Remediación de incidentes con Cisco Firepower Threat Defense y F5 SSL Orchestrator

Concepto

F5 SSL Orchestrator permite a las empresas proteger sus empresas y proporciona la escala necesaria para prevenir diversos tipos de ataques, vectores y presentaciones al tiempo que ofrece una visibilidad absoluta del tráfico de datos que atraviesa diversas zonas de seguridad. Cuando se combina con una sólida estrategia de denegación de servicio distribuida (DDoS), SSL Orchestrator y su integración con Cisco Firepower Threat Defense (FTD) brindan los componentes necesarios de seguridad perimetral y brindan protección integral al proteger a la empresa contra malware, bots y otros ataques.

Para lograr una integración perfecta, F5 se asoció con Cisco para validar y producir arquitecturas de referencia para integrar SSL Orchestrator y Firepower Threat Defense. Las pruebas y la validación se llevaron a cabo en las instalaciones de F5 Labs utilizando dispositivos Firepower virtuales y físicos con FTD.

Esta guía ayuda a los administradores a identificar e implementar configuraciones validadas para casos de uso comunes. Los escenarios de cliente definidos aquí abordan la dirección y el bloqueo del tráfico basado en políticas, así como la visibilidad y el control de SSL.

Escenario de usuario 1: Direccionamiento y bloqueo de tráfico según la política de seguridad

Este escenario emplea SSL Orchestrator para asignar flujos de tráfico a diferentes recursos según la carga. Alternativamente, se asigna utilizando inteligencia empresarial, basada en características como gestión centralizada de políticas o F5 iRules para procesos de toma de decisiones más profundos, que los recursos de FTD pueden aprovechar para la inspección. Por ejemplo, la aplicação A se puede dirigir a un grupo de servidores FTD con un conjunto de reglas especializado que monitorea las firmas específicas de su entorno, mientras que la aplicação B se dirige a otro grupo. La integración con la API de remediación de Firepower permite que el sistema reaccione de forma dinámica para reducir la demanda de infraestructura FTD mediante el uso de una iRule para completar una dirección IP en una lista de bloqueo. El tráfico del infractor identificado se bloquea antes de ingresar a FTD durante un período de tiempo preestablecido. Dado que una estrategia de los atacantes es proporcionar una cantidad abrumadora de tráfico distractor para enmascarar el ataque real, esta táctica de remediación puede permitir a FTD concentrar recursos en identificar nuevos ataques sin tener que remediar a los atacantes ya identificados.

Escenario de usuario 2: Visibilidad y control de SSL

La terminación SSL es un proceso que consume muchos recursos, pero los dispositivos F5 incluyen procesadores de hardware dedicados que se especializan en el procesamiento SSL. Tanto para escenarios de implementación entrantes como salientes, el uso de SSL Orchestrator más FTD proporciona una visibilidad absoluta del tráfico SSL.

Las aplicações entrantes rara vez se implementan sin tener en cuenta la alta disponibilidad, y la terminación SSL en una instancia de F5 BIG-IP garantiza una entrega segura y mejorada de aplicação al tiempo que proporciona a los sensores FTD visibilidad del tráfico SSL. Cuando la política de seguridad lo indica, el tráfico se puede volver a cifrar antes de pasar a los servidores back-end.

La proliferación de sitios web que ahora utilizan encriptación SSL para proteger a los usuarios plantea un desafío para los grupos de sensores FTD en su misión de eliminar malware y ataques. SSL Orchestrator puede proporcionar visibilidad completa del tráfico de usuarios.

Arquitecturas de implementación comunes validadas
Protección contra el tráfico de entrada: Topología de entrada

SSL Orchestrator admite la inspección SSL/TLS entrante para evitar que las amenazas cifradas pasen desapercibidas y comprometan activos críticos. Protege sus aplicaciones y servidores eliminando puntos ciegos de seguridad y deteniendo amenazas ocultas.

