Vorfallbehebung mit Cisco Firepower Threat Defense und F5 SSL Orchestrator
Mit F5 SSL Orchestrator können Unternehmen ihren Betrieb absichern und haben die nötige Skalierbarkeit, um verschiedene Angriffsarten, -vektoren und -präsentationen zu verhindern. Gleichzeitig erhalten sie kompromisslose Transparenz im Datenverkehr, der verschiedene Sicherheitszonen durchquert. In Kombination mit einer starken Distributed-Denial-of-Service-Strategie (DDoS) bieten SSL Orchestrator und seine Integration mit Cisco Firepower Threat Defense (FTD) die notwendigen Komponenten für die Perimetersicherheit und umfassenden Schutz, indem sie das Unternehmen vor Malware, Bots und anderen Angriffen schützen.
Um eine nahtlose Integration zu erreichen, arbeitete F5 mit Cisco zusammen, um Referenzarchitekturen für die Integration von SSL Orchestrator und Firepower Threat Defense zu validieren und zu erstellen. Tests und Validierungen wurden in den Einrichtungen von F5 Labs unter Verwendung sowohl virtueller als auch physischer Firepower-Geräte mit FTD durchgeführt.
Dieses Handbuch hilft Administratoren dabei, validierte Konfigurationen für gängige Anwendungsfälle zu identifizieren und bereitzustellen. Die hier definierten Kundenszenarien befassen sich mit richtlinienbasierter Verkehrssteuerung und -blockierung sowie SSL-Sichtbarkeit und -Kontrolle.
In diesem Szenario wird SSL Orchestrator eingesetzt, um den Datenverkehr je nach Auslastung auf unterschiedliche Ressourcen zu verteilen. Alternativ erfolgt die Zuweisung mithilfe von Business Intelligence, basierend auf Funktionen wie der zentralen Richtlinienverwaltung oder F5 iRules für tiefergehende Entscheidungsprozesse, die FTD-Ressourcen zur Überprüfung nutzen können. Beispielsweise kann Anwendung A zu einem Pool von FTD-Servern mit einem speziellen Regelsatz umgeleitet werden, der umgebungsspezifische Signaturen überwacht, während Anwendung B zu einem anderen Pool umgeleitet wird. Durch die Integration mit der Firepower-Remediation-API kann das System dynamisch reagieren und so die Nachfrage nach FTD-Infrastrukturen reduzieren, indem mithilfe einer iRule eine IP-Adresse in eine Sperrliste eingetragen wird. Der Datenverkehr des identifizierten Täters wird vor dem Eintritt in FTD für einen voreingestellten Zeitraum blockiert. Da eine Strategie der Angreifer darin besteht, eine überwältigende Menge an störendem Datenverkehr bereitzustellen, um den echten Angriff zu verschleiern, kann FTD mit dieser Abhilfetaktik seine Ressourcen auf die Identifizierung neuer Angriffe konzentrieren, ohne bereits identifizierte Angreifer abwehren zu müssen.
Die SSL-Terminierung ist ein ressourcenintensiver Prozess, aber F5-Geräte verfügen über dedizierte Hardwareprozessoren, die auf die SSL-Verarbeitung spezialisiert sind. Sowohl für eingehende als auch für ausgehende Bereitstellungsszenarien bietet die Verwendung von SSL Orchestrator plus FTD kompromisslose Transparenz im SSL-Verkehr.
Eingehende Anwendungen werden selten ohne Berücksichtigung hoher Verfügbarkeit bereitgestellt. Die SSL-Terminierung auf einer F5 BIG-IP-Instanz gewährleistet eine sichere und verbesserte Anwendungsbereitstellung und bietet FTD-Sensoren gleichzeitig Einblick in den SSL-Verkehr. Sofern die Sicherheitsrichtlinie dies erfordert, kann der Datenverkehr vor der Weiterleitung an die Back-End-Server erneut verschlüsselt werden.
