Versão: 30/04/2015 ® Aker Security Solutions 1 Índice ÍNDICE ...................................................................................................................................................... 2 1. INTRODUÇÃO .................................................................................................................................. 5 IMPLEMENTAÇÃO DO AKER IPS........................................................................................................................ 8 LISTA DE ABREVIATURAS E SIGLAS ..................................................................................................................... 9 2. AKER IPS ........................................................................................................................................ 12 INSTALAÇÃO E REQUISITOS DO SISTEMA ........................................................................................................... 12 INSTALANDO O AKER IPS .............................................................................................................................. 12 PRIMEIRO ACESSO AO AKER IPS ..................................................................................................................... 16 3 DASHBOARD .................................................................................................................................. 20 ............................................................................................................................... 20 ..................................................................................................................................... 24 ................................................................................................................................... 25 4 RELATÓRIOS .................................................................................................................................. 27 CRIANDO UM NOVO RELATÓRIO ..................................................................................................................... 28 Relatórios Padrão .............................................................................................................................. 31 CUSTOMIZAÇÃO.......................................................................................................................................... 31 PREFERÊNCIAS ............................................................................................................................................ 31 LOGS DO SISTEMA ....................................................................................................................................... 32 5 PROTEÇÃO ..................................................................................................................................... 32 REGRAS..................................................................................................................................................... 33 LISTAGEM .................................................................................................................................................. 33 CADASTRANDO UMA NOVA REGRA ................................................................................................................. 34 IMPORTAR ................................................................................................................................................. 36 IMPORTANDO REGRAS .................................................................................................................................. 37 GRUPOS .................................................................................................................................................... 38 CADASTRANDO UM NOVO GRUPO DE REGRAS ................................................................................................... 38 ALERTAS POR E-MAIL ................................................................................................................................... 39 ATUALIZAÇÃO DE REGRAS ............................................................................................................................. 40 POLÍTICAS .................................................................................................................................................. 40 CADASTRANDO UMA NOVA POLÍTICA .............................................................................................................. 41 ABA GERAL ................................................................................................................................................ 41 PRÉ-PROCESSADORES:.................................................................................................................................. 42 ENGINE DE DETECÇÃO .................................................................................................................................. 44 ABA REGRAS .............................................................................................................................................. 44 LISTA DE IPS............................................................................................................................................... 47 FLUXO ...................................................................................................................................................... 48 CADASTRANDO UM NOVO FLUXO ................................................................................................................... 48 6 SISTEMA ........................................................................................................................................ 52 ATUALIZAÇÕES ........................................................................................................................................... 53 BACKUP .................................................................................................................................................... 54 RESTAURAR................................................................................................................................................ 