La arquitectura validada contiene un grupo de dispositivos Firepower con equilibrio de carga que actúan como frontend de grupos de servidores de aplicação web. Este enfoque maximiza la eficacia de la solución combinada de Cisco y F5 al tiempo que aborda tanto la visibilidad y el control de SSL como la gestión y el bloqueo del tráfico. El tráfico de la zona de inspección se descifra el tiempo suficiente para que los dispositivos Firepower lo inspeccionen y se vuelve a cifrar antes de enviarlo al servidor de aplicação o al cliente.

En la Figura 1, los servicios de Firepower inspeccionan, bloquean e informan sobre todos los flujos de red. Una vez que el tráfico pasa por los dispositivos FTD, se enruta nuevamente a través de SSL Orchestrator. Esto garantiza que se pueda inspeccionar el tráfico y, si es necesario, se puedan bloquear las direcciones IP.

Figura 1
Figura 1: SSL Orchestrator crea una zona de inspección donde FTD puede inspeccionar el tráfico y detectar y bloquear amenazas.

Protección del tráfico de salida: Topología de salida

SSL Orchestrator admite la inspección SSL/TLS saliente para evitar que el malware penetre en la red corporativa y para prevenir la comunicación de comando y control (C&C) a través de canales cifrados. La solución detiene las infecciones de malware, la exfiltración de datos y las comunicaciones C&C.

La arquitectura validada protege a los clientes internos de las amenazas basadas en Internet. Los clientes acceden a Internet a través de SSL Orchestrator, que descifra este tráfico y envía una copia a los dispositivos Firepower para su inspección. 

Figura 2
Figura 2: SSL Orchestrator envía tráfico saliente a FTD para su inspección para proteger a los clientes internos de las amenazas de Internet.

Configuración del orquestador SSL

Estos procedimientos suponen la existencia de una topología de orquestador SSL en funcionamiento, ya sea entrante o saliente, y se centran en agregar un servicio TAP de Cisco Firepower, incluidos estos pasos:

  1. Cree el servicio TAP de Firepower.
  2. Crear iRules.
  3. Crear servidores virtuales.
  4. Adjunte las iRules a los servidores virtuales.

Se admiten ambos tipos de topología y la configuración de la solución de remediación de Cisco es la misma. Si aún no tiene una topología de SSL Orchestrator en funcionamiento, consulte la serie de artículos de SSL Orchestrator en F5 DevCentral para conocer los pasos de configuración completos.

Esta guía describe los pasos necesarios para implementar Cisco FTD con SSL Orchestrator, incluida la configuración de los servicios Firepower (nodos Firepower), la política de seguridad y la aplicação de iRules. FTD se puede implementar como una solución de capa 2/3 o TAP. SSL Orchestrator se puede implementar como una solución de capa 2 o 3. SSL Orchestrator proporciona la flexibilidad de implementar de la manera que funcione mejor para usted. Por ejemplo, SSL Orchestrator se puede implementar en modo de capa 2 mientras que FTD se implementa en modo de capa 3, y viceversa.

Para configurar e implementar SSL Orchestrator es fundamental estar familiarizado con los conceptos y la tecnología de implementación de F5, así como con las redes básicas. Para obtener más detalles sobre la configuración y la configuración de la red, visite el sitio de soporte de F5, AskF5 .

Paso 1: Crear el servicio Firepower TAP

Si bien el asistente de configuración guiada le ayudará a configurar la mayor parte de esta solución, es necesario realizar algunas cosas fuera de él. Este ejemplo utiliza una topología de salida L2 existente.

1.En la Utilidad de configuración, haga clic en SSL Orchestrator > Configuración > Servicios > Agregar .

Figura 3

2.En Propiedades del servicio , seleccione Cisco Firepower Threat Defense TAP y haga clic en Agregar .

Figura 4

3. Nombre el servicio e ingrese la dirección MAC de Firepower (o 12:12:12:12:12:12 si está conectado directamente a SSL Orchestrator).

Figura 5

4.En VLAN , haga clic en Crear nuevo , ingrese un nombre (por ejemplo, Firepower) y seleccione la interfaz correcta (2.2 en este ejemplo). O si previamente configuró la VLAN, haga clic en Usar existente y luego seleccione la VLAN adecuada en el menú desplegable.

Nota : Especifique una etiqueta VLAN si es necesario.

Figura 6

5.Habilitar la reasignación de puertos es opcional. Haga clic en Guardar y siguiente .

Figura 7

6.Haga clic en la cadena de servicio que desea configurar (sslo_SC_ServiceChain en este ejemplo). Si no tiene una cadena de servicios existente, agregue una ahora.

Figura 8

7.Seleccione el servicio Firepower y muévalo a la lista Seleccionados haciendo clic en la flecha correspondiente. Haga clic en Guardar .

Figura 9

8.Haga clic en Guardar y siguiente y luego haga clic en Implementar .

Figura 10

Paso 2: Configurar iRules

Crea dos iRules y dos servidores virtuales. La primera iRule escucha las solicitudes HTTP del dispositivo Firepower. Luego, Firepower responde a través de su API de remediación y envía una solicitud HTTP que contiene una dirección IP y un valor de tiempo de espera. La dirección es la IP de origen que SSL Orchestrator bloqueará durante el período de tiempo de espera. Para obtener detalles y tutoriales de iRules, consulte F5 DevCentral

1.Cree la primera iRule en SSL Orchestrator seleccionando Tráfico local > iRules y luego haciendo clic en Crear .

Figura 11

2.Nombre la iRule (FTD-Control en este ejemplo) y luego copie y pegue el texto de la iRule (en la Figura 3 a continuación) en el campo Definición . Haga clic en Finalizar . Esta iRule se asociará con el servidor virtual de control.


cuando HTTP_REQUEST {
si { [URI::consulta [HTTP::uri] "acción"] es igual a "lista de bloqueo" } {
establecer bloqueoIP [URI::consulta [HTTP::uri] "sip"]
establecer IPtimeout [URI::consulta [HTTP::uri] "tiempo de espera"]
tabla agregar -subtabla "lista de bloqueo" $blockingIP 1 $IPtimeout
HTTP::respond 200 contenido "$blockingIP añadido a la lista de bloqueo por $IPtimeout segundos"
devolver
}
HTTP::respond 200 contenido "Debe incluir una consulta de acción ?"
}

 

Figura 3: El primer texto de iRule para copiar y pegar

Figura 12

3.Cree una segunda iRule haciendo clic en Crear nuevamente.

4.Nombra la segunda iRule (FTD-Protect en este ejemplo) y luego copia y pega el texto de la iRule en la Figura 4, a continuación, en el campo Definición .


cuando CLIENTE_ACEPTADO {
establecer srcip [IP::dirección_remota]
si { [tabla búsqueda -subtabla "lista de bloqueo" $srcip] != "" } {
gota
registro local0. "IP de origen en la lista de bloqueos"
devolver
}
}

Figura 4: El segundo texto de iRule para copiar y pegar

5.Haga clic en Finalizar . Esta iRule se asociará con el servidor virtual Protect.

Figura 13

Paso 3: Configurar servidores virtuales y adjuntar las iRules

1.Cree los servidores virtuales seleccionando Tráfico local > Servidores virtuales y haciendo clic en Crear .

Figura 14

2.Nombre el servidor virtual (teniendo en cuenta el nombre del iRule asociado): FTD-Control en este ejemplo. Para Tipo , seleccione Estándar .

3.Para Dirección de origen , ingrese 0.0.0.0/0, lo que indica que cualquier dirección de origen coincidirá.

4.Para Dirección/Máscara de destino , ingrese la dirección IP que SSL Orchestrator escuchará para aceptar solicitudes de API de Firepower. (En este ejemplo, es 10.5.9.77/32, lo que indica que SSL Orchestrator solo responderá a las conexiones a esa única dirección IP.

Nota : La dirección/máscara de destino debe estar en la misma subred que la segunda interfaz de administración en el Centro de administración de Firepower, lo que se analizará más adelante en esta guía.

Figura 15

5.Para VLAN y tráfico de túnel , F5 recomienda seleccionar Habilitado en … la VLAN específica que utilizará la segunda interfaz de administración de Firepower, en lugar de Todas las VLAN y túneles .

Figura 16

6.Seleccione la misma VLAN que utilizará la segunda interfaz de administración de Firepower (vlan509 en este ejemplo). Haga clic en << para mover la VLAN correcta a la lista Seleccionada .

Figura 17

7.En Recursos , haga clic en el iRule FTD-Control creado anteriormente y haga clic en << para moverlo a la lista Habilitado , luego haga clic en Finalizado .

Figura 18

8.Para crear el segundo servidor virtual, haga clic en Crear nuevamente.

Figura 19

9. Nombre el servidor virtual (FTD-Protect en este ejemplo) y, en Tipo , haga clic en Reenvío (IP) .

10.Introduzca la dirección de origen (10.4.11.152/32 en este ejemplo). Este servidor virtual solo aceptará conexiones con una IP de origen de 10.4.11.152 para fines de prueba, para asegurarse de que todo funcione con un solo cliente de prueba. Para una topología entrante, la dirección de origen podría establecerse en 0.0.0.0/0, lo que permitiría conexiones desde cualquier lugar.

11.Introduzca la dirección/máscara de destino . En este caso, la red 10.5.11.0 es el destino que debe tomar el tráfico de la red 10.4.11.0 para pasar por SSL Orchestrator y continuar hacia Internet.

Figura 20

12.En Configuración , seleccione Habilitado en … para VLAN y Tráfico de túnel .

13.En Disponible , seleccione la VLAN de ingreso en la que SSL Orchestrator recibe tráfico (Direct_all_vlan_511_2 en este ejemplo). Haga clic en << para moverlo a la lista Seleccionados .

Figura 21

14.En Recursos , haga clic en la iRule FTD-Protect creada anteriormente. Haga clic en << para moverlo a la lista Habilitado , luego haga clic en Finalizado .

Figura 22

Ahora tienes:

  • Se creó el servicio TAP de Firepower.
  • Se crearon iRules.
  • Se crearon servidores virtuales.
  • Adjunté las iRules a los servidores virtuales.
Configuración de Cisco FTD

Estos procedimientos suponen que Cisco Firepower y Firepower Management Center (FMC) cuentan con la licencia y están implementados y funcionan correctamente.

1.Inicie sesión en el Centro de administración de Firepower para ver el Panel de resumen .

Figura 23

 

2.Haga clic en Sistema > Configuración . (Se abrirá la pestaña Dispositivos ).

Figura 24

3.Haga clic en Interfaces de administración en el menú de la izquierda. Se debe configurar una interfaz de administración de FMC para el tráfico de eventos y debe estar en la misma subred que el servidor virtual de control en SSL Orchestrator (10.5.9.77 en los ejemplos).

Figura 25

4.Al utilizar una máquina virtual para FMC, haga clic en Agregar nuevo dispositivo y agregue una segunda NIC dentro de la consola del hipervisor. (Consulte la captura de pantalla a continuación y la guía de administración de Hypervisor para obtener más información sobre cómo hacer esto).

Figura 26

5.Para configurar la segunda interfaz de administración, haga clic en el ícono de lápiz (editar).

Figura 27

6.Seleccione Habilitado . (El tráfico de eventos debe estar habilitado, pero no es obligatorio el tráfico de administración).

7.Establecer la configuración IPv4 en estática . Introduzca la dirección IP y la máscara de subred, luego haga clic en Aceptar .

Nota : Esta interfaz debe estar en la misma VLAN y subred que la interfaz de control en SSL Orchestrator.

Figura 28

8.Haga clic en Guardar .

Figura 29

Política de acceso a Firepower

Esta guía asume que las políticas de intrusión y malware, que deberían parecerse al ejemplo a continuación, están habilitadas para el dispositivo Firepower.

Figura 31

Políticas de remediación de Firepower

A continuación, cree una política de remediación de Firepower. Una política de remediación puede adoptar una variedad de acciones basadas en un conjunto casi infinito de criterios. Por ejemplo, si se detecta un evento de intrusión, Firepower puede indicarle a SSL Orchestrator que bloquee la IP de origen durante un período de tiempo determinado.

1.Instalar el módulo de remediación F5. Para hacerlo, en el FMC, haga clic en Políticas > Acciones > Respuestas > Módulos .

Figura 31

2.Haga clic en Explorar para localizar el módulo de remediación F5 en su computadora. Selecciónelo, haga clic en Abrir y luego haga clic en Instalar . Una vez instalado, haga clic en la lupa de la derecha.

Figura 32

3.Haga clic en Agregar para configurar una instancia.

Figura 32

4. Nombra la instancia (Block_Bad_Actors en este ejemplo). Introduzca la dirección IP del servidor virtual de control de SSL Orchestrator (10.5.9.77 en este ejemplo). Cambiar el tiempo de espera es opcional. Por último, haga clic en Crear .

Figura 34

5.A continuación, en Remediaciones configuradas , haga clic en Agregar .

Figura 35

6. Nombre la remediación (RemediateBlockIP en este ejemplo) y haga clic en Crear .

Figura 36

7.Seleccione Políticas > Correlación > Crear política para crear una política de correlación, que definirá cuándo y cómo iniciar la remediación.

Figura 37

8. Nombre la política de correlación (Remediación en este ejemplo) y haga clic en Guardar .

Figura 38

9.En la pestaña Administración de reglas , haga clic en Crear regla .

Figura 39

10. Nombra la regla (RemediateRule en este ejemplo).

Figura 40

11.Para el tipo de evento, seleccione si ocurre un evento de intrusión . (Para realizar pruebas, consulte también la nota en el siguiente paso).

Figura 41

12.Para la Condición , seleccione País de origen > es > Corea del Norte (por ejemplo) y luego haga clic en Guardar .

Figura 42

Nota : El FMC puede activar una remediación para una variedad de eventos diferentes, no solo intrusión. De hecho, al configurar la remediación es posible que desee utilizar un tipo de evento diferente para facilitar la activación de un evento y verificar que se haya remediado correctamente. Por ejemplo, elija que se produzca un evento de conexión y luego configure la condición en URL > contiene la cadena > foo . Entonces la regla de remediación debería activarse si intentas acceder a foo.com.

Figura 43

13.Regrese a la pestaña Administración de políticas y haga clic en la política creada anteriormente (Remediación en este ejemplo). Haga clic en Agregar reglas .

Figura 44

14.Seleccione RemediateRule y haga clic en Agregar .

Figura 45

15.Haga clic en Guardar .

Figura 46

Las políticas de correlación se pueden habilitar o deshabilitar usando el interruptor ubicado a la derecha. Asegúrese de que la política correcta esté habilitada.

Políticas de remediación de Firepower

El estado de los eventos de remediación se puede ver en el FMC haciendo clic en Análisis > Correlación > Estado. Consulte la columna Mensaje de resultado para ver el mensaje “Finalización exitosa de la remediación”.

Figura 47

CONCLUSIÓN

Estas prácticas recomendadas configuran F5 BIG-IP SSL Orchestrator con Cisco FTD en una arquitectura demostrada para abordar tanto el escenario de usuario de control y visibilidad de SSL como el escenario de usuario de bloqueo y dirección de tráfico basado en políticas IPS. Con la terminación SSL en SSL Orchestrator, los sensores FTD brindan visibilidad tanto del tráfico de ingreso como de egreso para adaptar y proteger las aplicações, servidores y otros recursos de una organización. Al utilizar la dirección de tráfico basada en políticas de seguridad, una organización puede aprovechar esta configuración y seguir escalando, agregando más dispositivos administrados por FTD para brindar mayor capacidad de tráfico para las redes y aplicações protegidas. La flexibilidad basada en políticas que ofrece SSL Orchestrator también se puede aprovechar para dirigir selectivamente el tráfico a diferentes grupos de recursos en función de los requisitos comerciales, de seguridad o de cumplimiento.

Publicado el 9 de octubre de 2020
  • Compartir en Facebook
  • Compartir con X
  • Compartir en Linkedin
  • Compartir por correo electrónico
  • Compartir vía AddThis

CONECTE CON F5

Laboratorios F5

Lo último en inteligencia de amenazas de aplicaciones.

Centro de desarrollo

La comunidad de F5 para foros de discusión y artículos de expertos.

Sala de prensa de F5

Noticias, blogs de F5 y mucho más.