Die zunehmende Verbreitung von Websites, die mittlerweile SSL-Verschlüsselung zum Schutz der Benutzer verwenden, stellt für die FTD-Sensorpools bei ihrer Aufgabe, Malware und Angriffe zu eliminieren, eine Herausforderung dar. SSL Orchestrator kann vollständige Transparenz im Benutzerverkehr bieten.
SSL Orchestrator unterstützt die eingehende SSL/TLS-Prüfung, um zu verhindern, dass verschlüsselte Bedrohungen unentdeckt bleiben und kritische Ressourcen gefährden. Schützt Ihre Apps und Server, indem es Sicherheitslücken schließt und versteckte Bedrohungen stoppt.
Die validierte Architektur enthält einen lastausgeglichenen Pool von Firepower-Geräten mit Front-End-Web-Anwendungsserver-Pools. Dieser Ansatz maximiert die Effektivität der kombinierten Lösung von Cisco und F5 und berücksichtigt dabei sowohl die SSL-Sichtbarkeit und -Kontrolle als auch das Verkehrsmanagement und die Blockierung. Der Datenverkehr in der Inspektionszone wird lange genug entschlüsselt, um von den Firepower-Geräten inspiziert und erneut verschlüsselt zu werden, bevor er an den Anwendungsserver oder Client gesendet wird.
In Abbildung 1 prüfen, blockieren und melden die Firepower Services alle Netzwerkflüsse. Nachdem der Datenverkehr die FTD-Geräte durchlaufen hat, wird er zurück durch den SSL Orchestrator geleitet. Dadurch wird sichergestellt, dass der Datenverkehr überprüft und IP-Adressen bei Bedarf blockiert werden können.
Abbildung 1: SSL Orchestrator erstellt eine Inspektionszone, in der FTD den Datenverkehr prüfen und Bedrohungen erkennen und blockieren kann.
SSL Orchestrator unterstützt die Prüfung ausgehender SSL/TLS-Daten, um das Eindringen von Schadsoftware in das Unternehmensnetzwerk zu verhindern und die Command-and-Control-Kommunikation (C&C) über verschlüsselte Kanäle zu unterbinden. Die Lösung stoppt Malware-Infektionen, Datenexfiltration und C&C-Kommunikation.
Die validierte Architektur schützt interne Clients vor Bedrohungen aus dem Internet. Clients greifen über SSL Orchestrator auf das Internet zu, der diesen Datenverkehr entschlüsselt und eine Kopie davon zur Überprüfung an die Firepower-Geräte sendet.
Abbildung 2: SSL Orchestrator sendet ausgehenden Datenverkehr zur Überprüfung an FTD, um interne Clients vor Bedrohungen aus dem Internet zu schützen.
Diese Verfahren setzen das Vorhandensein einer funktionierenden SSL-Orchestrator-Topologie (eingehend oder ausgehend) voraus und konzentrieren sich auf das Hinzufügen eines Cisco Firepower TAP-Dienstes. Sie umfassen die folgenden Schritte:
- Erstellen Sie den Firepower TAP-Dienst.
- Erstellen Sie iRules.
- Erstellen Sie virtuelle Server.
- Fügen Sie die iRules den virtuellen Servern hinzu.
Beide Topologietypen werden unterstützt und die Konfiguration der Cisco-Reparaturlösung ist dieselbe. Wenn Sie noch nicht über eine funktionierende SSL-Orchestrator-Topologie verfügen, finden Sie die vollständigen Konfigurationsschritte in der SSL-Orchestrator-Artikelserie auf F5 DevCentral .
In diesem Handbuch werden die erforderlichen Schritte zur Bereitstellung von Cisco FTD mit SSL Orchestrator beschrieben, einschließlich der Konfiguration der Firepower Services (Firepower-Knoten), der Sicherheitsrichtlinie und der Anwendung von iRules. FTD kann als Layer 2/3- oder TAP-Lösung eingesetzt werden. SSL Orchestrator kann als Layer-2- oder Layer-3-Lösung eingesetzt werden. SSL Orchestrator bietet die Flexibilität, die Bereitstellung so vorzunehmen, wie es für Sie am besten ist. Beispielsweise kann SSL Orchestrator im Layer-2-Modus bereitgestellt werden, während FTD im Layer-3-Modus bereitgestellt wird und umgekehrt.