55 CONFIGURAÇÃO DE HORA............................................................................................................................. 55 CONTROLE DE ACESSO .................................................................................................................................. 55 TIPO DE AUTENTICAÇÃO ............................................................................................................................... 56 PERFIS ...................................................................................................................................................... 56 USUÁRIOS ................................................................................................................................................. 56 CADASTRANDO UM NOVO USUÁRIO ................................................................................................................ 57 ® Aker Security Solutions 2 E-MAIL...................................................................................................................................................... 58 ROTAÇÃO DE DADOS .................................................................................................................................... 59 7 AJUDA ............................................................................................................................................ 59 LICENCIAMENTO ......................................................................................................................................... 60 SOBRE ...................................................................................................................................................... 63 GERENCIAMENTO DA CONTA DO USUÁRIO ........................................................................................................ 63 ® Aker Security Solutions 3 ® Aker Security Solutions 4 Seja bem-vindo ao manual do usuário do Aker IPS. Nos próximos capítulos, você aprenderá como configurar essa poderosa ferramenta de detecção e prevenção de intrusões. Esta introdução tem como objetivo descrever a organização deste manual, tornando sua leitura a mais simples e agradável possível. Como está disposto este manual Este manual é organizado em vários capítulos. Cada um deles mostra determinado aspecto da configuração do produto e informações relevantes sobre o tópico. Todos os capítulos começam com uma introdução teórica a respeito do tema a ser tratado, seguida dos aspectos específicos de configuração do Aker IPS. Juntamente com essa introdução teórica, alguns módulos possuem exemplos práticos do uso do serviço a ser configurado, em situações hipotéticas, porém, bastante próximas da realidade. Recomendamos que este manual seja lido, pelo menos uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte de referência. Para facilitar a consulta, os capítulos estão divididos em tópicos, com acesso imediato pelo índice principal. Dessa forma, pode-se achar facilmente a informação desejada. No decorrer deste manual, aparecerá o símbolo seguido de uma frase escrita em letras vermelhas. Isso sinaliza que tal observação é muito importante e deve ser totalmente entendida antes que se prossiga com a leitura do capítulo. IDS (Intrusion Detection System), Sistema de Detecção de Intrusos ou Sistema de Detecção de Intrusão refere-se aos meios técnicos de descobrir, em uma rede, acessos não autorizados, que podem indicar a ação de um cracker ou até mesmo de colaboradores mal-intencionados. Com o acentuado crescimento das tecnologias de infraestrutura, tanto nos serviços quanto nos protocolos de rede, torna-se cada vez mais difícil a implantação de Sistemas de Detecção de Intrusos. Esse fato está intimamente ligado não apenas à velocidade com que as tecnologias avançam, mas principalmente à complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados. ® Aker Security Solutions 5 Uma solução bastante discutida é a utilização do host-based IDS, que analisa o tráfego de forma individual em uma rede. No host-based, o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina. IDSs baseadas em rede, ou network-based, monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo. Tal ciframento pode ser aplicado no cabeçalho do pacote, na área de dados do pacote ou até mesmo no pacote inteiro, impedindo e/ou dificultando o entendimento dos dados por entidades que não sejam o seu real destinatário. Exemplificando, o SSL (Secure Socket Layer) é executado entre a camada de transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes. Sistemas IDS não terão como identificar através do conteúdo dos pacotes ataques para terminar as conexões ou até mesmo interagir com um firewall. Outro exemplo é a implementação do IPSec, que é uma extensão do protocolo IP, bastante utilizada em soluções de VPN. Existem dois modos de funcionamento, o modo transporte e o modo túnel, descritos na RFC2401 de Kent, Atkinson (1998). No modo de transporte, o IPSec é similar ao SSL, protegendo ou autenticando somente a área de dados do pacote IP. Já no modo túnel, o pacote IP inteiro é criptografado e encapsulado. Como pode ser notado no modo transporte, um IDS pode verificar somente o cabeçalho do pacote; enquanto o modo túnel, nem o cabeçalho, nem a área de dados. A implementação de IDSs em redes comutadas (no caso baseadas em switching) permite a comunicação direta, não compartilhada entre dois dispositivos. Essa característica introduz algumas dificuldades na implementação de IDSs se comparada às redes com transmissão por difusão. Como nesse tipo de rede os dados trafegam diretamente para seus destinos (sem a difusão), tornamse necessárias, na implantação de IDSs, algumas soluções específicas. O uso de Port Span consiste na utilização de switches com IDSs embutidos. A decisão de sua utilização deve ser discutida antes da compra dos concentradores de rede (switches). O uso de Splitting Wire e Optical Tap é uma solução que consiste em colocar uma "escuta" posicionada entre um switch e o equipamento de rede que se deseja monitorar. Um meio bastante barato de se fazer isso (Ethernet e Fast Ethernet) é a colocação de um concentrador de rede por difusão (hub) na conexão a ser vistoriada. No caso de fibras ópticas, basta adicionar um dispositivo chamado Optical Tap. ® Aker Security Solutions 6 O uso de Port Mirror consiste em fazer no switch o espelhamento do tráfego de uma única porta a outra usada para o monitoramento. Esse método é semelhante ao Wire Tap, porém é implantado no próprio switch. A evolução tecnológica tem também permitido que um maior número de redes possua altas velocidades de transmissão de dados. Sob o ponto de vista da implantação de IDS, isso se torna bastante delicado, já que traz questões importantes para a manutenção da infraestrutura de redes. Exemplo: os softwares IDS conseguirão analisar toda a grande quantidade de dados que trafegam na rede? O hardware de monitoramento suportará tamanho tráfego? Os IDSs não irão prejudicar a performance da rede se tornando um gargalo? Essas e outras questões têm sido muito discutidas, gerando uma série soluções para contornar tais problemas. Destacando-se: Aumento do poder de processamento dos equipamentos; Monitoramento utilizando-se target IDSs definidas pelo administrador; Direcionamento de tráfego, Toplayer; Recursos de filtragem dos IDSs; Segregação de IDS por serviço (IDS especialista). IPSs (Intrusion Prevention System) ou Sistemas de Prevenção de Intrusões evoluíram no final dos anos 1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção em linha. A princípio, o IPS era apenas um Sistema de Detecção de Intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo, foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall não bastava: ainda era possível que, ao menos aquele pacote malicioso, trafegasse na rede. A solução era implementar formas inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPSs utilizem regras baseadas em portas e endereço IP. O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as funções de host. ® Aker Security Solutions 7 A vantagem de um Sistema de Prevenção de Intrusos está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativo baixa. Todos os dias, empresas são ameaçadas por milhares de ataques cibernéticos, que, muitas vezes, resultam em falhas de segurança críticas e geram bilhões de reais de prejuízo, além de poderem causar grandes danos à imagem dessas corporações. Ambientes tecnológicos estão constantemente sob ataque, independentemente do tamanho da empresa que os mantêm. Devido ao crescimento contínuo das ameaças cibernéticas, que tem alcançado proporções epidêmicas; o aumento da complexidade dos métodos de proteção contra esses ataques e a luta das empresas para manter sua rede segura, a Aker desenvolveu o Aker IPS, uma solução completa de detecção e prevenção de intrusões que irá ajudar a proteger a integridade de sua rede computacional contra as ameaças cibernéticas. O Aker IPS é uma solução integrada de Segurança da Informação em software do tipo IDS/IPS e Filtro de Aplicações. Possui a capacidade de se integrar a um único dispositivo e efetuar inspeções de tráfego de modo passivo e/ou ativo, além de fazer filtragem de aplicações. O Aker IPS permite que o usuário detecte, identifique e execute ações preventivas em relação às ameaças cibernéticas, antes que estas possam causar danos à empresa (exploração de falhas de segurança, violação de dados confidenciais, etc.). A seguir o gráfico da arquitetura do Aker IPS: Implementação do Aker IPS O Aker IPS pode ser implementado em diversas posições estratégicas na rede, a imagem a seguir exibe alguns exemplos: Cabe ressaltar em relação ao posicionamento do Aker IPS que: ® Aker Security Solutions 8 Posicionando o mesmo antes do Firewall, irá detectar possíveis ataques; Posicionando o mesmo após o Firewall, a detecção será baseada em intrusões, ou erros de usuários internos. Aker IPS 1 – Neste modelo de implementação o Aker IPS irá detectar externos, funcionando no próprio firewall; Aker IPS 2 – Neste modelo de implementação o Aker IPS irá detectar que conseguiram passar pelo Firewall e tem a DMZ 1 como alvo; Aker IPS 3 – Neste modelo de implementação o Aker IPS irá detectar que conseguiram passar pelo Firewall e tem a DMZ 2 como alvo; Aker IPS 4 – Neste modelo de implementação o Aker IPS irá detectar internos e externos direcionados a rede interna. ataques ataques ataques ataques Lista de abreviaturas e siglas DMZ – DeMilitarized Zone HD – Hard Disk HTTP – Hyper Text Transfer Protocol ICMP – Internet Control Message Protocol IDS – Intrusion Detection System IMAP – Internet Message Access Protocol IP – Internet Protocol IPS – Intrusion Prevention System ® Aker Security Solutions 9 IPSEC– IP Security Protocol IPX – Internetwork Packet Exchange ISP – Internet Service Provider LAN – Local Area Network POP – Point Of Presence RPC – Remote procedure Call SIP – Session Initiation Protocol SMTP – Simple Mail Transfer Protocol SNMP – Simple Network Management Protocol SPX – Sequenced Packet Exchange SQL – Structured Query Language SO – Sistema Operacional TCP – Transmission Control Protocol URL – Uniform Resource Locator VPN – Virtual Private Network ® Aker Security Solutions 10 ® Aker Security Solutions 11 Neste capítulo, iremos abordar de uma forma detalhada a instalação, configuração, menus, e funcionalidades do Aker IPS. Instalação e requisitos do sistema Aker IPS pode ser adquirido na forma de appliance ou IS/VM. Para que o Aker IPS funcione de maneira satisfatória, é necessário que o mesmo possua as seguintes configurações: Aker IPS Box: Mínimo para throughput aproximado de 40 Mb/s HD: 160 GB RAM: 4 GB Processador: 2 núcleos de 1.6 GHz (Intel® D-510 CPU 1.6GHz) Mínimo para throughput aproximado de 700 Mb/s. HD: 160 GB RAM: 8 GB Processador: 4 núcleos de 3 GHz (Intel® Core™ i3-2120 Processor) VM: Mínimo de 8 GB de memória RAM; Mínimo de 20 GB de espaço em disco disponível; A seguir a instalação do Aker IPS em uma IS/VM. Instalando o Aker IPS A seguir uma visão geral do procedimento de instalação do Aker IPS. Siga os passos descritos a seguir para instalar o Aker IPS: 1. Ao iniciar a instalação do Aker IPS, um menu de boot será exibido, selecione a opção “Instalar o Aker IPS Appliance (amd64), e pressione a tecla “Enter”: ® Aker Security Solutions 12 2. Em seguida é necessário informar em qual HD o Aker IPS será instalado. Digite o nome do HD e pressione a tecla “Enter”. 3. A instalação será iniciada, aguarde até que os arquivos sejam instalados e o sistema seja reiniciado. ® Aker Security Solutions 13 4. Ao iniciar, o Aker IPS oferece duas opções para o usuário sendo, a inicialização normal e a inicialização em modo de recuperação. Selecione a opção desejada e pressione a tecla “Enter”. 5. A seguir seja solicitado a informações para o login no sistema, entre com o nome e senha de usuário e pressione a tecla “Enter”. ® Aker Security Solutions 14 A seguir as informações de acesso padrão do Aker IPS: Usuário: aker Senha: 123456 É recomendado que estas informações sejam alteradas no primeiro login, para isso use os comandos descritos a seguir: Alteração das informações de acesso para a interface de texto (SSH ou console): Para alterar a senha de login use o comando: passwd Para alterar a senha de “root” use o comando: sudo passwd root E caso deseja alterar o nome de usuário entre use o comando: chfn Alteração das informações de acesso para a interface web. ® Aker Security Solutions 15 Para alterar a senha de acesso da interface web, clique sobre o nome do usuário (localizado na parte superior direita da tela) em questão e selecione a opção “Alterar senha” A janela a seguir será exibida, preencha os campos solicitados e clique em “Salvar”. As informações de acesso da interface de texto (console ou SSH) e Interface web são distintas, ou seja, ao alterar as informações da Interface de Texto não alterará as informações de acesso da Interface Web. Primeiro acesso ao Aker IPS Após concluir a instalação, entre com o IP definido para o Aker IPS no seu navegador, para visualizar este IP entre com o comando “ifconfig” via console: A tela de Login será exibida entre com a senha padrão: Usuário padrão SSH: aker Senha padrão SSH: 123456 Usuário padrão: admin Senha padrão: 123456 ® Aker Security Solutions 16 No primeiro acesso, a tela de licenciamento será exibida ao usuário, siga os passos a seguir: Caso o usuário não possua uma licença, é necessário que o número da chave de hardware (R28CRVAT-IJ7G-WP41 no exemplo acima) seja copiado e encaminhado para [email protected] solicitando uma licença para o seu hardware ou IS/VM, ao receber a licença siga os passos a seguir (ao enviar a solicitação o usuário receberá sua licença no período máximo de 24h). Ao receber a licença clique em o arquivo e clique em “Abrir”. para localizar sua licença. A janela a seguir será exibida, localize ® Aker Security Solutions 17 Ao localizar o arquivo clique em para carregar o arquivo ou em para limpar a seleção e selecionar outro arquivo. Ao carregar a licença suas informações serão exibidas como na imagem a seguir: ® Aker Security Solutions 18 Após verificar as informações de sua licença clique em . Esta janela permite que o usuário visualize as informações de usa licença em uso, lembrando que ao carregar um nova licença as informações serão atualizadas exibindo somente as informações da nova licença que foi carregada. Após aplicar a licença, uma janela será exibida com as informações da licença aplicada serão exibidas, a opção estará habilitada caso o usuário necessite alterar sua licença. ® Aker Security Solutions 19 3 Dashboard O Dashboard do Aker IPS foi projetado para oferecer maior transparência e facilidade no gerenciamento de incidentes de sua rede. O Dashboard possui três abas, que serão abordadas nas páginas descritas a seguir: A aba Dashboard oferece transparência e facilidade no controle de dados para os gestores do Aker IPS, permitindo que os mesmos possam configurar os Widgets de acordo com a necessidade de sua empresa/ambiente, resumindo os dados mais importantes e exibindo-os nas mais diversas opções de gráficos disponíveis. ® Aker Security Solutions 20 A seguir, as listas de Widgets disponíveis e alguns modelos: ® Aker Security Solutions 21 ® Aker Security Solutions 22 ® Aker Security Solutions 23 A aba “Eventos” facilita e oferece rapidez na visualização de eventos permitindo que o usuário selecione os parâmetros de pesquisa para os eventos, podendo definir os campos: Data inicial, Data final, Fluxo, Regra, Mostrar, Protocolo, Origem, Destino, Severidade e Página. ® Aker Security Solutions 24 Esta aba redireciona o usuário para uma ferramenta de monitoramento e gerenciamento do tráfego de redes, que possui vários recursos como: exibição de informações detalhadas por meio de gráficos, monitoramento, geração de relatórios para os protocolos TCP, UDP, ICMP, (R) ARP, IPX, DLC, Decnet, Apple Talk, Netbios e TCP/UDP. Principais recursos: Separar o tráfego de rede de acordo com os protocolos; Exibir o tráfego de rede e hosts IPv4/IPv6 ativos; Gravar estatísticas de tráfego em um disco no formato RRD; Exibição de hosts em gráfico geográfico; Descobrir protocolos de aplicações utilizando o nDPI (Framework DPI do NTOP); Caracterização do tráfego HTTP utilizando os serviços oferecidos pelo block.si; Exibição do tráfego distribuído entre os vários protocolos; Analise do tráfego de IP e ordenação de acordo com a origem e destino; Exibição o tráfego de IPs da sub-rede da matriz; Reportar o uso de protocolos IP separando-os por tipo de protocolo; ® Aker Security Solutions 25 Login e senha de acesso padrão: Login:admin Senha:admin ® Aker Security Solutions 26 Para mais informações acesse: http://www.ntop.org/products/ntop/ 4 Relatórios O menu “Relatórios” permite que o usuário crie relatórios customizados de acordo com sua necessidade, selecionando filtros e definindo parâmetros. Além disso, por meio deste menu, o usuário pode editar ou excluir relatórios existentes. ® Aker Security Solutions 27 Criando um novo relatório Para cadastrar um novo relatório siga os passos exibidos a seguir: No menu “Relatórios” clique na opção . A janela a seguir será exibida: A janela de cadastro de relatórios possui três abas, preencha os campos existentes nas abas corretamente. Nome do relatório: Neste campo deve-se inserir o nome desejado para o relatório em criação. Tipo: Neste campo deve-se definir o tipo de relatório em criação, as opções disponíveis são: Detalhado e Consolidado. Descrição: Neste campo deve-se inserir uma descrição resumindo a função do relatório em criação. Ao preencher os dados da janela acima clique em . Nesta aba o usuário deve selecionar quais tipos de filtros que serão exibidos em seu relatório, definindo colunas, tamanho e modos de exibição para os mesmos. ® Aker Security Solutions 28 Ao completar a configuração das colunas clique em . Nesta aba o usuário pode selecionar parâmetros de filtros complementares, para o relatório em questão: Parâmetro de pesquisa: Neste campo o usuário pode selecionar um parâmetro especifico para que o mesmo seja exibido no seu relatório. ® Aker Security Solutions 29 Operador: Neste campo o usuário deve selecionar o operador que será usado na filtragem, segue