Versão: 30/04/2015
® Aker Security Solutions
1
Índice
ÍNDICE ...................................................................................................................................................... 2
1.
INTRODUÇÃO .................................................................................................................................. 5
IMPLEMENTAÇÃO DO AKER IPS........................................................................................................................ 8
LISTA DE ABREVIATURAS E SIGLAS ..................................................................................................................... 9
2.
AKER IPS ........................................................................................................................................ 12
INSTALAÇÃO E REQUISITOS DO SISTEMA ........................................................................................................... 12
INSTALANDO O AKER IPS .............................................................................................................................. 12
PRIMEIRO ACESSO AO AKER IPS ..................................................................................................................... 16
3
DASHBOARD .................................................................................................................................. 20
............................................................................................................................... 20
..................................................................................................................................... 24
................................................................................................................................... 25
4
RELATÓRIOS .................................................................................................................................. 27
CRIANDO UM NOVO RELATÓRIO ..................................................................................................................... 28
Relatórios Padrão .............................................................................................................................. 31
CUSTOMIZAÇÃO.......................................................................................................................................... 31
PREFERÊNCIAS ............................................................................................................................................ 31
LOGS DO SISTEMA ....................................................................................................................................... 32
5
PROTEÇÃO ..................................................................................................................................... 32
REGRAS..................................................................................................................................................... 33
LISTAGEM .................................................................................................................................................. 33
CADASTRANDO UMA NOVA REGRA ................................................................................................................. 34
IMPORTAR ................................................................................................................................................. 36
IMPORTANDO REGRAS .................................................................................................................................. 37
GRUPOS .................................................................................................................................................... 38
CADASTRANDO UM NOVO GRUPO DE REGRAS ................................................................................................... 38
ALERTAS POR E-MAIL ................................................................................................................................... 39
ATUALIZAÇÃO DE REGRAS ............................................................................................................................. 40
POLÍTICAS .................................................................................................................................................. 40
CADASTRANDO UMA NOVA POLÍTICA .............................................................................................................. 41
ABA GERAL ................................................................................................................................................ 41
PRÉ-PROCESSADORES:.................................................................................................................................. 42
ENGINE DE DETECÇÃO .................................................................................................................................. 44
ABA REGRAS .............................................................................................................................................. 44
LISTA DE IPS............................................................................................................................................... 47
FLUXO ...................................................................................................................................................... 48
CADASTRANDO UM NOVO FLUXO ................................................................................................................... 48
6
SISTEMA ........................................................................................................................................ 52
ATUALIZAÇÕES ........................................................................................................................................... 53
BACKUP .................................................................................................................................................... 54
RESTAURAR................................................................................................................................................ 55
CONFIGURAÇÃO DE HORA............................................................................................................................. 55
CONTROLE DE ACESSO .................................................................................................................................. 55
TIPO DE AUTENTICAÇÃO ............................................................................................................................... 56
PERFIS ...................................................................................................................................................... 56
USUÁRIOS ................................................................................................................................................. 56
CADASTRANDO UM NOVO USUÁRIO ................................................................................................................ 57
® Aker Security Solutions
2
E-MAIL...................................................................................................................................................... 58
ROTAÇÃO DE DADOS .................................................................................................................................... 59
7
AJUDA ............................................................................................................................................ 59
LICENCIAMENTO ......................................................................................................................................... 60
SOBRE ...................................................................................................................................................... 63
GERENCIAMENTO DA CONTA DO USUÁRIO ........................................................................................................ 63
® Aker Security Solutions
3
® Aker Security Solutions
4
Seja bem-vindo ao manual do usuário do Aker IPS.
Nos próximos capítulos, você aprenderá como configurar essa poderosa ferramenta de
detecção e prevenção de intrusões. Esta introdução tem como objetivo descrever a
organização deste manual, tornando sua leitura a mais simples e agradável possível.
Como está disposto este manual
Este manual é organizado em vários capítulos. Cada um deles mostra determinado aspecto da
configuração do produto e informações relevantes sobre o tópico.
Todos os capítulos começam com uma introdução teórica a respeito do tema a ser tratado, seguida
dos aspectos específicos de configuração do Aker IPS. Juntamente com essa introdução teórica,
alguns módulos possuem exemplos práticos do uso do serviço a ser configurado, em situações
hipotéticas, porém, bastante próximas da realidade.
Recomendamos que este manual seja lido, pelo menos uma vez por inteiro, na ordem apresentada.
Posteriormente, se for necessário, pode-se usá-lo como fonte de referência.
Para facilitar a consulta, os capítulos estão divididos em tópicos, com acesso imediato pelo índice
principal. Dessa forma, pode-se achar facilmente a informação desejada.
No decorrer deste manual, aparecerá o símbolo
seguido de uma frase escrita em letras
vermelhas. Isso sinaliza que tal observação é muito importante e deve ser totalmente entendida
antes que se prossiga com a leitura do capítulo.
IDS (Intrusion Detection System), Sistema de Detecção de Intrusos ou Sistema de Detecção de
Intrusão refere-se aos meios técnicos de descobrir, em uma rede, acessos não autorizados, que
podem indicar a ação de um cracker ou até mesmo de colaboradores mal-intencionados.
Com o acentuado crescimento das tecnologias de infraestrutura, tanto nos serviços quanto nos
protocolos de rede, torna-se cada vez mais difícil a implantação de Sistemas de Detecção de
Intrusos. Esse fato está intimamente ligado não apenas à velocidade com que as tecnologias
avançam, mas principalmente à complexidade dos meios que são utilizados para aumentar
a segurança nas transmissões de dados.
® Aker Security Solutions
5
Uma solução bastante discutida é a utilização do host-based IDS, que analisa o tráfego de forma
individual em uma rede. No host-based, o IDS é instalado em um servidor para alertar e identificar
ataques e tentativas de acessos indevidos à própria máquina.