Für die Konfiguration und Bereitstellung von SSL Orchestrator sind Kenntnisse der Bereitstellungskonzepte und -technologie von F5 sowie der grundlegenden Netzwerkkenntnisse unabdingbar. Weitere Einzelheiten zur Konfiguration und Netzwerkeinrichtung finden Sie auf der F5-Supportsite AskF5 .
Obwohl der Assistent für die geführte Konfiguration bei der Konfiguration des Großteils dieser Lösung hilft, müssen einige Dinge außerhalb davon erledigt werden. In diesem Beispiel wird eine vorhandene L2-Ausgangstopologie verwendet.
1. Klicken Sie im Konfigurationsprogramm auf SSL Orchestrator > Konfiguration > Dienste > Hinzufügen .
2. Wählen Sie unter den Diensteigenschaften „Cisco Firepower Threat Defense TAP“ aus und klicken Sie auf „Hinzufügen“ .
3. Benennen Sie den Dienst und geben Sie die Firepower-MAC-Adresse ein (oder 12:12:12:12:12:12, wenn eine direkte Verbindung mit SSL Orchestrator besteht).
4. Klicken Sie unter VLAN auf Neu erstellen , geben Sie einen Namen ein (z. B. Firepower) und wählen Sie die richtige Schnittstelle aus (in diesem Beispiel 2.2). Oder wenn Sie das VLAN zuvor konfiguriert haben, klicken Sie auf „Vorhandenes verwenden“ und wählen Sie dann das entsprechende VLAN aus dem Dropdown-Menü aus.
Notiz : Geben Sie bei Bedarf ein VLAN-Tag an.
5. Das Aktivieren der Port-Neuzuordnung ist optional. Klicken Sie auf Speichern und Weiter .
6. Klicken Sie auf die Servicekette, die Sie konfigurieren möchten (in diesem Beispiel sslo_SC_ServiceChain). Wenn Sie noch keine Servicekette haben, fügen Sie jetzt eine hinzu.
7. Wählen Sie den Firepower-Dienst aus und verschieben Sie ihn in die Liste „Ausgewählt“, indem Sie auf den entsprechenden Pfeil klicken. Klicken Sie auf Speichern .
8. Klicken Sie auf „Speichern und Weiter“ und dann auf „Bereitstellen“ .
Erstellen Sie zwei iRules und zwei virtuelle Server. Die erste iRule wartet auf HTTP-Anfragen vom Firepower-Gerät. Firepower antwortet dann über seine Remediation-API und sendet eine HTTP-Anfrage mit einer IP-Adresse und einem Timeout-Wert. Bei der Adresse handelt es sich um die Quell-IP, die durch SSL Orchestrator blockiert werden soll. SSL Orchestrator blockiert sie für die Dauer der Zeitüberschreitung. Weitere Informationen und iRules-Tutorials finden Sie bei F5 DevCentral .
1. Erstellen Sie die erste iRule auf SSL Orchestrator, indem Sie Lokaler Datenverkehr > iRules auswählen und dann auf Erstellen klicken.
2. Benennen Sie die iRule (in diesem Beispiel FTD-Control) und kopieren Sie dann den Text der iRule (in Abbildung 3 unten) und fügen Sie ihn in das Feld „Definition“ ein. Klicken Sie auf „Fertig“ . Diese iRule wird mit dem virtuellen Control-Server verknüpft.