as opções disponíveis: No campo Clique no botão insira o valor a ser filtrado. para concluir a inserção do parâmetro. Ao preencher e configurar as abas acima corretamente, clique em . ® Aker Security Solutions 30 Relatórios Padrão Este submenu permite que o usuário selecione relatórios customizados para os tipos de eventos exibidos a seguir: Customização Nesta janela o usuário pode definir a logo que será exibida nos relatórios emitidos pelo Aker IPS. Preferências Nesta janela o usuário pode definir os padrões que serão usados na exportação dos relatórios em formato TXT. ® Aker Security Solutions 31 Logs do sistema Nesta janela o usuário pode visualizar as ações que foram efetuadas no sistema do Aker IPS e os usuários que as efetuaram: 5 Proteção Este menu permite que o usuário defina as configurações de proteção do Aker IPS como: regras que possuem as assinaturas de ataques a serem detectadas ou bloqueadas, portas, protocolos, ações, etc., incluir novas regras, editar ou excluir regras existentes, importar regras pré-criadas, para um ® Aker Security Solutions 32 grupo específico, criação de grupos específicos de acordo com a necessidade de seu ambiente, configurar o envio de alertas de e-mails, para quando regras específicas forem detectadas, e atualização de regras do Aker IPS, definindo se a atualização será feita automaticamente ou manual. A seguir mais informações sobre as opções deste menu: Regras Este submenu permite que o usuário configure, importe novas regras (regras que possuem as assinaturas de ataques a serem detectadas ou bloqueadas, portas, protocolos, ações, etc.), crie grupo de regras e configure a atualização do sistema. A seguir mais detalhes sobre estas funcionalidades: Listagem Nesta janela o usuário pode visualizar as regras existente, incluir novas regras, editar ou excluir alguma regra. ® Aker Security Solutions 33 Cadastrando uma nova Regra Para cadastrar uma nova regra siga os passos exibidos a seguir: Na janela de regras clique em janela abaixo: Para adicionar Parâmetros clique no botão , e preencha os campos exibidos na . ® Aker Security Solutions 34 Grupo: Neste campo o usuário deve selecionar o grupo que esta regra irá pertencer; SID: Neste campo é exibido o SID (identificação) da regra selecionada acima; Revisão: Neste campo é exibido o número que define a versão desta regra, ou seja, a cada alteração feita neste grupo, o mesmo receberá um novo número de revisão; Ação: Neste campo o usuário deve definir a ação que será tomada por esta regra ao detectar algum dos ataques especificados para a mesma. As opções disponíveis são: registra os logs criando um evento; bloqueia o pacote que conter alguma das assinaturas referida na regra de filtragem e gera log. Protocolo: Neste campo o usuário deve definir qual o protocolo que será usado por esta regra. As opções disponíveis são: ® Aker Security Solutions 35 TCP UDP ICMP IP Origem: Neste campo o usuário deve definir a entidade de origem, ou seja, a origem do pacote para esta regra. Porta de Origem: Neste campo o usuário deve definir a porta de origem para esta regra. Direção: Neste campo o usuário deve definir a direção do fluxo de dados. As opções disponíveis são: -> = Para o servidor, ou seja, o pacote que está indo para o servidor; <> = Ambas as direções, ou seja, o pacote que está indo e saindo do servidor. <- = Do servidor, ou seja, o pacote que está saindo do servidor; Destino: Neste campo o usuário deve definir a entidade de destino para esta regra. Porta Destino: Neste campo o usuário deve definir a porta de destino para esta regra. Mensagem: Neste campo o usuário pode inserir uma mensagem para a regra. Está mensagem será exibida no alerta ou no bloqueio desta regra. Regras pradrões do sistema não podem ser alteradas, pois desta forma o usuário pode clonar a regra e então fazer suas alterações por meio do botão . Importar Nesta janela o usuário pode importar regras pré-criadas, para um grupo específico. ® Aker Security Solutions 36 Grupo: Neste campo deve-se selecionar o grupo que receberá as regras importadas. Arquivo: Neste campo o usuário deve localizar e carregar as regras (em arquivo texto com uma regra por linha). Clique no botão importadas. para localizar o arquivo que contém as regras a serem Importando regras Para importar uma nova regra é necessário: Selecionar o grupo desejado; Carregar o arquivo que contém as regras a serem carregas; Clicar em . ® Aker Security Solutions 37 Grupos Nesta janela o usuário pode criar grupos de regras que facilitam o gerenciamento de regras de filtragem do Aker IPS, permitindo a criação de grupos específicos de acordo com a necessidade de seu ambiente. Cadastrando um novo grupo de regras Para inserir um novo grupo de regras siga os passos exibidos a seguir: Na janela de grupos clique em , para que a janela a seguir seja exibida: Nome: Neste campo o usuário deve inserir o nome desejado para a nova regra. ® Aker Security Solutions 38 Alertas por e-mail Por meio desta janela o usuário pode configurar o envio de alertas de e-mails, para quando regras específicas forem detectadas. Caso não exista uma configuração de e-mail válida no sistema, é necessário que o usuário defina as configurações de e-mail antes de definir as configurações dos alertas de e-mail. Para mais informações sobre as configurações de e-mail veja o capitulo 2.10 E-mail. Ocorrências: Neste campo o usuário deve definir o número de ocorrências da regra para que o alerta seja enviado, por exemplo, a cada duas ocorrências da (s) regra (s) em questão um alerta será enviado; Intervalo: Neste campo o usuário deve definir o intervalo entre a ocorrência da (s) regra (s) para que um alerta seja enviado; Enviar e-mails para: Neste campo o usuário deve inserir os e-mails que receberam os alertas. Os e-mails cadastrados neste campo devem ser separados por vírgula como no exemplo a seguir: [email protected];[email protected];[email protected] Alertar para as regras: Neste campo o usuário deve selecionar quais as regras que ao serem detectadas geraram os alertas de e-mail. ® Aker Security Solutions 39 Atualização de regras Por meio desta janela o usuário pode configurar a atualização de regras do Aker IPS, definindo se a atualização será feita automaticamente ou manual. Caso automático, é necessário definir o horário e a frequência que a atualização será feita. O usuário pode atualizar o sistema a