Correction des incidents avec Cisco Firepower Threat Defense et F5 SSL Orchestrator

F5 SSL Orchestrator permet aux entreprises de sécuriser leurs entreprises et fournit l'échelle nécessaire pour empêcher divers types d'attaques, vecteurs et présentations tout en offrant une visibilité sans compromis sur le trafic de données traversant diverses zones de sécurité. Associé à une stratégie anti-déni de service distribué (DDoS) solide, SSL Orchestrator et son intégration avec Cisco Firepower Threat Defense (FTD) fournissent les composants nécessaires à la sécurité du périmètre et assurent une protection complète en protégeant l'entreprise contre les logiciels malveillants, les robots et autres attaques.

Pour parvenir à une intégration transparente, F5 s'est associé à Cisco pour valider et produire des architectures de référence pour l'intégration de SSL Orchestrator et de Firepower Threat Defense. Les tests et la validation ont été réalisés dans les installations de F5 Labs en utilisant des appareils Firepower virtuels et physiques avec FTD.

Ce guide aide les administrateurs à identifier et à déployer des configurations validées pour les cas d'utilisation courants. Les scénarios clients définis ici abordent la direction et le blocage du trafic basés sur des politiques ainsi que la visibilité et le contrôle SSL.

Ce scénario utilise SSL Orchestrator pour allouer les flux de trafic à différentes ressources en fonction de la charge. Alternativement, l'allocation s'effectue à l'aide de l'intelligence économique, en fonction de fonctionnalités telles que la gestion centralisée des politiques ou F5 iRules pour des processus de prise de décision plus approfondis, que les ressources FTD peuvent exploiter pour l'inspection. Par exemple, l’application A peut être dirigée vers un pool de serveurs FTD avec un ensemble de règles spécialisé qui surveille les signatures spécifiques à son environnement, tandis que l’application B est dirigée vers un autre pool. L'intégration avec l'API de correction Firepower permet au système de réagir de manière dynamique pour réduire la demande sur l'infrastructure FTD en utilisant une iRule pour renseigner une adresse IP dans une liste de blocage. Le trafic provenant du contrevenant identifié est bloqué avant d'entrer dans le FTD pendant une période de temps prédéfinie. Étant donné qu’une des stratégies des attaquants consiste à fournir une quantité écrasante de trafic distrayant pour masquer la véritable attaque, cette tactique de correction peut permettre à FTD de concentrer ses ressources sur l’identification de nouvelles attaques sans avoir à remédier aux attaquants déjà identifiés.

La terminaison SSL est un processus gourmand en ressources, mais les périphériques F5 incluent des processeurs matériels dédiés spécialisés dans le traitement SSL. Pour les scénarios de déploiement entrants et sortants, l'utilisation de SSL Orchestrator plus FTD offre une visibilité sans compromis sur le trafic SSL.

Les applications entrantes sont rarement déployées sans tenir compte de la haute disponibilité, et la terminaison SSL sur une instance F5 BIG-IP garantit une distribution d'applications sécurisée et améliorée tout en offrant aux capteurs FTD une visibilité sur le trafic SSL. Lorsque la politique de sécurité l'exige, le trafic peut être rechiffré avant d'être transmis aux serveurs principaux.

La prolifération de sites Web utilisant désormais le cryptage SSL pour protéger les utilisateurs constitue un défi pour les pools de capteurs FTD dans leur mission d'élimination des logiciels malveillants et des attaques. SSL Orchestrator peut fournir une visibilité complète sur le trafic utilisateur.

SSL Orchestrator prend en charge l'inspection SSL/TLS entrante pour empêcher les menaces chiffrées de passer inaperçues et de compromettre les actifs critiques. Protège vos applications et vos serveurs en éliminant les angles morts de sécurité et en arrêtant les menaces cachées.

L'architecture validée contient un pool équilibré de pools de serveurs d'applications Web frontaux de périphériques Firepower. Cette approche maximise l’efficacité de la solution combinée Cisco et F5 tout en abordant à la fois la visibilité et le contrôle SSL ainsi que la gestion et le blocage du trafic. Le trafic de la zone d'inspection est déchiffré suffisamment longtemps pour être inspecté par les périphériques Firepower et rechiffré avant d'être envoyé au serveur d'application ou au client.

Dans la figure 1, les services Firepower inspectent, bloquent et signalent tous les flux réseau. Une fois que le trafic traverse les périphériques FTD, il est ensuite acheminé via SSL Orchestrator. Cela garantit que le trafic peut être inspecté et, si nécessaire, les adresses IP peuvent être bloquées.

Figure 1 : SSL Orchestrator crée une zone d'inspection où FTD peut inspecter le trafic et détecter et bloquer les menaces.

SSL Orchestrator prend en charge l'inspection SSL/TLS sortante pour empêcher les logiciels malveillants de pénétrer dans le réseau de l'entreprise et pour empêcher la communication de commande et de contrôle (C&C) via des canaux cryptés. La solution arrête les infections par des logiciels malveillants, l’exfiltration de données et les communications C&C.

L’architecture validée protège les clients internes contre les menaces basées sur Internet. Les clients accèdent à Internet via SSL Orchestrator, qui décrypte ce trafic et en envoie une copie aux appareils Firepower pour inspection. 

Figure 2 : SSL Orchestrator envoie le trafic sortant à FTD pour inspection afin de protéger les clients internes contre les menaces Internet.

Ces procédures supposent l'existence d'une topologie d'orchestrateur SSL fonctionnelle, entrante ou sortante, et se concentrent sur l'ajout d'un service TAP Cisco Firepower, y compris les étapes suivantes :

1. Créez le service TAP Firepower.
2. Créer des iRules.
3. Créer des serveurs virtuels.
4. Attachez les iRules aux serveurs virtuels.

Les deux types de topologie sont pris en charge et la configuration de la solution de correction Cisco est la même. Si vous ne disposez pas encore d’une topologie SSL Orchestrator fonctionnelle, reportez-vous à la série d’articles SSL Orchestrator sur F5 DevCentral pour connaître les étapes de configuration complètes.

Ce guide décrit les étapes nécessaires pour déployer Cisco FTD avec SSL Orchestrator, y compris la configuration des services Firepower (nœuds Firepower), la politique de sécurité et l'application des iRules. FTD peut être déployé en tant que solution de couche 2/3 ou TAP. SSL Orchestrator peut être déployé en tant que solution de couche 2 ou 3. SSL Orchestrator offre la flexibilité de déployer de la manière qui vous convient le mieux. Par exemple, SSL Orchestrator peut être déployé en mode couche 2 tandis que FTD est déployé en mode couche 3, et vice versa.

Une connaissance des concepts et de la technologie de déploiement F5 ainsi que de la mise en réseau de base est essentielle pour configurer et déployer SSL Orchestrator. Pour plus de détails sur la configuration et l'installation du réseau, veuillez visiter le site d'assistance F5, AskF5 .

Bien que l'assistant de configuration guidée vous aide à configurer la plupart de cette solution, certaines opérations doivent être effectuées en dehors de celui-ci. Cet exemple utilise une topologie sortante L2 existante.

1. Dans l’utilitaire de configuration, cliquez sur SSL Orchestrator > Configuration > Services > Ajouter .

2. Sous Propriétés du service , sélectionnez Cisco Firepower Threat Defense TAP et cliquez sur Ajouter .

3. Nommez le service et entrez l'adresse MAC Firepower (ou 12:12:12:12:12:12 s'il est directement connecté à SSL Orchestrator).

4. Sous VLAN , cliquez sur Créer un nouveau , entrez un nom (par exemple, Firepower) et sélectionnez l'interface correcte (2.2 dans cet exemple). Ou si vous avez déjà configuré le VLAN, cliquez sur Utiliser l’existant , puis sélectionnez le VLAN approprié dans le menu déroulant.

Note : Spécifiez une balise VLAN si nécessaire.

5. L'activation du remappage des ports est facultative. Cliquez sur Enregistrer et Suivant .

6. Cliquez sur la chaîne de services que vous souhaitez configurer (sslo_SC_ServiceChain dans cet exemple). Si vous n’avez pas de chaîne de service existante, ajoutez-en une maintenant.

7. Sélectionnez le service Firepower et déplacez-le vers la liste Sélectionné en cliquant sur la flèche appropriée. Cliquez sur Enregistrer .

8. Cliquez sur Enregistrer et Suivant , puis sur Déployer .

Créez deux iRules et deux serveurs virtuels. La première iRule écoute les requêtes HTTP du périphérique Firepower. Firepower répond ensuite via son API de correction et envoie une requête HTTP contenant une adresse IP et une valeur de délai d'expiration. L'adresse est l'IP source à bloquer par SSL Orchestrator, qui la bloquera pendant toute la durée du délai d'expiration. Pour plus de détails et les didacticiels iRules, veuillez consulter F5 DevCentral . 

1. Créez la première iRule sur SSL Orchestrator en sélectionnant Trafic local > iRules , puis en cliquant sur Créer .

2. Nommez l'iRule (FTD-Control dans cet exemple), puis copiez et collez le texte de l'iRule (dans la Figure 3 ci-dessous) dans le champ Définition . Cliquez sur Terminé . Cette iRule sera associée au serveur virtuel de contrôle.

Figure 3 : Le premier texte iRule à copier et coller

3. Créez une deuxième iRule en cliquant à nouveau sur Créer .

4. Nommez la deuxième iRule (FTD-Protect dans cet exemple), puis copiez/collez le texte de l'iRule dans la figure 4, ci-dessous, dans le champ Définition .

Figure 4 : Le deuxième texte iRule à copier et coller

5. Cliquez sur Terminé . Cette iRule sera associée au serveur virtuel Protect.

1. Créez les serveurs virtuels en sélectionnant Trafic local > Serveurs virtuels et en cliquant sur Créer .

2. Nommez le serveur virtuel (en gardant à l’esprit le nom de l’iRule associé) : FTD-Control dans cet exemple. Pour Type , sélectionnez Standard .

3. Pour l'adresse source , entrez 0.0.0.0/0, ce qui indique que n'importe quelle adresse source correspondra.

4. Pour l'adresse/masque de destination , saisissez l'adresse IP que SSL Orchestrator écoutera pour accepter les requêtes API de Firepower. (Dans cet exemple, il s'agit de 10.5.9.77/32, ce qui indique que SSL Orchestrator ne répondra qu'aux connexions à cette seule adresse IP.

Note : L'adresse/le masque de destination doit se trouver dans le même sous-réseau que la deuxième interface de gestion du centre de gestion Firepower, ce qui sera abordé plus loin dans ce guide.

5. Pour les VLAN et le trafic de tunnel , F5 recommande de sélectionner Activé sur … le VLAN spécifique que la deuxième interface de gestion Firepower utilisera, plutôt que Tous les VLAN et tunnels .

6. Sélectionnez le même VLAN qui sera utilisé par la deuxième interface de gestion Firepower (vlan509 dans cet exemple). Cliquez sur << pour déplacer le VLAN correct vers la liste Sélectionné .

7. Sous Ressources , cliquez sur la iRule FTD-Control créée précédemment et cliquez sur << pour la déplacer vers la liste Activée , puis cliquez sur Terminé .

8. Pour créer le deuxième serveur virtuel, cliquez à nouveau sur Créer .

9. Nommez le serveur virtuel (FTD-Protect dans cet exemple) et pour Type , cliquez sur Transfert (IP) .

10. Entrez l' adresse source (10.4.11.152/32 dans cet exemple). Ce serveur virtuel n'acceptera que les connexions avec une IP source de 10.4.11.152 à des fins de test, pour s'assurer que tout fonctionne avec un seul client de test. Pour une topologie entrante, l' adresse source peut être définie sur 0.0.0.0/0, ce qui autoriserait les connexions depuis n'importe où.

11. Entrez l' adresse/le masque de destination . Dans ce cas, le réseau 10.5.11.0 est la destination que le trafic réseau 10.4.11.0 doit emprunter pour passer par SSL Orchestrator et se diriger vers Internet.

12. Sous Configuration , sélectionnez Activé sur … pour le trafic VLAN et tunnel .

13. Sous Disponible , sélectionnez le VLAN d’entrée sur lequel SSL Orchestrator reçoit le trafic (Direct_all_vlan_511_2 dans cet exemple). Cliquez sur << pour le déplacer vers la liste Sélectionné .

14. Sous Ressources , cliquez sur la iRule FTD-Protect créée précédemment. Cliquez sur << pour le déplacer vers la liste Activé , puis cliquez sur Terminé .

Vous avez maintenant :

• Création du service Firepower TAP.
• Création de iRules.
• Serveurs virtuels créés.
• J'ai attaché les iRules aux serveurs virtuels.

Ces procédures supposent que Cisco Firepower et Firepower Management Center (FMC) ont été sous licence et déployés et fonctionnent correctement.

1. Connectez-vous au centre de gestion Firepower pour afficher le tableau de bord récapitulatif .

2. Cliquez sur Système > Configuration . (L'onglet Appareils s'ouvre.)

3. Cliquez sur Interfaces de gestion dans le menu de gauche. Une interface de gestion FMC doit être configurée pour le trafic d'événements et doit se trouver sur le même sous-réseau que le serveur virtuel de contrôle sur SSL Orchestrator (10.5.9.77 dans les exemples).

4. Lorsque vous utilisez une machine virtuelle pour FMC, cliquez sur Ajouter un nouveau périphérique et ajoutez une deuxième carte réseau dans la console de l’hyperviseur. (Reportez-vous à la capture d’écran ci-dessous et au guide d’administration de votre hyperviseur pour plus d’informations sur la façon de procéder.)

