Cisco Firepower Threat Defense 및 F5 SSL Orchestrator를 사용한 사고 해결

F5 SSL Orchestrator를 사용하면 회사는 기업을 보호할 수 있으며 다양한 보안 영역을 통과하는 데이터 트래픽에 대한 타협 없는 가시성을 제공하는 동시에 다양한 공격 유형, 벡터 및 공격을 방지하는 데 필요한 규모를 제공합니다. SSL Orchestrator와 Cisco Firepower Threat Defense(FTD)의 통합을 강력한 분산 서비스 거부(DDoS) 전략과 결합하면 경계 보안에 필요한 구성 요소를 제공하고 기업을 맬웨어, 봇 및 기타 공격으로부터 보호하여 포괄적인 보호 기능을 제공합니다.

원활한 통합을 달성하기 위해 F5는 Cisco와 협력하여 SSL Orchestrator와 Firepower Threat Defense를 통합하기 위한 참조 아키텍처를 검증하고 제작했습니다. 테스트와 검증은 FTD가 적용된 가상 및 물리적 Firepower 장치를 사용하여 F5 연구소에서 수행되었습니다.

이 가이드는 관리자가 일반적인 사용 사례에 대해 검증된 구성을 식별하고 배포하는 데 도움이 됩니다. 여기에 정의된 고객 시나리오는 정책 기반 트래픽 조정 및 차단은 물론 SSL 가시성 및 제어도 다룹니다.

이 시나리오에서는 SSL Orchestrator를 사용하여 부하에 따라 트래픽 흐름을 다른 리소스에 할당합니다. 또는, 중앙 집중식 정책 관리나 보다 심층적인 의사 결정 프로세스를 위한 F5 iRules와 같은 기능을 기반으로 하는 비즈니스 인텔리전스를 사용하여 할당하고, FTD 리소스가 검사에 활용할 수 있습니다. 예를 들어, 애플리케이션 A는 해당 환경에 맞는 시그니처를 모니터링하는 특수 규칙 집합을 갖춘 FTD 서버 풀로 지정되고, 애플리케이션 B는 다른 풀로 지정될 수 있습니다. Firepower 복구 API와 통합하면 iRule을 사용하여 IP 주소를 차단 목록에 채워 FTD 인프라에 대한 수요를 줄이기 위해 시스템이 동적으로 대응할 수 있습니다. 식별된 위반자의 트래픽은 FTD에 진입하기 전에 미리 설정된 기간 동안 차단됩니다. 공격자의 한 가지 전략은 실제 공격을 가리기 위해 엄청난 양의 주의를 산만하게 하는 트래픽을 제공하는 것이므로, 이러한 해결 전략을 통해 FTD는 이미 식별된 공격자를 해결하지 않고도 새로운 공격을 식별하는 데 리소스를 집중할 수 있습니다.

SSL 종료는 많은 리소스를 필요로 하는 프로세스이지만, F5 장치에는 SSL 처리에 특화된 전용 하드웨어 프로세서가 포함되어 있습니다. 인바운드 및 아웃바운드 배포 시나리오 모두에서 SSL Orchestrator와 FTD를 활용하면 SSL 트래픽에 대한 타협 없는 가시성을 얻을 수 있습니다.

인바운드 애플리케이션은 고가용성을 염두에 두지 않고 배포되는 경우가 거의 없으며, F5 BIG-IP 인스턴스의 SSL 종료는 FTD 센서에 SSL 트래픽에 대한 가시성을 제공하는 동시에 안전하고 향상된 애플리케이션 전송을 보장합니다. 보안 정책에 따라 트래픽은 백엔드 서버로 전달되기 전에 다시 암호화될 수 있습니다.

현재 사용자를 보호하기 위해 SSL 암호화를 사용하는 웹사이트가 급증함에 따라 악성 코드와 공격을 근절하려는 FTD 센서 풀의 임무에 어려움이 발생하고 있습니다. SSL Orchestrator는 사용자 트래픽에 대한 완전한 가시성을 제공할 수 있습니다.

SSL Orchestrator는 암호화된 위협이 감지되지 않고 중요한 자산이 손상되는 것을 방지하기 위해 인바운드 SSL/TLS 검사를 지원합니다. 보안 사각지대를 제거하고 숨겨진 위협을 차단하여 앱과 서버를 보호합니다.

검증된 아키텍처에는 Firepower 장치 프런트 엔드 웹 애플리케이션 서버 풀의 부하 분산 풀이 포함되어 있습니다. 이러한 접근 방식은 SSL 가시성 및 제어, 트래픽 관리 및 차단을 모두 처리하는 동시에 Cisco와 F5 솔루션의 효과를 극대화합니다. 검사 구역 트래픽은 Firepower 장치에서 검사할 수 있을 만큼 충분히 오랫동안 복호화되고, 애플리케이션 서버나 클라이언트로 전송되기 전에 다시 암호화됩니다.

