę dla LANu więc koncentrujemy się na kliencie. No i tutaj całą tą listę, którą sobie zaznaczymy to oczywiście będziemy realizować. Tą listę trzeba oczywiście sobie zbalansować no bo im więcej tych sygnat inaczej więcej tych filtrów wyznaczymy do sprawdzania no to bardziej obciążamy urządzenie więc tu musimy dobrać ten balans pomiędzy tą naszą polityką, którą będziemy stosować, wydajnością urządzenia i ilością ruchu którą mamy w naszej sieci więc tutaj polecam podejście takie krokowe. Pomału sobie włączać i rozbudować tą politykę i sprawdzać jak wygląda obciążenie w naszej sieci. Idźmy dalej.

Mamy tu już całą różną gamę tych naszych podatności, które będziemy monitorować, blokujemy czyli to jest dodatkowa opcja wykrywania wychodzących połączeń do sieci Botnet’owych. Jeżeli wykryjemy tak takie zdarzenie to oczywiście będziemy blokować. Skąd tutaj sobie bierze to aktualizuje sobie ten Fortigate z serwera centralnego informacje o istniejących sieciach tych Botnet’owych tak samo jak malicious URLs to dynamicznie jest update’owane na Fortigate i korzystamy z tego co dostarcza producent. Mamy więc już pierwszą politykę IPS stworzoną dla LANu, teraz podobnie stworzymy politykę IPS dla serwera czyli IPS Server. Tu już jak widzisz nie klikam blokuj malicious URLs tylko same sygnatury no bo tutaj będę się koncentrował na serwerze czyli target serwer, filtry, tu będzie logowanie pakietów, status enable no i wybranie odpowiednich filtrów.

Tak jak poprzednio trzeba dobrać po prostu odpowiedni balans tego co robimy. Na przykład logowanie pakietów będzie dodatkowo też obciążało nasz Firewall więc w zależności od tego ile tego ruchu, tego serwera będzie i ile będziemy klasyfikować tych sygnatur czy tych filtrów bardziej, które są związane tu z tą polityką tym bardziej będziemy obciążać urządzenie. Mamy dwie polityki stworzone.

Teraz trzeba przypisać te polityki na Firewallu czyli na razie tylko stworzyliśmy profile, które nam mówią co my chcemy badać, monitorować i w jaki sposób dla danego profilu sprawdzać ruch czyli elementy, które nas interesują a teraz jak otworzymy politykę na Firewallu klasyfikując ruch czyli od LANu do WANu, nazwa internet LAN Source, Destination – All. Tutaj oczywiście jak najbardziej możemy zawężać tą politykę ale to co jest ważne to to, że będziemy w tym Security Profiles. Będziemy zaznaczać, że będzie tu IPS uruchomiony i wybieramy ten profil, który wcześniej stworzyliśmy czyli w naszym przypadku IPS LAN. Jeżeli chodzi o te reguły wcześniej tutaj pokazane na górnej części tej polityki to tu zawsze powinniśmy definiować w miarę specyficznie na ile potrafimy. No tutaj ta cała specyfika opiera się na porcie LAN i WAN czyli z portu LAN jak będzie szedł ruch do portu WAN to będzie podlegał tej polityce.

Jeżeli masz jakąś inną sytuację no to oczywiście dostosuj właściwie te swoje ustawienia. Mamy pierwszą politykę, teraz druga polityka. Internet serwer czyli ruch od internetu do serwera. Czyli będzie wchodzący interfejs serwer a Outgoing interfejs WANu. Tu powinno być odwrotnie bo my głównie chcemy sprawdzać komunikację od WANu do serwera. Czyli jak konfigurujemy IPSa czy ten profil DOSa to nas interesuje głównie ten kierunek, który przychodzi z Internetu. Czyli ten pierwszy element gdzie jest nawiązywane połączenie do serwera więc tutaj bym proponował zmienić z WAN do serwer. Ten profile IPSa to IPS Serwer i tak wygląda nasza gotowa polityka czyli podpięte profile, które mieliśmy zdefiniowane dla poszczególnych typów ruchu czy kierunków ruchu.

Na dzisiaj to tyle. Jeżeli masz jakieś pytania co do tego tematu albo chciałbyś się więcej dowiedzieć jak można zabezpieczać swoje systemy i to w kontekście lokalnych jakichś mechanizmów, które są dostępne dla administratora na urządzeniach bezpieczeństwa typu Firewall lub też jakiś innych zagadnień typu Denial of Servic czy distributed Denial of Service czyli takich sposobów ataku z różnych miejsc to oczywiście pisz w komentarzu i ja chętnie rozważę czy rozwinę dane tematy jeżeli to będzie ciebie interesowało. Na dzisiaj to tyle, do usłyszenia w kolejnym odcinku.

Podobne wpisy

||

Podłączanie Mobility Controllera do Mobility Conductora

PrzezRadosław Kierznowski

Ten artykuł jest kontynuacją artykułów o tworzeniu zwirtualizowanego środowiska sieciowego Aruba Networks opartego o środowisko laboratoryjne EVE-NG. W poprzednich artykułach pokazałem, jak dodać i zainstalować Mobility Conductora na EVE-NG oraz jak dodać i zainstalować Mobility Controllera na EVE-NG. W tym artykule opiszę co należy…

||

Dodawanie komputera do katalogu Azure Active Directory używanego na co dzień poza domeną

PrzezRadosław Kierznowski

Komputery z systemem Windows 10 i Windows 11 można dołączyć do katalogu usługi Azure Active Directory podczas pierwszego uruchomienia systemu, jak i na komputerach, które są już używane. W tym artykule pokażę, jak dołączyć urządzenie do katalogu Azure AD, gdy jest używane poza domeną…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *