Remediación de incidentes con Cisco Firepower Threat Defense y F5 SSL Orchestrator
F5 SSL Orchestrator permite a las empresas proteger sus empresas y proporciona la escala necesaria para prevenir diversos tipos de ataques, vectores y presentaciones al tiempo que ofrece una visibilidad absoluta del tráfico de datos que atraviesa diversas zonas de seguridad. Cuando se combina con una sólida estrategia de denegación de servicio distribuida (DDoS), SSL Orchestrator y su integración con Cisco Firepower Threat Defense (FTD) brindan los componentes necesarios de seguridad perimetral y brindan protección integral al proteger a la empresa contra malware, bots y otros ataques.
Para lograr una integración perfecta, F5 se asoció con Cisco para validar y producir arquitecturas de referencia para integrar SSL Orchestrator y Firepower Threat Defense. Las pruebas y la validación se llevaron a cabo en las instalaciones de F5 Labs utilizando dispositivos Firepower virtuales y físicos con FTD.
Esta guía ayuda a los administradores a identificar e implementar configuraciones validadas para casos de uso comunes. Los escenarios de cliente definidos aquí abordan la dirección y el bloqueo del tráfico basado en políticas, así como la visibilidad y el control de SSL.
Este escenario emplea SSL Orchestrator para asignar flujos de tráfico a diferentes recursos según la carga. Alternativamente, se asigna utilizando inteligencia empresarial, basada en características como gestión centralizada de políticas o F5 iRules para procesos de toma de decisiones más profundos, que los recursos de FTD pueden aprovechar para la inspección. Por ejemplo, la aplicação A se puede dirigir a un grupo de servidores FTD con un conjunto de reglas especializado que monitorea las firmas específicas de su entorno, mientras que la aplicação B se dirige a otro grupo. La integración con la API de remediación de Firepower permite que el sistema reaccione de forma dinámica para reducir la demanda de infraestructura FTD mediante el uso de una iRule para completar una dirección IP en una lista de bloqueo. El tráfico del infractor identificado se bloquea antes de ingresar a FTD durante un período de tiempo preestablecido. Dado que una estrategia de los atacantes es proporcionar una cantidad abrumadora de tráfico distractor para enmascarar el ataque real, esta táctica de remediación puede permitir a FTD concentrar recursos en identificar nuevos ataques sin tener que remediar a los atacantes ya identificados.
La terminación SSL es un proceso que consume muchos recursos, pero los dispositivos F5 incluyen procesadores de hardware dedicados que se especializan en el procesamiento SSL. Tanto para escenarios de implementación entrantes como salientes, el uso de SSL Orchestrator más FTD proporciona una visibilidad absoluta del tráfico SSL.
Las aplicações entrantes rara vez se implementan sin tener en cuenta la alta disponibilidad, y la terminación SSL en una instancia de F5 BIG-IP garantiza una entrega segura y mejorada de aplicação al tiempo que proporciona a los sensores FTD visibilidad del tráfico SSL. Cuando la política de seguridad lo indica, el tráfico se puede volver a cifrar antes de pasar a los servidores back-end.
La proliferación de sitios web que ahora utilizan encriptación SSL para proteger a los usuarios plantea un desafío para los grupos de sensores FTD en su misión de eliminar malware y ataques. SSL Orchestrator puede proporcionar visibilidad completa del tráfico de usuarios.
SSL Orchestrator admite la inspección SSL/TLS entrante para evitar que las amenazas cifradas pasen desapercibidas y comprometan activos críticos. Protege sus aplicaciones y servidores eliminando puntos ciegos de seguridad y deteniendo amenazas ocultas.
La arquitectura validada contiene un grupo de dispositivos Firepower con equilibrio de carga que actúan como frontend de grupos de servidores de aplicação web. Este enfoque maximiza la eficacia de la solución combinada de Cisco y F5 al tiempo que aborda tanto la visibilidad y el control de SSL como la gestión y el bloqueo del tráfico. El tráfico de la zona de inspección se descifra el tiempo suficiente para que los dispositivos Firepower lo inspeccionen y se vuelve a cifrar antes de enviarlo al servidor de aplicação o al cliente.
En la Figura 1, los servicios de Firepower inspeccionan, bloquean e informan sobre todos los flujos de red. Una vez que el tráfico pasa por los dispositivos FTD, se enruta nuevamente a través de SSL Orchestrator. Esto garantiza que se pueda inspeccionar el tráfico y, si es necesario, se puedan bloquear las direcciones IP.
Figura 1: SSL Orchestrator crea una zona de inspección donde FTD puede inspeccionar el tráfico y detectar y bloquear amenazas.