그림 1에서 Firepower Services는 모든 네트워크 흐름을 검사하고 차단하고 보고합니다. 트래픽이 FTD 장치를 거친 후 SSL Orchestrator를 통해 다시 라우팅됩니다. 이를 통해 트래픽을 검사할 수 있으며 필요한 경우 IP 주소를 차단할 수 있습니다.

그림 1: SSL Orchestrator는 FTD가 트래픽을 검사하고 위협을 감지하여 차단할 수 있는 검사 구역을 생성합니다.

SSL Orchestrator는 아웃바운드 SSL/TLS 검사를 지원하여 맬웨어가 회사 네트워크에 침투하는 것을 막고 암호화된 채널을 통한 C&C(명령 및 제어) 통신을 차단합니다. 이 솔루션은 악성 소프트웨어 감염, 데이터 유출, C&C 통신을 차단합니다.

검증된 아키텍처는 내부 클라이언트를 인터넷 기반 위협으로부터 보호합니다. 클라이언트는 SSL Orchestrator를 통해 인터넷에 액세스하고, SSL Orchestrator는 이 트래픽을 해독하여 검사를 위해 Firepower 장치로 사본을 전송합니다. 

그림 2: SSL Orchestrator는 내부 클라이언트를 인터넷 위협으로부터 보호하기 위해 아웃바운드 트래픽을 FTD로 보내 검사합니다.

이러한 절차에서는 들어오는 SSL Orchestrator 토폴로지 또는 나가는 SSL Orchestrator 토폴로지가 작동 중이라고 가정하고 다음 단계를 포함하여 Cisco Firepower TAP 서비스를 추가하는 데 중점을 둡니다.

1. Firepower TAP 서비스를 생성합니다.
2. iRules를 만듭니다.
3. 가상 서버를 만듭니다.
4. iRules를 가상 서버에 연결합니다.

두 가지 토폴로지 유형이 모두 지원되며 Cisco 수정 솔루션의 구성은 동일합니다. 작동하는 SSL Orchestrator 토폴로지가 없는 경우 F5 DevCentral의 SSL Orchestrator 문서 시리즈를 참조하여 전체 구성 단계를 확인하세요.

이 가이드에서는 Firepower 서비스(Firepower 노드) 구성, 보안 정책, iRules 적용을 포함하여 SSL Orchestrator와 함께 Cisco FTD를 배포하는 데 필요한 단계를 설명합니다. FTD는 2/3 계층 또는 TAP 솔루션으로 배포될 수 있습니다. SSL Orchestrator는 2계층 또는 3계층 솔루션으로 배포될 수 있습니다. SSL Orchestrator는 사용자에게 가장 적합한 방식으로 배포할 수 있는 유연성을 제공합니다. 예를 들어, SSL Orchestrator는 2계층 모드에 배포되고 FTD는 3계층 모드에 배포될 수 있으며 그 반대의 경우도 마찬가지입니다.

SSL Orchestrator를 구성하고 배포하려면 F5 배포 개념과 기술, 기본 네트워킹에 대한 지식이 필수적입니다. 구성 및 네트워크 설정에 대한 자세한 내용은 F5 지원 사이트 AskF5를 방문하세요.

가이드 구성 마법사를 사용하면 대부분의 솔루션을 구성하는 데 도움이 되지만, 몇 가지 작업은 가이드 구성 마법사 외부에서 수행해야 합니다. 이 예제에서는 기존 L2 아웃바운드 토폴로지를 사용합니다.

1. 구성 유틸리티에서 SSL Orchestrator > 구성 > 서비스 > 추가를 클릭합니다.

2. 서비스 속성 에서 Cisco Firepower Threat Defense TAP을 선택하고 추가를 클릭합니다.

3. 서비스 이름을 지정 하고 Firepower MAC 주소(SSL Orchestrator에 직접 연결된 경우 12:12:12:12:12:12)를 입력합니다.

4. VLAN 에서 새로 만들기를 클릭하고 이름 (예: Firepower)을 입력한 다음 올바른 인터페이스(이 예에서는 2.2)를 선택합니다. 또는 이전에 VLAN을 구성한 경우 '기존 사용' 을 클릭한 다음 드롭다운 메뉴에서 적절한 VLAN을 선택합니다.

메모 : 필요한 경우 VLAN 태그를 지정하세요.