IDSs baseadas em rede, ou network-based, monitoram os cabeçalhos e o campo de dados dos
pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a
performance da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas
transmissões de dados como elemento de segurança prejudica esse processo. Tal ciframento pode
ser aplicado no cabeçalho do pacote, na área de dados do pacote ou até mesmo no pacote inteiro,
impedindo e/ou dificultando o entendimento dos dados por entidades que não sejam o seu real
destinatário.
Exemplificando, o SSL (Secure Socket Layer) é executado entre a camada de transporte e de
aplicação do TCP/IP, criptografando assim a área de dados dos pacotes. Sistemas IDS não terão como
identificar através do conteúdo dos pacotes ataques para terminar as conexões ou até mesmo
interagir com um firewall.
Outro exemplo é a implementação do IPSec, que é uma extensão do protocolo IP, bastante utilizada
em soluções de VPN. Existem dois modos de funcionamento, o modo transporte e o modo túnel,
descritos na RFC2401 de Kent, Atkinson (1998).
No modo de transporte, o IPSec é similar ao SSL, protegendo ou autenticando somente a área de
dados do pacote IP. Já no modo túnel, o pacote IP inteiro é criptografado e encapsulado. Como pode
ser notado no modo transporte, um IDS pode verificar somente o cabeçalho do pacote; enquanto o
modo túnel, nem o cabeçalho, nem a área de dados.
A implementação de IDSs em redes comutadas (no caso baseadas em switching) permite a
comunicação direta, não compartilhada entre dois dispositivos. Essa característica introduz algumas
dificuldades na implementação de IDSs se comparada às redes com transmissão por difusão.
Como nesse tipo de rede os dados trafegam diretamente para seus destinos (sem a difusão), tornamse necessárias, na implantação de IDSs, algumas soluções específicas.
O uso de Port Span consiste na utilização de switches com IDSs embutidos. A decisão de sua
utilização deve ser discutida antes da compra dos concentradores de rede (switches).
O uso de Splitting Wire e Optical Tap é uma solução que consiste em colocar uma "escuta"
posicionada entre um switch e o equipamento de rede que se deseja monitorar. Um meio bastante
barato de se fazer isso (Ethernet e Fast Ethernet) é a colocação de um concentrador de rede por
difusão (hub) na conexão a ser vistoriada. No caso de fibras ópticas, basta adicionar um dispositivo
chamado Optical Tap.
® Aker Security Solutions
6
O uso de Port Mirror consiste em fazer no switch o espelhamento do tráfego de uma única porta a
outra usada para o monitoramento. Esse método é semelhante ao Wire Tap, porém é implantado no
próprio switch.
A evolução tecnológica tem também permitido que um maior número de redes possua altas
velocidades de transmissão de dados. Sob o ponto de vista da implantação de IDS, isso se torna
bastante delicado, já que traz questões importantes para a manutenção da infraestrutura de redes.
Exemplo: os softwares IDS conseguirão analisar toda a grande quantidade de dados que trafegam na
rede? O hardware de monitoramento suportará tamanho tráfego? Os IDSs não irão prejudicar a
performance da rede se tornando um gargalo?
Essas e outras questões têm sido muito discutidas, gerando uma série soluções para contornar tais
problemas. Destacando-se:





Aumento do poder de processamento dos equipamentos;
Monitoramento utilizando-se target IDSs definidas pelo administrador;
Direcionamento de tráfego, Toplayer;
Recursos de filtragem dos IDSs;
Segregação de IDS por serviço (IDS especialista).
IPSs (Intrusion Prevention System) ou Sistemas de Prevenção de Intrusões evoluíram no final dos
anos 1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção
em linha. A princípio, o IPS era apenas um Sistema de Detecção de Intrusos (IDS) que possibilitava
alguma interação com o firewall para controlar o acesso. Em pouco tempo, foi necessário
desenvolver algo mais robusto, pois apenas comandar o firewall não bastava: ainda era possível que,
ao menos aquele pacote malicioso, trafegasse na rede. A solução era implementar formas
inteligentes de bloqueio dentro do IPS.
Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da
aplicação e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham.
Entretanto, nada impede que, para otimizar a performance, muitos IPSs utilizem regras baseadas em
portas e endereço IP.
O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades
potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como
no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se
pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente
exercer também as funções de host.
® Aker Security Solutions
7
A vantagem de um Sistema de Prevenção de Intrusos está em ser um excelente detector de tráfego
malicioso com uma média de falso positivo e falso negativo baixa.
Todos os dias, empresas são ameaçadas por milhares de ataques cibernéticos, que, muitas vezes,
resultam em falhas de segurança críticas e geram bilhões de reais de prejuízo, além de poderem
causar grandes danos à imagem dessas corporações.
Ambientes tecnológicos estão constantemente sob ataque, independentemente do tamanho da
empresa que os mantêm. Devido ao crescimento contínuo das ameaças cibernéticas, que tem
alcançado proporções epidêmicas; o aumento da complexidade dos métodos de proteção contra
esses ataques e a luta das empresas para manter sua rede segura, a Aker desenvolveu o Aker IPS,
uma solução completa de detecção e prevenção de intrusões que irá ajudar a proteger a integridade
de sua rede computacional contra as ameaças cibernéticas.
O Aker IPS é uma solução integrada de Segurança da Informação em software do tipo IDS/IPS e Filtro
de Aplicações. Possui a capacidade de se integrar a um único dispositivo e efetuar inspeções de
tráfego de modo passivo e/ou ativo, além de fazer filtragem de aplicações.
O Aker IPS permite que o usuário detecte, identifique e execute ações preventivas em relação às
ameaças cibernéticas, antes que estas possam causar danos à empresa (exploração de falhas de
segurança, violação de dados confidenciais, etc.).
A seguir o gráfico da arquitetura do Aker IPS:
Implementação do Aker IPS
O Aker IPS pode ser implementado em diversas posições estratégicas na rede, a imagem a seguir
exibe alguns exemplos:
Cabe ressaltar em relação ao posicionamento do Aker IPS que:
® Aker Security Solutions
8
 Posicionando o mesmo antes do Firewall, irá detectar possíveis ataques;
 Posicionando o mesmo após o Firewall, a detecção será baseada em intrusões,
ou erros de usuários internos.
 Aker IPS 1 – Neste modelo de implementação o Aker IPS irá detectar
externos, funcionando no próprio firewall;
 Aker IPS 2 – Neste modelo de implementação o Aker IPS irá detectar
que conseguiram passar pelo Firewall e tem a DMZ 1 como alvo;
 Aker IPS 3 – Neste modelo de implementação o Aker IPS irá detectar
que conseguiram passar pelo Firewall e tem a DMZ 2 como alvo;
 Aker IPS 4 – Neste modelo de implementação o Aker IPS irá detectar
internos e externos direcionados a rede interna.
ataques
ataques
ataques
ataques
Lista de abreviaturas e siglas
DMZ – DeMilitarized Zone
HD – Hard Disk
HTTP – Hyper Text Transfer Protocol
ICMP – Internet Control Message Protocol
IDS – Intrusion Detection System
IMAP – Internet Message Access Protocol
IP – Internet Protocol
IPS – Intrusion Prevention System
® Aker Security Solutions
9
IPSEC– IP Security Protocol
IPX – Internetwork Packet Exchange
ISP – Internet Service Provider
LAN – Local Area Network
POP – Point Of Presence
RPC – Remote procedure Call
SIP – Session Initiation Protocol
SMTP – Simple Mail Transfer Protocol
SNMP – Simple Network Management Protocol
SPX – Sequenced Packet Exchange
SQL – Structured Query Language
SO – Sistema Operacional
TCP – Transmission Control Protocol
URL – Uniform Resource Locator
VPN – Virtual Private Network
® Aker Security Solutions
10
® Aker Security Solutions
11
Neste capítulo, iremos abordar de uma forma detalhada a instalação, configuração, menus,
e funcionalidades do Aker IPS.
Instalação e requisitos do sistema
Aker IPS pode ser adquirido na forma de appliance ou IS/VM.
Para que o Aker IPS funcione de maneira satisfatória, é necessário que o mesmo possua as seguintes
configurações:
Aker IPS Box:
Mínimo para throughput aproximado de 40 Mb/s
 HD: 160 GB
 RAM: 4 GB
 Processador: 2 núcleos de 1.6 GHz (Intel® D-510 CPU 1.6GHz)
Mínimo para throughput aproximado de 700 Mb/s.
 HD: 160 GB
 RAM: 8 GB
 Processador: 4 núcleos de 3 GHz (Intel® Core™ i3-2120 Processor)
VM:
 Mínimo de 8 GB de memória RAM;
 Mínimo de 20 GB de espaço em disco disponível;
A seguir a instalação do Aker IPS em uma IS/VM.
Instalando o Aker IPS
A seguir uma visão geral do procedimento de instalação do Aker IPS.
Siga os passos descritos a seguir para instalar o Aker IPS:
1. Ao iniciar a instalação do Aker IPS, um menu de boot será exibido, selecione a opção
“Instalar o Aker IPS Appliance (amd64), e pressione a tecla “Enter”:
® Aker Security Solutions
12
2. Em seguida é necessário informar em qual HD o Aker IPS será instalado. Digite o
nome do HD e pressione a tecla “Enter”.
3. A instalação será iniciada, aguarde até que os arquivos sejam instalados e o sistema
seja reiniciado.
® Aker Security Solutions
13
4. Ao iniciar, o Aker IPS oferece duas opções para o usuário sendo, a inicialização
normal e a inicialização em modo de recuperação. Selecione a opção desejada e
pressione a tecla “Enter”.
5. A seguir seja solicitado a informações para o login no sistema, entre com o nome e
senha de usuário e pressione a tecla “Enter”.
® Aker Security Solutions
14
A seguir as informações de acesso padrão do Aker IPS:


Usuário: aker
Senha: 123456
É recomendado que estas informações sejam alteradas no primeiro login, para
isso use os comandos descritos a seguir:
 Alteração das informações de acesso para a interface de texto (SSH ou
console):
Para alterar a senha de login use o comando: passwd
Para alterar a senha de “root” use o comando: sudo passwd root
E caso deseja alterar o nome de usuário entre use o comando: chfn
Alteração das informações de acesso para a interface web.
® Aker Security Solutions
15
Para alterar a senha de acesso da interface web, clique sobre o nome do usuário (localizado na parte
superior direita da tela) em questão e selecione a opção “Alterar senha”
A janela a seguir será exibida, preencha os campos solicitados e clique em “Salvar”.
As informações de acesso da interface de texto (console ou SSH) e Interface web são distintas, ou
seja, ao alterar as informações da Interface de Texto não alterará as informações de acesso da
Interface Web.
Primeiro acesso ao Aker IPS
Após concluir a instalação, entre com o IP definido para o Aker IPS no seu navegador, para visualizar
este IP entre com o comando “ifconfig” via console:
A tela de Login será exibida entre com a senha padrão:


Usuário padrão SSH: aker
Senha padrão SSH: 123456


Usuário padrão: admin
Senha padrão: 123456
® Aker Security Solutions
16
No primeiro acesso, a tela de licenciamento será exibida ao usuário, siga os passos a seguir:
Caso o usuário não possua uma licença, é necessário que o número da chave de hardware (R28CRVAT-IJ7G-WP41 no exemplo acima) seja copiado e encaminhado para [email protected]
solicitando uma licença para o seu hardware ou IS/VM, ao receber a licença siga os passos a seguir
(ao enviar a solicitação o usuário receberá sua licença no período máximo de 24h).
Ao receber a licença clique em
o arquivo e clique em “Abrir”.
para localizar sua licença. A janela a seguir será exibida, localize
® Aker Security Solutions
17
Ao localizar o arquivo clique em
para carregar o arquivo ou em
para limpar a seleção e
selecionar outro arquivo. Ao carregar a licença suas informações serão exibidas como na imagem a
seguir:
® Aker Security Solutions
18
Após verificar as informações de sua licença clique em
.
Esta janela permite que o usuário visualize as informações de usa licença em uso, lembrando que
ao carregar um nova licença as informações serão atualizadas exibindo somente as informações da
nova licença que foi carregada.
Após aplicar a licença, uma janela será exibida com as informações da licença aplicada serão exibidas,
a opção
estará habilitada caso o usuário necessite alterar sua licença.
® Aker Security Solutions
19
3 Dashboard
O Dashboard do Aker IPS foi projetado para oferecer maior transparência e facilidade no
gerenciamento de incidentes de sua rede.
O Dashboard possui três abas, que serão abordadas nas páginas descritas a seguir:
A aba Dashboard oferece transparência e facilidade no controle de dados para os gestores do Aker
IPS, permitindo que os mesmos possam configurar os Widgets de acordo com a necessidade de sua
empresa/ambiente, resumindo os dados mais importantes e exibindo-os nas mais diversas opções de
gráficos disponíveis.
® Aker Security Solutions
20
A seguir, as listas de Widgets disponíveis e alguns modelos:
® Aker Security Solutions
21
® Aker Security Solutions
22
® Aker Security Solutions
23
A aba “Eventos” facilita e oferece rapidez na visualização de eventos permitindo que o usuário
selecione os parâmetros de pesquisa para os eventos, podendo definir os campos: Data inicial, Data
final, Fluxo, Regra, Mostrar, Protocolo, Origem, Destino, Severidade e Página.
® Aker Security Solutions
24
Esta aba redireciona o usuário para uma ferramenta de monitoramento e gerenciamento do tráfego
de redes, que possui vários recursos como: exibição de informações detalhadas por meio de gráficos,
monitoramento, geração de relatórios para os protocolos TCP, UDP, ICMP, (R) ARP, IPX, DLC, Decnet,
Apple Talk, Netbios e TCP/UDP.
Principais recursos:









Separar o tráfego de rede de acordo com os protocolos;
Exibir o tráfego de rede e hosts IPv4/IPv6 ativos;
Gravar estatísticas de tráfego em um disco no formato RRD;
Exibição de hosts em gráfico geográfico;
Descobrir protocolos de aplicações utilizando o nDPI (Framework DPI do NTOP);
Caracterização do tráfego HTTP utilizando os serviços oferecidos pelo block.si;
Exibição do tráfego distribuído entre os vários protocolos;
Analise do tráfego de IP e ordenação de acordo com a origem e destino;
Exibição o tráfego de IPs da sub-rede da matriz;

Reportar o uso de protocolos IP separando-os por tipo de protocolo;
® Aker Security Solutions
25
Login e senha de acesso padrão:
 Login:admin
 Senha:admin
® Aker Security Solutions
26
Para mais informações acesse: http://www.ntop.org/products/ntop/
4 Relatórios
O menu “Relatórios” permite que o usuário crie relatórios customizados de acordo com sua
necessidade, selecionando filtros e definindo parâmetros. Além disso, por meio deste menu, o
usuário pode editar ou excluir relatórios existentes.
® Aker Security Solutions
27
Criando um novo relatório
Para cadastrar um novo relatório siga os passos exibidos a seguir:
 No menu “Relatórios” clique na opção
.
A janela a seguir será exibida:
A janela de cadastro de relatórios possui três abas, preencha os campos existentes nas abas
corretamente.
Nome do relatório: Neste campo deve-se inserir o nome desejado para o relatório em criação.
Tipo: Neste campo deve-se definir o tipo de relatório em criação, as opções disponíveis são:
Detalhado e Consolidado.
Descrição: Neste campo deve-se inserir uma descrição resumindo a função do relatório em criação.
Ao preencher os dados da janela acima clique em
.
Nesta aba o usuário deve selecionar quais tipos de filtros que serão exibidos em seu relatório,
definindo colunas, tamanho e modos de exibição para os mesmos.
® Aker Security Solutions
28
Ao completar a configuração das colunas clique em
.
Nesta aba o usuário pode selecionar parâmetros de filtros complementares, para o relatório em
questão:
Parâmetro de pesquisa: Neste campo o usuário pode selecionar um parâmetro especifico para que o
mesmo seja exibido no seu relatório.
® Aker Security Solutions
29
Operador: Neste campo o usuário deve selecionar o operador que será usado na filtragem, segue as
opções disponíveis:
No campo
Clique no botão
insira o valor a ser filtrado.
para concluir a inserção do parâmetro.
Ao preencher e configurar as abas acima corretamente, clique em
.
® Aker Security Solutions
30
Relatórios Padrão
Este submenu permite que o usuário selecione relatórios customizados para os tipos de eventos
exibidos a seguir:
Customização
Nesta janela o usuário pode definir a logo que será exibida nos relatórios emitidos pelo Aker IPS.
Preferências
Nesta janela o usuário pode definir os padrões que serão usados na exportação dos relatórios em
formato TXT.
® Aker Security Solutions
31
Logs do sistema
Nesta janela o usuário pode visualizar as ações que foram efetuadas no sistema do Aker IPS e os
usuários que as efetuaram:
5 Proteção
Este menu permite que o usuário defina as configurações de proteção do Aker IPS como: regras que
possuem as assinaturas de ataques a serem detectadas ou bloqueadas, portas, protocolos, ações,
etc., incluir novas regras, editar ou excluir regras existentes, importar regras pré-criadas, para um
® Aker Security Solutions
32
grupo específico, criação de grupos específicos de acordo com a necessidade de seu ambiente,
configurar o envio de alertas de e-mails, para quando regras específicas forem detectadas, e
atualização de regras do Aker IPS, definindo se a atualização será feita automaticamente ou manual.
A seguir mais informações sobre as opções deste menu:
Regras
Este submenu permite que o usuário configure, importe novas regras (regras que possuem as
assinaturas de ataques a serem detectadas ou bloqueadas, portas, protocolos, ações, etc.), crie
grupo de regras e configure a atualização do sistema.
A seguir mais detalhes sobre estas funcionalidades:
Listagem
Nesta janela o usuário pode visualizar as regras existente, incluir novas regras, editar ou excluir
alguma regra.
® Aker Security Solutions
33
Cadastrando uma nova Regra
Para cadastrar uma nova regra siga os passos exibidos a seguir:
 Na janela de regras clique em
janela abaixo:
Para adicionar Parâmetros clique no botão
, e preencha os campos exibidos na
.
® Aker Security Solutions
34
Grupo: Neste campo o usuário deve selecionar o grupo que esta regra irá pertencer;
SID: Neste campo é exibido o SID (identificação) da regra selecionada acima;
Revisão: Neste campo é exibido o número que define a versão desta regra, ou seja, a cada alteração
feita neste grupo, o mesmo receberá um novo número de revisão;
Ação: Neste campo o usuário deve definir a ação que será tomada por esta regra ao detectar algum
dos ataques especificados para a mesma. As opções disponíveis são:


registra os logs criando um evento;
bloqueia o pacote que conter alguma das assinaturas referida na
regra de filtragem e gera log.
Protocolo: Neste campo o usuário deve definir qual o protocolo que será usado por esta regra. As
opções disponíveis são:
® Aker Security Solutions
35




TCP
UDP
ICMP
IP
Origem: Neste campo o usuário deve definir a entidade de origem, ou seja, a origem do pacote para
esta regra.
Porta de Origem: Neste campo o usuário deve definir a porta de origem para esta regra.
Direção: Neste campo o usuário deve definir a direção do fluxo de dados. As opções disponíveis são:
-> = Para o servidor, ou seja, o pacote que está indo para o servidor;
<> = Ambas as direções, ou seja, o pacote que está indo e saindo do servidor.
<- = Do servidor, ou seja, o pacote que está saindo do servidor;
Destino: Neste campo o usuário deve definir a entidade de destino para esta regra.
Porta Destino: Neste campo o usuário deve definir a porta de destino para esta regra.
Mensagem: Neste campo o usuário pode inserir uma mensagem para a regra. Está mensagem será
exibida no alerta ou no bloqueio desta regra.
Regras pradrões do sistema não podem ser alteradas, pois desta forma o usuário pode
clonar a regra e então fazer suas alterações por meio do botão
.
Importar
Nesta janela o usuário pode importar regras pré-criadas, para um grupo específico.
® Aker Security Solutions
36
Grupo: Neste campo deve-se selecionar o grupo que receberá as regras importadas.
Arquivo: Neste campo o usuário deve localizar e carregar as regras (em arquivo texto com uma regra
por linha). Clique no botão
importadas.
para localizar o arquivo que contém as regras a serem
Importando regras
Para importar uma nova regra é necessário:
 Selecionar o grupo desejado;
 Carregar o arquivo que contém as regras a serem carregas;
 Clicar em
.
® Aker Security Solutions
37
Grupos
Nesta janela o usuário pode criar grupos de regras que facilitam o gerenciamento de regras de
filtragem do Aker IPS, permitindo a criação de grupos específicos de acordo com a necessidade de
seu ambiente.
Cadastrando um novo grupo de regras
Para inserir um novo grupo de regras siga os passos exibidos a seguir:
 Na janela de grupos clique em
, para que a janela a seguir seja exibida:
Nome: Neste campo o usuário deve inserir o nome desejado para a nova regra.
® Aker Security Solutions
38
Alertas por e-mail
Por meio desta janela o usuário pode configurar o envio de alertas de e-mails, para quando regras
específicas forem detectadas.
Caso não exista uma configuração de e-mail válida no sistema, é necessário que o
usuário defina as configurações de e-mail antes de definir as configurações dos
alertas de e-mail. Para mais informações sobre as configurações de e-mail veja o
capitulo 2.10 E-mail.
Ocorrências: Neste campo o usuário deve definir o número de ocorrências da regra para que o alerta
seja enviado, por exemplo, a cada duas ocorrências da (s) regra (s) em questão um alerta será
enviado;
Intervalo: Neste campo o usuário deve definir o intervalo entre a ocorrência da (s) regra (s) para que
um alerta seja enviado;
Enviar e-mails para: Neste campo o usuário deve inserir os e-mails que receberam os alertas.
Os e-mails cadastrados neste campo devem ser separados por vírgula como no
exemplo a seguir:
[email protected];[email protected];[email protected]
Alertar para as regras: Neste campo o usuário deve selecionar quais as regras que ao serem
detectadas geraram os alertas de e-mail.
® Aker Security Solutions
39
Atualização de regras
Por meio desta janela o usuário pode configurar a atualização de regras do Aker IPS, definindo se a
atualização será feita automaticamente ou manual. Caso automático, é necessário definir o horário e
a frequência que a atualização será feita.
O usuário pode atualizar o sistema a qualquer momento simplesmente clicando no
.
Atualizações automáticas: Neste campo o usuário deve definir se o sistema efetuará suas
atualizações de forma automática ou manual. Selecione “Sim” para que a atualização seja feita
automaticamente ou “Não” para que a atualização seja feita manualmente, por meio do botão
.
Repetir: Neste campo o usuário deve definir a frequência em que a atualização automática do
sistema será efetuada, a seguir as opções disponíveis:
Horário de execução: Neste campo o usuário deve definir o horário em que a atualização automática
será efetuada;
Políticas
Este submenu permite que o usuário crie, edite ou exclua modelos de configuração para ambientes
específicos, por exemplo, permitir que cada departamento de uma empresa possua políticas
distintas, ou seja, configurações de filtragem IPS distintas para cada setor:
® Aker Security Solutions
40
Cadastrando uma nova Política
Para cadastrar uma nova Política siga os passos exibidos a seguir:
 Dentro da janela de Cadastro de políticas clique em
.
A janela de cadastro de políticas será exibida. Esta janela possui duas abas: Geral e Regras.
Mais informações sobre estas abas a seguir:
Aba geral
Nesta aba o usuário deve selecionar/definir o nome da política em criação, seleciona os préprocessadores e os engines de detecção que serão usados pela mesma.
Nome da política: Neste campo o usuário deve definir o nome para a nova política.