wenn HTTP_REQUEST { if { [URI::query [HTTP::uri] "action"] entspricht "blocklist" } { setze blockierendeIP [URI::Abfrage [HTTP::uri] "sip"] IPtimeout festlegen [URI::Abfrage [HTTP::uri] "Timeout"] Tabelle hinzufügen -Untertabelle "Blockliste" $blockingIP 1 $IPtimeout HTTP::respond 200 Inhalt „$blockingIP für $IPtimeout Sekunden zur Blockliste hinzugefügt“ zurückkehren } HTTP::respond 200 content „Sie müssen eine ?-Aktionsabfrage einfügen“ }
|
|---|
Abbildung 3: Der erste iRule-Text zum Kopieren und Einfügen
3. Erstellen Sie eine zweite iRule, indem Sie erneut auf „Erstellen“ klicken.
4. Benennen Sie die zweite iRule (in diesem Beispiel FTD-Protect) und kopieren/fügen Sie dann den iRule-Text in Abbildung 4 unten in das Feld „Definition“ ein.
|
|---|
Abbildung 4: Der zweite iRule-Text zum Kopieren und Einfügen
5. Klicken Sie auf „Fertig“ . Diese iRule wird mit dem Protect Virtual Server verknüpft.
1. Erstellen Sie die virtuellen Server, indem Sie Lokaler Datenverkehr > Virtuelle Server auswählen und auf Erstellen klicken.
2. Geben Sie dem virtuellen Server einen Namen (denken Sie dabei an den Namen der zugehörigen iRule) – in diesem Beispiel „FTD-Control“. Wählen Sie bei Typ die Option Standard aus.
3. Geben Sie bei Quelladresse 0.0.0.0/0 ein. Dies bedeutet, dass jede Quelladresse übereinstimmt.
4. Geben Sie für Zieladresse/-maske die IP-Adresse ein, auf der SSL Orchestrator lauscht, um API-Anfragen von Firepower anzunehmen. (In diesem Beispiel ist es 10.5.9.77/32, was bedeutet, dass SSL Orchestrator nur auf Verbindungen mit dieser einzelnen IP-Adresse reagiert.
Notiz : Die Zieladresse/-maske muss sich im selben Subnetz befinden wie die zweite Verwaltungsschnittstelle im Firepower Management Center, worauf später in diesem Handbuch eingegangen wird.
5. Für VLANs und Tunnelverkehr empfiehlt F5, „Aktiviert auf … dem spezifischen VLAN auszuwählen, das die zweite Firepower-Verwaltungsschnittstelle verwenden wird, und nicht „Alle VLANs und Tunnel“ .
6. Wählen Sie dasselbe VLAN aus, das von der zweiten Firepower-Verwaltungsschnittstelle verwendet wird (in diesem Beispiel vlan509). Klicken Sie auf <<, um das richtige VLAN in die Liste „Ausgewählt“ zu verschieben.
7. Klicken Sie unter „Ressourcen“ auf die zuvor erstellte FTD-Control iRule und klicken Sie auf <<, um sie in die Liste „Aktiviert“ zu verschieben. Klicken Sie dann auf „Fertig“ .
8. Um den zweiten virtuellen Server zu erstellen, klicken Sie erneut auf „Erstellen“ .
9. Geben Sie dem virtuellen Server einen Namen (in diesem Beispiel „FTD-Protect“) und klicken Sie bei Typ auf Weiterleitung (IP) .
10. Geben Sie die Quelladresse ein (in diesem Beispiel 10.4.11.152/32). Dieser virtuelle Server akzeptiert zu Testzwecken nur Verbindungen mit einer Quell-IP von 10.4.11.152, um sicherzustellen, dass alles mit einem einzelnen Testclient funktioniert. Bei einer Inbound-Topologie könnte die Quelladresse auf 0.0.0.0/0 gesetzt werden, was Verbindungen von überall her ermöglichen würde.
11. Geben Sie die Zieladresse/Maske ein. In diesem Fall ist das Netzwerk 10.5.11.0 das Ziel, das der Netzwerkverkehr 10.4.11.0 nehmen muss, um durch den SSL Orchestrator zu gelangen und ins Internet zu gelangen.