5. 포트 리맵을 활성화하는 것은 선택 사항입니다. 저장 및 다음을 클릭하세요 .

6. 구성하려는 서비스 체인을 클릭합니다(이 예에서는 sslo_SC_ServiceChain). 기존 서비스 체인이 없다면 지금 추가하세요.

7. Firepower 서비스를 선택한 뒤 적절한 화살표를 클릭하여 선택됨 목록으로 이동합니다. 저장을 클릭하세요.

8. 저장 및 다음을 클릭한 다음 배포를 클릭합니다.

두 개의 iRules와 두 개의 가상 서버를 만듭니다. 첫 번째 iRule은 Firepower 장치로부터 HTTP 요청을 수신합니다. 그러면 Firepower가 Remediation API를 통해 응답하고 IP 주소와 시간 초과 값이 포함된 HTTP 요청을 보냅니다. 주소는 SSL Orchestrator가 차단할 소스 IP이며, SSL Orchestrator는 시간 초과 기간 동안 해당 IP를 차단합니다. 자세한 내용과 iRules 튜토리얼은 F5 DevCentral을 참조하세요. 

1. 로컬 트래픽 > iRules를 선택한 다음 만들기 를 클릭하여 SSL Orchestrator에서 첫 번째 iRule을 만듭니다.

2. iRule의 이름을 지정한 다음(이 예에서는 FTD-Control) iRule의 텍스트(아래 그림 3)를 복사하여 정의 필드에 붙여 넣습니다. 완료를 클릭합니다. 이 iRule은 Control 가상 서버와 연결됩니다.

그림 3: 복사하여 붙여넣을 첫 번째 iRule 텍스트

3. 다시 '만들기' 를 클릭하여 두 번째 iRule을 만듭니다.

4. 두 번째 iRule의 이름을 지정하고(이 예에서는 FTD-Protect) 아래 그림 4의 iRule 텍스트를 정의 필드에 복사/붙여넣습니다.

그림 4: 복사하여 붙여넣을 두 번째 iRule 텍스트

5. 완료를 클릭합니다. 이 iRule은 Protect Virtual Server와 연결됩니다.

1. 로컬 트래픽 > 가상 서버를 선택하고 만들기 를 클릭하여 가상 서버를 만듭니다.

2. 가상 서버의 이름을 지정합니다(연관된 iRule의 이름을 염두에 두고) - 이 예에서는 FTD-Control입니다. 유형 에서 표준을 선택하세요.

3. 소스 주소 에 0.0.0.0/0을 입력합니다. 이는 모든 소스 주소가 일치함을 나타냅니다.

4. 대상 주소/마스크 에 SSL Orchestrator가 Firepower의 API 요청을 수락하기 위해 수신 대기할 IP 주소를 입력합니다. (이 예에서는 10.5.9.77/32인데, 이는 SSL Orchestrator가 해당 단일 IP 주소에 대한 연결에만 응답한다는 것을 나타냅니다.

메모 : 대상 주소/마스크는 Firepower Management Center의 두 번째 관리 인터페이스와 동일한 서브넷에 있어야 합니다. 이에 대해서는 이 가이드의 뒷부분에서 설명합니다.

5. VLAN 및 터널 트래픽 의 경우 F5는 모든 VLAN 및 터널 대신 Firepower Second Management Interface가 사용할 특정 VLAN 에서 사용을 선택하는 것을 권장합니다.

6. Firepower Second Management Interface(이 예에서는 vlan509)에서 사용할 동일한 VLAN을 선택합니다. <<를 클릭하여 올바른 VLAN을 선택 목록으로 이동합니다.

7. 리소스 에서 이전에 생성한 FTD-Control iRule을 클릭하고 <<를 클릭하여 사용 목록으로 이동한 다음 완료를 클릭합니다.

8. 두 번째 가상 서버를 만들려면 다시 '만들기'를 클릭하세요.

9. 가상 서버 이름 (이 예에서는 FTD-Protect)을 지정하고 유형 에서 전달(IP)을 클릭합니다.

10. 소스 주소 (이 예에서는 10.4.11.152/32)를 입력합니다. 이 가상 서버는 테스트 목적으로 소스 IP가 10.4.11.152인 연결만 허용하여 모든 것이 단일 테스트 클라이언트에서 제대로 작동하는지 확인합니다. 인바운드 토폴로지의 경우 소스 주소를 0.0.0.0/0으로 설정하면 어디에서든 연결이 허용됩니다.

11. 목적지 주소/마스크를 입력하세요. 이 경우, 10.5.11.0 네트워크는 10.4.11.0 네트워크 트래픽이 SSL Orchestrator를 통과하여 인터넷으로 이동하기 위해 거쳐야 하는 목적지입니다.