qualquer momento simplesmente clicando no . Atualizações automáticas: Neste campo o usuário deve definir se o sistema efetuará suas atualizações de forma automática ou manual. Selecione “Sim” para que a atualização seja feita automaticamente ou “Não” para que a atualização seja feita manualmente, por meio do botão . Repetir: Neste campo o usuário deve definir a frequência em que a atualização automática do sistema será efetuada, a seguir as opções disponíveis: Horário de execução: Neste campo o usuário deve definir o horário em que a atualização automática será efetuada; Políticas Este submenu permite que o usuário crie, edite ou exclua modelos de configuração para ambientes específicos, por exemplo, permitir que cada departamento de uma empresa possua políticas distintas, ou seja, configurações de filtragem IPS distintas para cada setor: ® Aker Security Solutions 40 Cadastrando uma nova Política Para cadastrar uma nova Política siga os passos exibidos a seguir: Dentro da janela de Cadastro de políticas clique em . A janela de cadastro de políticas será exibida. Esta janela possui duas abas: Geral e Regras. Mais informações sobre estas abas a seguir: Aba geral Nesta aba o usuário deve selecionar/definir o nome da política em criação, seleciona os préprocessadores e os engines de detecção que serão usados pela mesma. Nome da política: Neste campo o usuário deve definir o nome para a nova política. ® Aker Security Solutions 41 Pré-processadores: Os pré-processadores são componentes/plug-ins que capturam os pacotes e efetuam análises preparando-os para o engine de detecção, efetuando modificações ou organizando os pacotes. Os pré-processadores também são utilizados para a desfragmentação de pacotes uma vez que uma possível assinatura pode estar distribuída nos vários pacotes fragmentados. Neste campo o usuário deve selecionar os Pré-processadores que serão usados por esta política. Ao preencher/definir todos os campos clique em . A seguir as opções de pré-processadores disponíveis: O pré-processador ARP decodifica pacotes ARP e detecta ataques ARP, solicitação ARP unicast, e inconsistência de Ethernet para mapeamento de IP. O principal objetivo deste pré-processador é fazer segmentação SMB e DCE/RPC com o objetivo de prevenir evasão de regras usando estas técnicas. O pré-processador DNP3 decodifica protocolos DNP3, e ainda fornece opções para acessar alguns campos de protocolo. O pré-processador DNS decodifica respostas DNS e pode detectar os seguintes tipos de exploração: DNS Client RData Overflow, Obsolete Record Types, e Experimental Record Types. Visualizações DNS no tráfego de respostas DNS sobre UDP e TCP requerem que o pré-processador Stream esteja habilitado para decodificação TCP. O pré-processador frag3 é um módulo de desfragmentação target-based IP, com técnicas anti evasão e com rápida execução contendo menos complexidade no gerenciamento de dados. Este pré-processador é uma melhoria do decodificador Telnet, ele tem a capacidade e fazer stateful inspection tanto em FTP quando em streams de dados Telnet. Este pré-processador irá decodificar a stream, identificar comandos e respostas FTP, sequencias de telnet e ainda normaliza o campo. Este pré-processador funciona em solicitações do cliente e respostas do servidor. O pré-processador GTP (GPRS Tunneling Protocol) é usado na comunicação de redes para estabelecer um canal de comunicação entre GSNs (GPRS Serving Node). O pré-processador GTP oferece maneiras de combater tentativas de intrusão as redes por meio de GTP, e facilita a detecção de novos ataques. ® Aker Security Solutions 42 O pré-processador HttpInspect é um decodificador HTTP generic para usuários de aplicações, com um buffer de dados o pré-processador HTTP Inspect irá decodificar o buffer, encontrar campos HTTP, e normalizar os campos. Este pré-processador funciona em solicitações de clientes e respostas do servidor (client requests and server responses). Este pré-processador é um decodificador IMAP4 para usuários de aplicações, com um buffer de dados o pré-processador IMAP decodifica buffers e encontra comandos e respostas IMAP4. Ele marca o comando, o data header, data body section e extrai anexos IMAP4 e os decodifica apropriadamente. O pré-processador Modbus é um módulo que decodifica protocolos Modbus. Modbus é um protocolo usado em redes SCADA, caso sua rede não possua nenhum dispositivo com o Modbus habilitados é recomendado que esse pré-processador permaneça desabilitado. Este pré-processador é um decodificador POP3 para usuários de aplicações, ao receber um buffer de dados o pré-processador POP decodifica buffers em busca de comandos e respostas, e marca o comando, data header, sections data body, extrai anexos POP3 e os decodifica apropriadamente. O propósito principal deste pré-processador é efetuar SMB desegmentation e DCE/RPC defragmentation para evitar evasões de regras usando estas técnicas. Este pré-processador foi desenvolvido para detectar a primeira fase de um ataque de rede: Reconnaissance (reconhecimento). Na faze de reconhecimento o atacante determina qual é o tipo de protocolo de rede ou serviços que um host possui. Este protocolo oferece maneiras de combater Vulnerabilidades e exposições comuns (CVE – Common Vulnerailities and Exposures). O pré-processador SMTP é um decodificador SMTP para usuários de aplicações, ao receber um buffer de dados o pré-processador irá decodificar o buffer e encontrar comandos e respostas SMTP, e ainda marcará o comando, data header, data body sections, e o TLS data. Este pré-processador detecta os seguintes tipos de ataques: Challenge-Response Buffer Overflow, CRC 32, Secure CRT, e o Protocol Mismatch exploit. Este pré-processador decodifica tráfegos SSL e TLS, e determina se inspeções serão feitas nestes tráfegos. SSL é usado na porta 443 como HTTPS. ® Aker Security Solutions 43 Este pré-processador é responsável pelo rastreamento de sessões TCP e UDP. Engine de detecção O Engine de detecção, analisa os dados nos pacotes recebidos pelo pré-processador, e verifica se existe alguma atividade suspeita (intrusão) nos mesmos, utilizando regras que são lidas em estruturas ou cadeia de dados internas, analisando todos os pacotes. Ao detectar alguma informação no pacote que corresponde a alguma regra defina para este engine, uma ação definida para este tipo de ação será efetuada, podendo ser, bloqueio ou alerta. Neste