12. Wählen Sie unter „Konfiguration“ die Option „Aktiviert auf …“ für VLAN- und Tunnelverkehr aus.
13. Wählen Sie unter „Verfügbar“ das Eingangs-VLAN aus, auf dem SSL Orchestrator Datenverkehr empfängt (in diesem Beispiel Direct_all_vlan_511_2). Klicken Sie auf <<, um es in die Liste „Ausgewählt“ zu verschieben.
14. Klicken Sie unter „Ressourcen“ auf die zuvor erstellte FTD-Protect iRule. Klicken Sie auf <<, um es in die Liste „Aktiviert“ zu verschieben, und klicken Sie dann auf „Fertig“ .
Sie haben jetzt:
- Der Firepower TAP-Dienst wurde erstellt.
- iRules erstellt.
- Virtuelle Server erstellt.
- Die iRules an die virtuellen Server angehängt.
Diese Verfahren setzen voraus, dass Cisco Firepower und Firepower Management Center (FMC) lizenziert und bereitgestellt wurden und ordnungsgemäß funktionieren.
1. Melden Sie sich beim Firepower Management Center an, um das Summary-Dashboard anzuzeigen.
2. Klicken Sie auf System > Konfiguration . (Die Registerkarte „Geräte“ wird geöffnet.)
3. Klicken Sie im Menü links auf Verwaltungsschnittstellen . Für den Ereignisverkehr muss eine FMC-Verwaltungsschnittstelle konfiguriert werden, die sich im selben Subnetz wie der Control Virtual Server auf SSL Orchestrator befinden muss (in den Beispielen 10.5.9.77).
4. Wenn Sie eine virtuelle Maschine für FMC verwenden, klicken Sie auf „Neues Gerät hinzufügen“ und fügen Sie in der Hypervisor-Konsole eine zweite Netzwerkkarte hinzu. (Weitere Informationen hierzu finden Sie im Screenshot unten und in Ihrem Hypervisor-Administratorhandbuch.)
5. Um die zweite Verwaltungsschnittstelle zu konfigurieren, klicken Sie auf das Bleistiftsymbol (Bearbeiten).
6. Wählen Sie Aktiviert aus. (Ereignisverkehr muss aktiviert sein, Verwaltungsverkehr ist jedoch nicht erforderlich.)
7. Setzen Sie die IPv4-Konfiguration auf „Statisch“ . Geben Sie die IP-Adresse und die Subnetzmaske ein und klicken Sie dann auf OK .
Notiz : Diese Schnittstelle muss sich im selben VLAN und Subnetz befinden wie die Steuerschnittstelle auf SSL Orchestrator.
8. Klicken Sie auf Speichern .
In dieser Anleitung wird davon ausgegangen, dass Angriffs- und Malware-Richtlinien, die in etwa wie im folgenden Beispiel aussehen sollten, für das Firepower-Gerät aktiviert sind.
Erstellen Sie als Nächstes eine Firepower-Behebungsrichtlinie. Eine Sanierungsrichtlinie kann auf der Grundlage eines nahezu unbegrenzten Satzes von Kriterien eine Vielzahl von Maßnahmen ergreifen. Wenn beispielsweise ein Einbruchsereignis erkannt wird, kann Firepower SSL Orchestrator anweisen, die Quell-IP für eine bestimmte Zeit zu blockieren.
1. Installieren Sie das F5-Korrekturmodul. Klicken Sie dazu im FMC auf Richtlinien > Aktionen > Antworten > Module .
2. Klicken Sie auf „Durchsuchen“, um das F5 Remediation Module auf Ihrem Computer zu suchen. Wählen Sie es aus, klicken Sie auf „Öffnen “ und dann auf „Installieren“ . Klicken Sie nach der Installation auf die Lupe rechts.
3. Klicken Sie auf „Hinzufügen“, um eine Instanz zu konfigurieren.
4. Benennen Sie die Instanz (in diesem Beispiel Block_Bad_Actors). Geben Sie die IP-Adresse des virtuellen SSL Orchestrator Control-Servers ein (in diesem Beispiel 10.5.9.77). Das Ändern des Timeouts ist optional. Klicken Sie abschließend auf Erstellen .