5. Pour configurer la deuxième interface de gestion, cliquez sur l'icône en forme de crayon (modifier).

6. Sélectionnez Activé . (Le trafic d'événements doit être activé, mais le trafic de gestion n'est pas requis.)

7. Définissez la configuration IPv4 sur Statique . Saisissez l’adresse IP et le masque de sous-réseau, puis cliquez sur OK .

Note : Cette interface doit être sur le même VLAN et sous-réseau que l'interface de contrôle sur SSL Orchestrator.

8. Cliquez sur Enregistrer .

Ce guide suppose que les politiques d’intrusion et de logiciels malveillants, qui devraient ressembler à l’exemple ci-dessous, sont activées pour l’appareil Firepower.

Ensuite, créez une politique de correction Firepower. Une politique de remédiation peut prendre diverses mesures en fonction d’un ensemble presque infini de critères. Par exemple, si un événement d’intrusion est détecté, Firepower peut demander à SSL Orchestrator de bloquer l’IP source pendant un certain temps.

1. Installez le module de correction F5. Pour ce faire, dans le FMC, cliquez sur Politiques > Actions > Réponses > Modules .

2. Cliquez sur Parcourir pour localiser le module de correction F5 sur votre ordinateur. Sélectionnez-le, cliquez sur Ouvrir , puis sur Installer . Une fois installé, cliquez sur la loupe à droite.

3. Cliquez sur Ajouter pour configurer une instance.

4. Nommez l'instance (Block_Bad_Actors dans cet exemple). Saisissez l'adresse IP du serveur virtuel de contrôle SSL Orchestrator (10.5.9.77 dans cet exemple). La modification du délai d'expiration est facultative. Enfin, cliquez sur Créer .

5. Ensuite, sous Corrections configurées , cliquez sur Ajouter .

6. Nommez la correction (RemediateBlockIP dans cet exemple) et cliquez sur Créer .

7. Sélectionnez Politiques > Corrélation > Créer une politique pour créer une politique de corrélation, qui définira quand et comment lancer la correction.

8. Nommez la politique de corrélation (Remédiation dans cet exemple) et cliquez sur Enregistrer .

9. Dans l’onglet Gestion des règles , cliquez sur Créer une règle .

10. Nommez la règle (RemediateRule dans cet exemple).

11. Pour le type d'événement, sélectionnez un événement d'intrusion qui se produit . (Pour les tests, voir également la note à l’étape suivante.)

12. Pour la condition , sélectionnez Pays source > est > Corée du Nord (par exemple), puis cliquez sur Enregistrer .

Note : Le FMC peut déclencher une correction pour une variété d'événements différents, pas seulement une intrusion. En fait, lors de la configuration de la correction, vous souhaiterez peut-être utiliser un type d’événement différent pour faciliter le déclenchement d’un événement et vérifier qu’il a été corrigé avec succès. Par exemple, choisissez qu'un événement de connexion se produit, puis définissez la condition sur URL > contient la chaîne > foo . La règle de correction devrait alors se déclencher si vous tentez d'accéder à foo.com.

13. Revenez à l’onglet Gestion des politiques et cliquez sur la politique créée précédemment (Remédiation dans cet exemple). Cliquez sur Ajouter des règles .

14. Sélectionnez RemediateRule et cliquez sur Ajouter .

15. Cliquez sur Enregistrer .

Les politiques de corrélation peuvent être activées ou désactivées à l'aide du bouton bascule sur la droite. Assurez-vous que la bonne politique est activée.

L'état des événements de correction peut être consulté dans le FMC en cliquant sur Analyse > Corrélation > État. Consultez la colonne Message de résultat pour le message « Achèvement réussi de la correction ».

Ces pratiques recommandées configurent F5 BIG-IP SSL Orchestrator avec Cisco FTD dans une architecture démontrée pour répondre à la fois au scénario utilisateur de visibilité et de contrôle SSL et au scénario utilisateur de blocage et de pilotage du trafic basé sur la politique IPS. Avec la terminaison SSL sur SSL Orchestrator, les capteurs FTD offrent une visibilité sur le trafic entrant et sortant pour adapter et protéger les applications, les serveurs et les autres ressources d'une organisation. En utilisant la gestion du trafic basée sur des politiques de sécurité, une organisation peut capitaliser sur cette configuration et continuer à évoluer, en ajoutant davantage de périphériques gérés par FTD pour fournir une plus grande capacité de trafic pour les réseaux et applications protégés. La flexibilité basée sur les politiques fournie par SSL Orchestrator peut également être exploitée pour diriger de manière sélective le trafic vers différents pools de ressources en fonction des exigences commerciales, de sécurité ou de conformité.