campo o usuário deve selecionar os Engines de detecção que serão habilitados para esta política, e definir os valores de seus parâmetros de configuração. A seguir algumas configurações disponíveis no sistema: Aba Regras Nesta aba o usuário deve selecionar quais regras serão habilitadas para esta política, podendo selecionar regras por Grupo, protocolo, ação e mensagem. E ainda exibir o número de regras que estão definidas para Alertar ou Bloquear no Widget “Total de regras” localizado no lado direito da tela. ® Aker Security Solutions 44 Grupo: Neste campo o usuário deve selecionar por qual grupo deseja filtrar as regras. ® Aker Security Solutions 45 Protocolo: Neste campo o usuário deve selecionar o protocolo que deseja filtrar as regras. Ação: Neste campo o usuário deve selecionar a ação que deseja filtrar as regras. Mensagem: Esta mensagem é usada para localizar as regras. Nesta janela o usuário pode visualizar todas as regras existentes em sua política e por meio dos botões abaixo definir uma ação para a regra desejada ou desativar a mesma. ® Aker Security Solutions 46 Lista de IPs Neste submenu o usuário pode criar listas de IPs filtradas pelas políticas e regras do Aker IPS, por exemplo, criar uma Blacklist contendo IPs os quais serão bloqueados diretamente (ou seja, pacotes com origem, que contenha algum IP definido na Blacklist serão bloqueados, sem nenhum tipo de análise), e/ou a criação de uma Whitelist contendo IPs os quais os pacotes passarão diretamente sem nenhum tipo de bloqueio ou análise do Aker IPS, reduzindo falso-positivos. Para criar uma nova lista de IPs siga os passos a seguir: Na janela a seguir insira um nome para sua lista e, no campo “Lista”, insira os IPs; Na janela de “Lista de IPs” clique em <Salvar lista>. ® Aker Security Solutions 47 As listas de IPs devem ser definidas nos campos White_list e Black_list na aba avançado na edição de Fluxo, para mais informações veja o tópico Fluxo. Fluxo Este submenu permite que o usuário configure fluxos que são configurações de detecção baseadas nas regras (assinaturas), politicas, modos de operação, engines de configuração, variáveis, e outras definições de filtragem, que coletaram, analisaram, armazenaram e responderam com ações preventivas as atividades suspeitas. Por meio desta tela o usuário pode criar novos fluxos, editar, excluir e visualizar o estado do fluxo, sendo este ou . Cadastrando um novo Fluxo Para cadastrar um novo Fluxo siga os passos exibidos na janela a seguir: Dentro da janela de “Cadastro de fluxo” clique em . A janela a seguir será exibida: ® Aker Security Solutions 48 Nesta aba o usuário deve definir os parâmetros de configuração para os campos a seguir: Nome do Fluxo: Neste campo o usuário deve definir um nome para o novo fluxo. Modo de operação: Neste campo o usuário deve selecionar qual modo de operação que será usado pelo fluxo em criação, as opções disponíveis são: ® Aker Security Solutions 49 IDS – Ao selecionar esta opção o fluxo irá detectar os ataques definidos para este fluxo, mais não irá executar nenhuma ação de prevenção. IPS – Ao selecionar esta opção o fluxo irá detectar os ataques definidos para este fluxo, e irá executar as ações definidas para o ataque em questão. Estas ações são: Alertar e Registrar log ou, Bloquear e gerar log. IPS em modo aprendizado – Ao selecionar esta opção o fluxo irá funcionar da mesma forma que o modo de operação anterior (IPS), mas não poderá executar nenhuma ação de prevenção. Este modo informa ao usuário quais pacotes poderiam ter sido bloqueados. Este modo é recomendado para testes em ambientes para redução de falsos positivos. DAQ: Neste campo o usuário deve escolher qual método de Data aquisition (DAQ) que será usado no fluxo em questão. DAQ é o modo de aquisição de pacotes de rede usado pelo Aker IPS. As opções disponíveis são: PF Ring: Esta opção é recomendada para redes com um grande tráfego. Ao selecionar esta opção deve-se selecionar a quantidade de instâncias que serão executadas para o fluxo, e definir o processador de cada instância. AFPacket: Esta opção é recomendada para redes que possuam um tráfego menor. Ao selecionar esta opção deve-se definir o valor do Buffer do DAQ (em MB). Interface de entrada: Neste campo o usuário deve selecionar a interface de entrada de sua rede. Interface de saída: Neste campo o usuário deve selecionar a interface de saída. Esta interface é usada para executar as medidas de prevenção (Bloquear). Este campo fica disponível apenas para os modos de operação IPS e IPS em modo aprendizado. Políticas: Neste campo o usuário deve selecionar a política desejada para o fluxo em criação. Alvo: Neste campo o usuário deve inserir o alvo, ou seja, a rede que será protegida ou um host específico. Syslogs remotos: Neste campo o usuário pode inserir um ou mais IPs para a transmissão de mensagens de logs remotamente. ® Aker Security Solutions 50 Ativar Fluxo: Neste campo o usuário deve definir se este fluxo estará ativo inativo ou . Nesta aba o usuário pode definir os parâmetros de configuração para as variáveis do sistema. Por meio desta janela o usuário pode criar suas próprias variáveis e adicionar whitelists e blacklists que são listas de IPs definidas previamente na tela de listas de IPs. ® Aker Security Solutions 51 6 Sistema O menu “Sistema” permite que o usuário defina as configurações dos Fluxos, políticas, e-mail, listas de IPs, visualize logs de atividade de usuários no sistema, defina customização de relatórios, configuração de interface de rede e licenciamento. ® Aker Security Solutions 52 A seguir mais informações sobre estas opções. Atualizações Esta opção permite que o usuário defina como a atualização do sistema do Aker IPS será feita, as opções disponíveis são: Automática e manual. A seguir mais detalhes sobre estas opções: ® Aker Security Solutions 53 Atualizações automáticas: Agendar: Neste campo o usuário deve selecionar o período que a atualização será efetuada, as opções disponíveis são: Horário de execução: Neste campo o usuário deve definir o horário que a atualização automática será executada. Última atualização: Neste campo é exibido a hora/data em que a última atualização foi efetuada. Enviar atualização manualmente: Esta opção permite que o usuário faça o upload da atualização desejada manualmente. Backup Está opção permite que o usuário faça um backup das configurações do