SSL Orchestrator admite la inspección SSL/TLS saliente para evitar que el malware penetre en la red corporativa y para prevenir la comunicación de comando y control (C&C) a través de canales cifrados. La solución detiene las infecciones de malware, la exfiltración de datos y las comunicaciones C&C.
La arquitectura validada protege a los clientes internos de las amenazas basadas en Internet. Los clientes acceden a Internet a través de SSL Orchestrator, que descifra este tráfico y envía una copia a los dispositivos Firepower para su inspección.
Figura 2: SSL Orchestrator envía tráfico saliente a FTD para su inspección para proteger a los clientes internos de las amenazas de Internet.
Estos procedimientos suponen la existencia de una topología de orquestador SSL en funcionamiento, ya sea entrante o saliente, y se centran en agregar un servicio TAP de Cisco Firepower, incluidos estos pasos:
- Cree el servicio TAP de Firepower.
- Crear iRules.
- Crear servidores virtuales.
- Adjunte las iRules a los servidores virtuales.
Se admiten ambos tipos de topología y la configuración de la solución de remediación de Cisco es la misma. Si aún no tiene una topología de SSL Orchestrator en funcionamiento, consulte la serie de artículos de SSL Orchestrator en F5 DevCentral para conocer los pasos de configuración completos.
Esta guía describe los pasos necesarios para implementar Cisco FTD con SSL Orchestrator, incluida la configuración de los servicios Firepower (nodos Firepower), la política de seguridad y la aplicação de iRules. FTD se puede implementar como una solución de capa 2/3 o TAP. SSL Orchestrator se puede implementar como una solución de capa 2 o 3. SSL Orchestrator proporciona la flexibilidad de implementar de la manera que funcione mejor para usted. Por ejemplo, SSL Orchestrator se puede implementar en modo de capa 2 mientras que FTD se implementa en modo de capa 3, y viceversa.
Para configurar e implementar SSL Orchestrator es fundamental estar familiarizado con los conceptos y la tecnología de implementación de F5, así como con las redes básicas. Para obtener más detalles sobre la configuración y la configuración de la red, visite el sitio de soporte de F5, AskF5 .
Si bien el asistente de configuración guiada le ayudará a configurar la mayor parte de esta solución, es necesario realizar algunas cosas fuera de él. Este ejemplo utiliza una topología de salida L2 existente.
1.En la Utilidad de configuración, haga clic en SSL Orchestrator > Configuración > Servicios > Agregar .
2.En Propiedades del servicio , seleccione Cisco Firepower Threat Defense TAP y haga clic en Agregar .
3. Nombre el servicio e ingrese la dirección MAC de Firepower (o 12:12:12:12:12:12 si está conectado directamente a SSL Orchestrator).
4.En VLAN , haga clic en Crear nuevo , ingrese un nombre (por ejemplo, Firepower) y seleccione la interfaz correcta (2.2 en este ejemplo). O si previamente configuró la VLAN, haga clic en Usar existente y luego seleccione la VLAN adecuada en el menú desplegable.
Nota : Especifique una etiqueta VLAN si es necesario.
5.Habilitar la reasignación de puertos es opcional. Haga clic en Guardar y siguiente .
6.Haga clic en la cadena de servicio que desea configurar (sslo_SC_ServiceChain en este ejemplo). Si no tiene una cadena de servicios existente, agregue una ahora.
7.Seleccione el servicio Firepower y muévalo a la lista Seleccionados haciendo clic en la flecha correspondiente. Haga clic en Guardar .
8.Haga clic en Guardar y siguiente y luego haga clic en Implementar .
Crea dos iRules y dos servidores virtuales. La primera iRule escucha las solicitudes HTTP del dispositivo Firepower. Luego, Firepower responde a través de su API de remediación y envía una solicitud HTTP que contiene una dirección IP y un valor de tiempo de espera. La dirección es la IP de origen que SSL Orchestrator bloqueará durante el período de tiempo de espera. Para obtener detalles y tutoriales de iRules, consulte F5 DevCentral .
1.Cree la primera iRule en SSL Orchestrator seleccionando Tráfico local > iRules y luego haciendo clic en Crear .