® Aker Security Solutions
41
Pré-processadores:
Os pré-processadores são componentes/plug-ins que capturam os pacotes e efetuam análises
preparando-os para o engine de detecção, efetuando modificações ou organizando os pacotes.
Os pré-processadores também são utilizados para a desfragmentação de pacotes uma vez que uma
possível assinatura pode estar distribuída nos vários pacotes fragmentados.
Neste campo o usuário deve selecionar os Pré-processadores que serão usados por esta política.
Ao preencher/definir todos os campos clique em
.
A seguir as opções de pré-processadores disponíveis:
O pré-processador ARP decodifica pacotes ARP e detecta ataques ARP, solicitação ARP unicast, e
inconsistência de Ethernet para mapeamento de IP.
O principal objetivo deste pré-processador é fazer segmentação SMB e DCE/RPC com o objetivo de
prevenir evasão de regras usando estas técnicas.
O pré-processador DNP3 decodifica protocolos DNP3, e ainda fornece opções para acessar alguns
campos de protocolo.
O pré-processador DNS decodifica respostas DNS e pode detectar os seguintes tipos de exploração:
DNS Client RData Overflow, Obsolete Record Types, e Experimental Record Types.
Visualizações DNS no tráfego de respostas DNS sobre UDP e TCP requerem que o pré-processador
Stream esteja habilitado para decodificação TCP.
O pré-processador frag3 é um módulo de desfragmentação target-based IP, com técnicas anti evasão
e com rápida execução contendo menos complexidade no gerenciamento de dados.
Este pré-processador é uma melhoria do decodificador Telnet, ele tem a capacidade e fazer stateful
inspection tanto em FTP quando em streams de dados Telnet. Este pré-processador irá decodificar a
stream, identificar comandos e respostas FTP, sequencias de telnet e ainda normaliza o campo. Este
pré-processador funciona em solicitações do cliente e respostas do servidor.
O pré-processador GTP (GPRS Tunneling Protocol) é usado na comunicação de redes para estabelecer
um canal de comunicação entre GSNs (GPRS Serving Node). O pré-processador GTP oferece maneiras
de combater tentativas de intrusão as redes por meio de GTP, e facilita a detecção de novos ataques.
® Aker Security Solutions
42
O pré-processador HttpInspect é um decodificador HTTP generic para usuários de aplicações, com
um buffer de dados o pré-processador HTTP Inspect irá decodificar o buffer, encontrar campos HTTP,
e normalizar os campos. Este pré-processador funciona em solicitações de clientes e respostas do
servidor (client requests and server responses).
Este pré-processador é um decodificador IMAP4 para usuários de aplicações, com um buffer de
dados o pré-processador IMAP decodifica buffers e encontra comandos e respostas IMAP4. Ele
marca o comando, o data header, data body section e extrai anexos IMAP4 e os decodifica
apropriadamente.
O pré-processador Modbus é um módulo que decodifica protocolos Modbus.
Modbus é um protocolo usado em redes SCADA, caso sua rede não possua nenhum dispositivo com o
Modbus habilitados é recomendado que esse pré-processador permaneça desabilitado.
Este pré-processador é um decodificador POP3 para usuários de aplicações, ao receber um buffer de
dados o pré-processador POP decodifica buffers em busca de comandos e respostas, e marca o
comando, data header, sections data body, extrai anexos POP3 e os decodifica apropriadamente.
O propósito principal deste pré-processador é efetuar SMB desegmentation e DCE/RPC
defragmentation para evitar evasões de regras usando estas técnicas.
Este pré-processador foi desenvolvido para detectar a primeira fase de um ataque de rede: Reconnaissance (reconhecimento). Na faze de reconhecimento o atacante determina qual é o tipo de
protocolo de rede ou serviços que um host possui.
Este protocolo oferece maneiras de combater Vulnerabilidades e exposições comuns (CVE – Common
Vulnerailities and Exposures).
O pré-processador SMTP é um decodificador SMTP para usuários de aplicações, ao receber um buffer
de dados o pré-processador irá decodificar o buffer e encontrar comandos e respostas SMTP, e ainda
marcará o comando, data header, data body sections, e o TLS data.
Este pré-processador detecta os seguintes tipos de ataques: Challenge-Response Buffer Overflow,
CRC 32, Secure CRT, e o Protocol Mismatch exploit.
Este pré-processador decodifica tráfegos SSL e TLS, e determina se inspeções serão feitas nestes
tráfegos. SSL é usado na porta 443 como HTTPS.
® Aker Security Solutions
43
Este pré-processador é responsável pelo rastreamento de sessões TCP e UDP.
Engine de detecção
O Engine de detecção, analisa os dados nos pacotes recebidos pelo pré-processador, e verifica se
existe alguma atividade suspeita (intrusão) nos mesmos, utilizando regras que são lidas em
estruturas ou cadeia de dados internas, analisando todos os pacotes. Ao detectar alguma
informação no pacote que corresponde a alguma regra defina para este engine, uma ação definida
para este tipo de ação será efetuada, podendo ser, bloqueio ou alerta.
Neste campo o usuário deve selecionar os Engines de detecção que serão habilitados para esta
política, e definir os valores de seus parâmetros de configuração.
A seguir algumas configurações disponíveis no sistema:
Aba Regras
Nesta aba o usuário deve selecionar quais regras serão habilitadas para esta política, podendo
selecionar regras por Grupo, protocolo, ação e mensagem. E ainda exibir o número de regras que
estão definidas para Alertar ou Bloquear no Widget “Total de regras” localizado no lado direito da
tela.
® Aker Security Solutions
44
Grupo: Neste campo o usuário deve selecionar por qual grupo deseja filtrar as regras.
® Aker Security Solutions
45
Protocolo: Neste campo o usuário deve selecionar o protocolo que deseja filtrar as regras.
Ação: Neste campo o usuário deve selecionar a ação que deseja filtrar as regras.
Mensagem: Esta mensagem é usada para localizar as regras.
Nesta janela o usuário pode visualizar todas as regras existentes em sua política e por meio dos
botões abaixo definir uma ação para a regra desejada ou desativar a mesma.