sistema em uso, que pode ser usado posteriormente no processo de restauração, que será exibido no próximo tópico. Para realizar o Backup das configurações do seu sistema clique em . O backup é feito apenas para a configuração, os eventos não serão salvos. ® Aker Security Solutions 54 Restaurar Está opção permite que usuário restaure as configurações do Aker IPS, por meio de um backup previamente realizado. Este procedimento remove toda e qualquer informação contida nas configurações em uso, salvando apenas as configurações carregadas pelo backup. Configuração de Hora Esta opção permite que o usuário configure os servidores NTP (Network Time Protocol), que são usados para sincronizar a hora do servidor mantendo a mesma sempre exata. Controle de acesso Este submenu permite que o administrador configure os usuários, perfis e os tipos de autenticação que serão usados. ® Aker Security Solutions 55 A seguir mais informações sobre as opções do submenu “Controle de acesso”. Tipo de autenticação Nesta janela o usuário deve selecionar qual o tipo de autenticação que será utilizada. As opções disponíveis são: Não: Ao selecionar “Não” a autenticação será feita por meio de uma base local (banco de dados do sistema). Sim: Ao selecionar “Sim” a autenticação será feita por meio de uma base LDAP. Ao selecionar a opção “Sim” a janela de configuração dos parâmetros de configuração será exibida. A seguir mais detalhes sobre os campos desta janela: Perfis Nesta janela o usuário pode visualizar todos os perfis usuários existentes no sistema, e também editar, excluir e adicionar um novo perfil de usuário no sistema. Usuários ® Aker Security Solutions 56 Nesta janela o usuário pode visualizar todos os usuários existentes no sistema e ainda editar, excluir ou adicionar um novo usuário no sistema. Cadastrando um novo usuário Para cadastrar um novo usuário siga os passos a seguir: Na janela de usuários, clique em exibida a seguir: e preencha os campos da janela Usuário: Neste campo deve-se inserir um nome para o novo usuário; Perfil: Neste campo deve-se selecionar o perfil ao qual o novo usuário irá pertencer; Login: Neste campo deve-se definir um nome que será usado para fazer o login no sistema; Senha: Neste campo deve-se definir uma senha que será usada na autenticação do sistema. Ao preencher todos os campos clique em . ® Aker Security Solutions 57 E-mail Nesta janela o usuário deve configurar o servidor de e-mail pelo o qual o Aker IPS deve enviar mensagens, e também definir uma conta de e-mail que receberá notificações do Aker IPS. Para definir as configurações de e-mail preencha os campos a seguir: Servidor de e-mail: Neste campo deve-se inserir o endereço do servidor de e-mail que será usado para enviar os e-mails do Aker IPS. Porta: Neste campo deve-se inserir o número da porta a qual será usada para enviar os e-mails do Aker IPS. Autenticação: Neste campo define-se a autenticação do usuário que será solicitada ou não para baixar o e-mail no servidor. Método de Autenticação: Neste campo deve-se selecionar qual o método de autenticação que será usado para que o usuário possa fazer o download do e-mail no servidor. Usuário: Neste campo deve-se inserir o nome do usuário que receberá os e-mails do Aker IPS. ® Aker Security Solutions 58 Senha: Neste campo deve-se inserir a senha do usuário que receberá os e-mails do Aker IPS. Enviar e-mails de: Neste campo deve-se inserir o e-mail que será usado para enviar os e-mails do Aker IPS. Enviar e-mails para: Neste campo deve-se inserir o e-mail que receberá os e-mails do Aker IPS. Rotação de dados Esta opção permite que o usuário defina as configurações de armazenamento de logs, definindo a quantidade de dias que os eventos serão mantidos no banco de dados, e a quantidade máxima de eventos que serão armazenados. Manter eventos por quantos dias: Neste campo o usuário deve definir a quantidade de dias que os eventos serão mantidos no banco de dados; Armazenamento máximo de eventos em MB: Neste campo o usuário deve definir o tamanho máximo em Mega Bytes que será usado do diretório de backup para armazenar os eventos; Todos os eventos enviados para o diretório de backup serão salvos somente se houver espaço disponível, ou seja, caso o banco de dados esteja cheio os novos eventos enviados para o diretório de backup não serão salvos. 7 Ajuda O menu “Ajuda” permite que o usuário tenha acesso ao manual do Aker IPS em dois cliques, e também tire suas dúvidas e entre em debates no Fórum da Aker. ® Aker Security Solutions 59 Licenciamento Após concluir a instalação e configuração da Interface de rede, entre com o IP definido para o Aker IPS no seu navegador: A tela de Login será exibida, então entre com a senha padrão. Usuário padrão SSH: aker Senha padrão SSH: 123456 Usuário padrão: admin Senha padrão: 123456 No primeiro acesso a tela de licenciamento será exibida ao usuário. Siga os passos a seguir: ® Aker Security Solutions 60 Caso o usuário não possua uma licença, é necessário que o número da chave de hardware (R28CRVAT-IJ7G-WP41 no exemplo acima) seja copiado e encaminhado para licenç[email protected] solicitando uma licença para o seu hardware ou IS/VM, ao receber a licença siga os passos a seguir (ao enviar a solicitação o usuário receberá sua licença no período máximo de 24h). Ao receber a licença clique em para localizar sua licença. A janela a seguir será exibida, localize o arquivo e clique em “Abrir”. ® Aker Security Solutions 61 Ao localizar o arquivo clique em para carregar o arquivo ou em para limpar a seleção e selecionar outro arquivo. Ao carregar a licença suas informações serão exibidas como na imagem a seguir: Após verificar as informações de sua licença clique em . Esta janela permite que o usuário visualize as informações da licença em uso, lembrando que ao carregar um nova licença as informações serão atualizadas exibindo as informações da nova licença que foi carregada. Após aplicar a licença, uma janela será exibida com as informações da licença aplicada. A opção estará habilitada caso o usuário necessite alterar sua licença. ® Aker Security Solutions 62 Sobre Esta opção exibe a versão atual do Aker IPS. Gerenciamento da conta do usuário Esta opção fica localizada no lado superior direito da tela, e por meio dela o usuário pode alterar sua senha de acesso ou se desconectar do sistema. ® Aker Security Solutions 63 ® Aker Security Solutions 64