2.Nombre la iRule (FTD-Control en este ejemplo) y luego copie y pegue el texto de la iRule (en la Figura 3 a continuación) en el campo Definición . Haga clic en Finalizar . Esta iRule se asociará con el servidor virtual de control.
cuando HTTP_REQUEST { si { [URI::consulta [HTTP::uri] "acción"] es igual a "lista de bloqueo" } { establecer bloqueoIP [URI::consulta [HTTP::uri] "sip"] establecer IPtimeout [URI::consulta [HTTP::uri] "tiempo de espera"] tabla agregar -subtabla "lista de bloqueo" $blockingIP 1 $IPtimeout HTTP::respond 200 contenido "$blockingIP añadido a la lista de bloqueo por $IPtimeout segundos" devolver } HTTP::respond 200 contenido "Debe incluir una consulta de acción ?" }
|
|---|
Figura 3: El primer texto de iRule para copiar y pegar
3.Cree una segunda iRule haciendo clic en Crear nuevamente.
4.Nombra la segunda iRule (FTD-Protect en este ejemplo) y luego copia y pega el texto de la iRule en la Figura 4, a continuación, en el campo Definición .
|
|---|
Figura 4: El segundo texto de iRule para copiar y pegar
5.Haga clic en Finalizar . Esta iRule se asociará con el servidor virtual Protect.
1.Cree los servidores virtuales seleccionando Tráfico local > Servidores virtuales y haciendo clic en Crear .
2.Nombre el servidor virtual (teniendo en cuenta el nombre del iRule asociado): FTD-Control en este ejemplo. Para Tipo , seleccione Estándar .
3.Para Dirección de origen , ingrese 0.0.0.0/0, lo que indica que cualquier dirección de origen coincidirá.
4.Para Dirección/Máscara de destino , ingrese la dirección IP que SSL Orchestrator escuchará para aceptar solicitudes de API de Firepower. (En este ejemplo, es 10.5.9.77/32, lo que indica que SSL Orchestrator solo responderá a las conexiones a esa única dirección IP.
Nota : La dirección/máscara de destino debe estar en la misma subred que la segunda interfaz de administración en el Centro de administración de Firepower, lo que se analizará más adelante en esta guía.
5.Para VLAN y tráfico de túnel , F5 recomienda seleccionar Habilitado en … la VLAN específica que utilizará la segunda interfaz de administración de Firepower, en lugar de Todas las VLAN y túneles .
6.Seleccione la misma VLAN que utilizará la segunda interfaz de administración de Firepower (vlan509 en este ejemplo). Haga clic en << para mover la VLAN correcta a la lista Seleccionada .
7.En Recursos , haga clic en el iRule FTD-Control creado anteriormente y haga clic en << para moverlo a la lista Habilitado , luego haga clic en Finalizado .
8.Para crear el segundo servidor virtual, haga clic en Crear nuevamente.
9. Nombre el servidor virtual (FTD-Protect en este ejemplo) y, en Tipo , haga clic en Reenvío (IP) .
10.Introduzca la dirección de origen (10.4.11.152/32 en este ejemplo). Este servidor virtual solo aceptará conexiones con una IP de origen de 10.4.11.152 para fines de prueba, para asegurarse de que todo funcione con un solo cliente de prueba. Para una topología entrante, la dirección de origen podría establecerse en 0.0.0.0/0, lo que permitiría conexiones desde cualquier lugar.
11.Introduzca la dirección/máscara de destino . En este caso, la red 10.5.11.0 es el destino que debe tomar el tráfico de la red 10.4.11.0 para pasar por SSL Orchestrator y continuar hacia Internet.
12.En Configuración , seleccione Habilitado en … para VLAN y Tráfico de túnel .
13.En Disponible , seleccione la VLAN de ingreso en la que SSL Orchestrator recibe tráfico (Direct_all_vlan_511_2 en este ejemplo). Haga clic en << para moverlo a la lista Seleccionados .
14.En Recursos , haga clic en la iRule FTD-Protect creada anteriormente. Haga clic en << para moverlo a la lista Habilitado , luego haga clic en Finalizado .
Ahora tienes:
- Se creó el servicio TAP de Firepower.
- Se crearon iRules.
- Se crearon servidores virtuales.
- Adjunté las iRules a los servidores virtuales.
Estos procedimientos suponen que Cisco Firepower y Firepower Management Center (FMC) cuentan con la licencia y están implementados y funcionan correctamente.
1.Inicie sesión en el Centro de administración de Firepower para ver el Panel de resumen .
2.Haga clic en Sistema > Configuración . (Se abrirá la pestaña Dispositivos ).
3.Haga clic en Interfaces de administración en el menú de la izquierda. Se debe configurar una interfaz de administración de FMC para el tráfico de eventos y debe estar en la misma subred que el servidor virtual de control en SSL Orchestrator (10.5.9.77 en los ejemplos).
4.Al utilizar una máquina virtual para FMC, haga clic en Agregar nuevo dispositivo y agregue una segunda NIC dentro de la consola del hipervisor. (Consulte la captura de pantalla a continuación y la guía de administración de Hypervisor para obtener más información sobre cómo hacer esto).