® Aker Security Solutions
46
Lista de IPs
Neste submenu o usuário pode criar listas de IPs filtradas pelas políticas e regras do Aker IPS, por
exemplo, criar uma Blacklist contendo IPs os quais serão bloqueados diretamente (ou seja, pacotes
com origem, que contenha algum IP definido na Blacklist serão bloqueados, sem nenhum tipo de
análise), e/ou a criação de uma Whitelist contendo IPs os quais os pacotes passarão diretamente
sem nenhum tipo de bloqueio ou análise do Aker IPS, reduzindo falso-positivos.
Para criar uma nova lista de IPs siga os passos a seguir:
 Na janela a seguir insira um nome para sua lista e, no campo “Lista”, insira os
IPs;
 Na janela de “Lista de IPs” clique em <Salvar lista>.
® Aker Security Solutions
47
As listas de IPs devem ser definidas nos campos White_list e Black_list na aba
avançado na edição de Fluxo, para mais informações veja o tópico Fluxo.
Fluxo
Este submenu permite que o usuário configure fluxos que são configurações de detecção baseadas
nas regras (assinaturas), politicas, modos de operação, engines de configuração, variáveis, e outras
definições de filtragem, que coletaram, analisaram, armazenaram e responderam com ações
preventivas as atividades suspeitas. Por meio desta tela o usuário pode criar novos fluxos, editar,
excluir e visualizar o estado do fluxo, sendo este
ou
.
Cadastrando um novo Fluxo
Para cadastrar um novo Fluxo siga os passos exibidos na janela a seguir:
 Dentro da janela de “Cadastro de fluxo” clique em
.
A janela a seguir será exibida:
® Aker Security Solutions
48
Nesta aba o usuário deve definir os parâmetros de configuração para os campos a seguir:
Nome do Fluxo: Neste campo o usuário deve definir um nome para o novo fluxo.
Modo de operação: Neste campo o usuário deve selecionar qual modo de operação que será usado
pelo fluxo em criação, as opções disponíveis são:
® Aker Security Solutions
49
 IDS – Ao selecionar esta opção o fluxo irá detectar os ataques definidos
para este fluxo, mais não irá executar nenhuma ação de prevenção.
 IPS – Ao selecionar esta opção o fluxo irá detectar os ataques definidos para
este fluxo, e irá executar as ações definidas para o ataque em questão.
Estas ações são: Alertar e Registrar log ou, Bloquear e gerar log.
 IPS em modo aprendizado – Ao selecionar esta opção o fluxo irá funcionar
da mesma forma que o modo de operação anterior (IPS), mas não poderá
executar nenhuma ação de prevenção. Este modo informa ao usuário quais
pacotes poderiam ter sido bloqueados. Este modo é recomendado para
testes em ambientes para redução de falsos positivos.
DAQ: Neste campo o usuário deve escolher qual método de Data aquisition (DAQ) que será usado no
fluxo em questão. DAQ é o modo de aquisição de pacotes de rede usado pelo Aker IPS.
As opções disponíveis são:
 PF Ring: Esta opção é recomendada para redes com um grande tráfego. Ao
selecionar esta opção deve-se selecionar a quantidade de instâncias que serão
executadas para o fluxo, e definir o processador de cada instância.
 AFPacket: Esta opção é recomendada para redes que possuam um tráfego menor. Ao
selecionar esta opção deve-se definir o valor do Buffer do DAQ (em MB).
Interface de entrada: Neste campo o usuário deve selecionar a interface de entrada de sua
rede.
Interface de saída: Neste campo o usuário deve selecionar a interface de saída. Esta interface é
usada para executar as medidas de prevenção (Bloquear). Este campo fica disponível apenas para os
modos de operação IPS e IPS em modo aprendizado.
Políticas: Neste campo o usuário deve selecionar a política desejada para o fluxo em criação.
Alvo: Neste campo o usuário deve inserir o alvo, ou seja, a rede que será protegida ou um host
específico.
Syslogs remotos: Neste campo o usuário pode inserir um ou mais IPs para a transmissão de
mensagens de logs remotamente.
® Aker Security Solutions
50
Ativar Fluxo: Neste campo o usuário deve definir se este fluxo estará ativo
inativo
ou
.
Nesta aba o usuário pode definir os parâmetros de configuração para as variáveis do sistema. Por
meio desta janela o usuário pode criar suas próprias variáveis e adicionar whitelists e blacklists que
são listas de IPs definidas previamente na tela de listas de IPs.
® Aker Security Solutions
51
6 Sistema
O menu “Sistema” permite que o usuário defina as configurações dos Fluxos, políticas, e-mail, listas
de IPs, visualize logs de atividade de usuários no sistema, defina customização de relatórios,
configuração de interface de rede e licenciamento.
® Aker Security Solutions
52
A seguir mais informações sobre estas opções.
Atualizações
Esta opção permite que o usuário defina como a atualização do sistema do Aker IPS será feita, as
opções disponíveis são: Automática e manual.
A seguir mais detalhes sobre estas opções:
® Aker Security Solutions
53
Atualizações automáticas:
Agendar: Neste campo o usuário deve selecionar o período que a atualização será efetuada, as
opções disponíveis são:
Horário de execução: Neste campo o usuário deve definir o horário que a atualização automática
será executada.
Última atualização: Neste campo é exibido a hora/data em que a última atualização foi efetuada.
Enviar atualização manualmente: Esta opção permite que o usuário faça o upload da atualização
desejada manualmente.
Backup
Está opção permite que o usuário faça um backup das configurações do sistema em uso, que pode
ser usado posteriormente no processo de restauração, que será exibido no próximo tópico.
Para realizar o Backup das configurações do seu sistema clique em
.
O backup é feito apenas para a configuração, os eventos não serão salvos.
® Aker Security Solutions
54
Restaurar
Está opção permite que usuário restaure as configurações do Aker IPS, por meio de um backup
previamente realizado.
Este procedimento remove toda e qualquer informação contida nas configurações em uso,
salvando apenas as configurações carregadas pelo backup.