5. Klicken Sie anschließend unter „Konfigurierte Korrekturen“ auf „Hinzufügen“ .
6. Geben Sie der Behebung einen Namen (in diesem Beispiel „RemediateBlockIP“) und klicken Sie auf „Erstellen“ .
7. Wählen Sie „Richtlinien > Korrelation > Richtlinie erstellen“ aus , um eine Korrelationsrichtlinie zu erstellen, die definiert, wann und wie die Behebung eingeleitet wird.
8. Geben Sie der Korrelationsrichtlinie einen Namen (in diesem Beispiel „Behebung“) und klicken Sie auf „Speichern“ .
9. Klicken Sie auf der Registerkarte Regelverwaltung auf Regel erstellen .
10. Benennen Sie die Regel (in diesem Beispiel „RemediateRule“).
11. Wählen Sie als Ereignistyp die Option „Ein Einbruchsereignis ist aufgetreten“ aus. (Zum Testen siehe auch Hinweis im nächsten Schritt.)
12. Wählen Sie unter Bedingung beispielsweise Quellland > ist > Nordkorea aus und klicken Sie dann auf Speichern .
Notiz : Das FMC kann eine Behebung für eine Vielzahl unterschiedlicher Ereignisse auslösen, nicht nur für Eindringlinge. Tatsächlich möchten Sie beim Konfigurieren der Behebung möglicherweise einen anderen Ereignistyp verwenden, um das Auslösen eines Ereignisses und die Überprüfung seiner erfolgreichen Behebung zu vereinfachen. Wählen Sie beispielsweise aus, dass ein Verbindungsereignis auftritt, und legen Sie dann die Bedingung auf „URL > enthält die Zeichenfolge > foo“ fest. Dann sollte die Behebungsregel ausgelöst werden, wenn Sie versuchen, zu foo.com zu gehen.
13. Kehren Sie zur Registerkarte „Richtlinienverwaltung“ zurück und klicken Sie auf die zuvor erstellte Richtlinie (in diesem Beispiel „Behebung“). Klicken Sie auf Regeln hinzufügen .
14. Wählen Sie RemediateRule aus und klicken Sie auf Hinzufügen .
15. Klicken Sie auf Speichern .
Korrelationsrichtlinien können mit dem Schalter auf der rechten Seite aktiviert oder deaktiviert werden. Stellen Sie sicher, dass die richtige Richtlinie aktiviert ist.
Der Status von Behebungsereignissen kann im FMC angezeigt werden, indem Sie auf Analyse > Korrelation > Status klicken. Die Meldung „Sanierung erfolgreich abgeschlossen“ finden Sie in der Spalte „Ergebnismeldung“.
Diese empfohlenen Vorgehensweisen konfigurieren F5 BIG-IP SSL Orchestrator mit dem Cisco FTD in einer Architektur, die nachweislich sowohl das Benutzerszenario für SSL-Sichtbarkeit und -Kontrolle als auch das Benutzerszenario für IPS-Richtlinien (Datenverkehrsteuerung und -blockierung) abdeckt. Mit der SSL-Terminierung auf SSL Orchestrator bieten FTD-Sensoren Einblick in den ein- und ausgehenden Datenverkehr, um die Anwendungen, Server und anderen Ressourcen eines Unternehmens anzupassen und zu schützen. Mithilfe einer auf Sicherheitsrichtlinien basierenden Verkehrssteuerung kann ein Unternehmen von dieser Konfiguration profitieren und weiter skalieren, indem es weitere FTD-verwaltete Geräte hinzufügt, um eine größere Verkehrskapazität für die geschützten Netzwerke und Anwendungen bereitzustellen. Die richtlinienbasierte Flexibilität von SSL Orchestrator kann auch genutzt werden, um den Datenverkehr je nach Geschäfts-, Sicherheits- oder Compliance-Anforderungen gezielt an verschiedene Ressourcenpools zu leiten.
Verbinden mit F5