5.Para configurar la segunda interfaz de administración, haga clic en el ícono de lápiz (editar).
6.Seleccione Habilitado . (El tráfico de eventos debe estar habilitado, pero no es obligatorio el tráfico de administración).
7.Establecer la configuración IPv4 en estática . Introduzca la dirección IP y la máscara de subred, luego haga clic en Aceptar .
Nota : Esta interfaz debe estar en la misma VLAN y subred que la interfaz de control en SSL Orchestrator.
8.Haga clic en Guardar .
Esta guía asume que las políticas de intrusión y malware, que deberían parecerse al ejemplo a continuación, están habilitadas para el dispositivo Firepower.
A continuación, cree una política de remediación de Firepower. Una política de remediación puede adoptar una variedad de acciones basadas en un conjunto casi infinito de criterios. Por ejemplo, si se detecta un evento de intrusión, Firepower puede indicarle a SSL Orchestrator que bloquee la IP de origen durante un período de tiempo determinado.
1.Instalar el módulo de remediación F5. Para hacerlo, en el FMC, haga clic en Políticas > Acciones > Respuestas > Módulos .
2.Haga clic en Explorar para localizar el módulo de remediación F5 en su computadora. Selecciónelo, haga clic en Abrir y luego haga clic en Instalar . Una vez instalado, haga clic en la lupa de la derecha.
3.Haga clic en Agregar para configurar una instancia.
4. Nombra la instancia (Block_Bad_Actors en este ejemplo). Introduzca la dirección IP del servidor virtual de control de SSL Orchestrator (10.5.9.77 en este ejemplo). Cambiar el tiempo de espera es opcional. Por último, haga clic en Crear .
5.A continuación, en Remediaciones configuradas , haga clic en Agregar .
6. Nombre la remediación (RemediateBlockIP en este ejemplo) y haga clic en Crear .
7.Seleccione Políticas > Correlación > Crear política para crear una política de correlación, que definirá cuándo y cómo iniciar la remediación.
8. Nombre la política de correlación (Remediación en este ejemplo) y haga clic en Guardar .
9.En la pestaña Administración de reglas , haga clic en Crear regla .
10. Nombra la regla (RemediateRule en este ejemplo).
11.Para el tipo de evento, seleccione si ocurre un evento de intrusión . (Para realizar pruebas, consulte también la nota en el siguiente paso).
12.Para la Condición , seleccione País de origen > es > Corea del Norte (por ejemplo) y luego haga clic en Guardar .
Nota : El FMC puede activar una remediación para una variedad de eventos diferentes, no solo intrusión. De hecho, al configurar la remediación es posible que desee utilizar un tipo de evento diferente para facilitar la activación de un evento y verificar que se haya remediado correctamente. Por ejemplo, elija que se produzca un evento de conexión y luego configure la condición en URL > contiene la cadena > foo . Entonces la regla de remediación debería activarse si intentas acceder a foo.com.
13.Regrese a la pestaña Administración de políticas y haga clic en la política creada anteriormente (Remediación en este ejemplo). Haga clic en Agregar reglas .
14.Seleccione RemediateRule y haga clic en Agregar .
15.Haga clic en Guardar .
Las políticas de correlación se pueden habilitar o deshabilitar usando el interruptor ubicado a la derecha. Asegúrese de que la política correcta esté habilitada.
El estado de los eventos de remediación se puede ver en el FMC haciendo clic en Análisis > Correlación > Estado. Consulte la columna Mensaje de resultado para ver el mensaje “Finalización exitosa de la remediación”.
Estas prácticas recomendadas configuran F5 BIG-IP SSL Orchestrator con Cisco FTD en una arquitectura demostrada para abordar tanto el escenario de usuario de control y visibilidad de SSL como el escenario de usuario de bloqueo y dirección de tráfico basado en políticas IPS. Con la terminación SSL en SSL Orchestrator, los sensores FTD brindan visibilidad tanto del tráfico de ingreso como de egreso para adaptar y proteger las aplicações, servidores y otros recursos de una organización. Al utilizar la dirección de tráfico basada en políticas de seguridad, una organización puede aprovechar esta configuración y seguir escalando, agregando más dispositivos administrados por FTD para brindar mayor capacidad de tráfico para las redes y aplicações protegidas. La flexibilidad basada en políticas que ofrece SSL Orchestrator también se puede aprovechar para dirigir selectivamente el tráfico a diferentes grupos de recursos en función de los requisitos comerciales, de seguridad o de cumplimiento.
CONECTE CON F5
Centro de desarrollo
La comunidad de F5 para foros de discusión y artículos de expertos.