Configuração de Hora
Esta opção permite que o usuário configure os servidores NTP (Network Time Protocol), que são
usados para sincronizar a hora do servidor mantendo a mesma sempre exata.
Controle de acesso
Este submenu permite que o administrador configure os usuários, perfis e os tipos de autenticação
que serão usados.
® Aker Security Solutions
55
A seguir mais informações sobre as opções do submenu “Controle de acesso”.
Tipo de autenticação
Nesta janela o usuário deve selecionar qual o tipo de autenticação que será utilizada. As opções
disponíveis são:
 Não: Ao selecionar “Não” a autenticação será feita por meio de uma base local
(banco de dados do sistema).
 Sim: Ao selecionar “Sim” a autenticação será feita por meio de uma base LDAP.
Ao selecionar a opção “Sim” a janela de configuração dos parâmetros de configuração será exibida. A
seguir mais detalhes sobre os campos desta janela:
Perfis
Nesta janela o usuário pode visualizar todos os perfis usuários existentes no sistema, e também
editar, excluir e adicionar um novo perfil de usuário no sistema.
Usuários
® Aker Security Solutions
56
Nesta janela o usuário pode visualizar todos os usuários existentes no sistema e ainda editar, excluir
ou adicionar um novo usuário no sistema.
Cadastrando um novo usuário
Para cadastrar um novo usuário siga os passos a seguir:
 Na janela de usuários, clique em
exibida a seguir:
e preencha os campos da janela
Usuário: Neste campo deve-se inserir um nome para o novo usuário;
Perfil: Neste campo deve-se selecionar o perfil ao qual o novo usuário irá pertencer;
Login: Neste campo deve-se definir um nome que será usado para fazer o login no sistema;
Senha: Neste campo deve-se definir uma senha que será usada na autenticação do sistema.
Ao preencher todos os campos clique em
.
® Aker Security Solutions
57
E-mail
Nesta janela o usuário deve configurar o servidor de e-mail pelo o qual o Aker IPS deve enviar
mensagens, e também definir uma conta de e-mail que receberá notificações do Aker IPS.
Para definir as configurações de e-mail preencha os campos a seguir:
Servidor de e-mail: Neste campo deve-se inserir o endereço do servidor de e-mail que será usado
para enviar os e-mails do Aker IPS.
Porta: Neste campo deve-se inserir o número da porta a qual será usada para enviar os e-mails do
Aker IPS.
Autenticação: Neste campo define-se a autenticação do usuário que será solicitada ou não para
baixar o e-mail no servidor.
Método de Autenticação: Neste campo deve-se selecionar qual o método de autenticação que será
usado para que o usuário possa fazer o download do e-mail no servidor.
Usuário: Neste campo deve-se inserir o nome do usuário que receberá os e-mails do Aker IPS.
® Aker Security Solutions
58
Senha: Neste campo deve-se inserir a senha do usuário que receberá os e-mails do Aker IPS.
Enviar e-mails de: Neste campo deve-se inserir o e-mail que será usado para enviar os e-mails do
Aker IPS.
Enviar e-mails para: Neste campo deve-se inserir o e-mail que receberá os e-mails do Aker IPS.
Rotação de dados
Esta opção permite que o usuário defina as configurações de armazenamento de logs, definindo a
quantidade de dias que os eventos serão mantidos no banco de dados, e a quantidade máxima de
eventos que serão armazenados.
Manter eventos por quantos dias: Neste campo o usuário deve definir a quantidade de dias que os
eventos serão mantidos no banco de dados;
Armazenamento máximo de eventos em MB: Neste campo o usuário deve definir o tamanho
máximo em Mega Bytes que será usado do diretório de backup para armazenar os eventos;
Todos os eventos enviados para o diretório de backup serão salvos somente se
houver espaço disponível, ou seja, caso o banco de dados esteja cheio os novos
eventos enviados para o diretório de backup não serão salvos.
7 Ajuda
O menu “Ajuda” permite que o usuário tenha acesso ao manual do Aker IPS em dois cliques, e
também tire suas dúvidas e entre em debates no Fórum da Aker.
® Aker Security Solutions
59
Licenciamento
Após concluir a instalação e configuração da Interface de rede, entre com o IP definido para o Aker
IPS no seu navegador:
A tela de Login será exibida, então entre com a senha padrão.


Usuário padrão SSH: aker
Senha padrão SSH: 123456


Usuário padrão: admin
Senha padrão: 123456
No primeiro acesso a tela de licenciamento será exibida ao usuário. Siga os passos a seguir:
® Aker Security Solutions
60
Caso o usuário não possua uma licença, é necessário que o número da chave de hardware (R28CRVAT-IJ7G-WP41 no exemplo acima) seja copiado e encaminhado para licenç[email protected]
solicitando uma licença para o seu hardware ou IS/VM, ao receber a licença siga os passos a seguir
(ao enviar a solicitação o usuário receberá sua licença no período máximo de 24h).
Ao receber a licença clique em
para localizar sua licença. A janela a seguir será exibida, localize
o arquivo e clique em “Abrir”.
® Aker Security Solutions
61
Ao localizar o arquivo clique em
para carregar o arquivo ou em
para limpar a seleção e
selecionar outro arquivo. Ao carregar a licença suas informações serão exibidas como na imagem a
seguir:
Após verificar as informações de sua licença clique em
.
Esta janela permite que o usuário visualize as informações da licença em uso, lembrando que ao
carregar um nova licença as informações serão atualizadas exibindo as informações da nova licença
que foi carregada.
Após aplicar a licença, uma janela será exibida com as informações da licença aplicada. A opção
estará habilitada caso o usuário necessite alterar sua licença.
® Aker Security Solutions
62
Sobre
Esta opção exibe a versão atual do Aker IPS.
Gerenciamento da conta do usuário
Esta opção fica localizada no lado superior direito da tela, e por meio dela o usuário pode alterar sua
senha de acesso ou se desconectar do sistema.
® Aker Security Solutions
63
® Aker Security Solutions
64