12. 구성 에서 VLAN 및 터널 트래픽 에 대해 ... 에서 사용을 선택합니다.

13. 사용 가능 에서 SSL Orchestrator가 트래픽을 수신하는 수신 VLAN을 선택합니다(이 예에서는 Direct_all_vlan_511_2). <<를 클릭하여 선택 목록으로 이동하세요.

14. 리소스 에서 이전에 만든 FTD-Protect iRule을 클릭합니다. <<를 클릭하여 사용 가능 목록으로 이동한 다음 완료를 클릭합니다.

이제 당신은:

• Firepower TAP 서비스를 만들었습니다.
• iRules를 만들었습니다.
• 가상 서버를 생성했습니다.
• iRules를 가상 서버에 연결했습니다.

이러한 절차에서는 Cisco Firepower 및 Firepower Management Center(FMC)에 대한 라이선스가 부여되고 배포되었으며 제대로 작동하고 있다고 가정합니다.

1. Firepower Management Center에 로그인하여 요약 대시보드를 확인하세요.

2. 시스템 > 구성을 클릭합니다. ( 장치 탭이 열립니다.)

3. 왼쪽 메뉴에서 관리 인터페이스를 클릭합니다. FMC 관리 인터페이스는 이벤트 트래픽에 대해 구성되어야 하며 SSL Orchestrator의 제어 가상 서버와 동일한 서브넷에 있어야 합니다(예시에서는 10.5.9.77).

4. FMC에 가상 머신을 사용하는 경우 새 장치 추가를 클릭하고 하이퍼바이저 콘솔에서 두 번째 NIC를 추가합니다. (자세한 방법은 아래 스크린샷과 하이퍼바이저 관리자 가이드를 참조하세요.)

5. 두 번째 관리 인터페이스를 구성하려면 연필(편집) 아이콘을 클릭하세요.

6. 사용을 선택하세요. (이벤트 트래픽은 활성화해야 하지만 관리 트래픽은 필요하지 않습니다.)

7. IPv4 구성을 정적으로 설정합니다. IP 주소와 서브넷 마스크를 입력한 후 확인을 클릭합니다.

메모 : 이 인터페이스는 SSL Orchestrator의 제어 인터페이스와 동일한 VLAN 및 서브넷에 있어야 합니다.

8. 저장을 클릭하세요.

이 가이드에서는 Firepower 장치에 침입 및 맬웨어 정책이 활성화되어 있다고 가정합니다. 정책은 아래 예와 유사합니다.

다음으로, Firepower 복구 정책을 만듭니다. 개선 정책은 거의 무한한 기준에 따라 다양한 조치를 취할 수 있습니다. 예를 들어, 침입 이벤트가 감지되면 Firepower는 SSL Orchestrator에 일정 시간 동안 소스 IP를 차단하라고 지시할 수 있습니다.

1. F5 복구 모듈을 설치합니다. 이렇게 하려면 FMC에서 정책 > 작업 > 응답 > 모듈을 클릭합니다.

2. 찾아보기를 클릭하여 컴퓨터에서 F5 수정 모듈을 찾으세요. 해당 항목을 선택하고 열기를 클릭한 다음 설치를 클릭합니다. 설치가 완료되면 오른쪽에 있는 돋보기를 클릭하세요.

3. 추가를 클릭하여 인스턴스를 구성합니다.

4. 인스턴스 이름을 지정합니다 (이 예에서는 Block_Bad_Actors). SSL Orchestrator Control Virtual Server의 IP 주소를 입력하세요(이 예에서는 10.5.9.77). 시간 초과 변경은 선택 사항입니다. 마지막으로 만들기를 클릭합니다.

5. 다음으로, 구성된 수정 사항 에서 추가를 클릭합니다.

6. 수정 이름 (이 예에서는 RemediateBlockIP)을 지정하고 만들기를 클릭합니다.

7. 정책 > 상관 관계 > 정책 생성을 선택하여 상관 관계 정책을 생성합니다. 이 정책은 수정 작업을 시작하는 시기와 방법을 정의합니다.

8. 상관관계 정책의 이름을 지정하고 (이 예에서는 Remediation) 저장을 클릭합니다.

9. 규칙 관리 탭에서 규칙 만들기를 클릭합니다.

10. 규칙의 이름을 지정합니다 (이 예에서는 RemediateRule).

11. 이벤트 유형에서 침입 이벤트가 발생하는지 선택합니다. (테스트를 위해 다음 단계의 참고 사항도 참조하세요.)

12. 조건 의 경우 소스 국가 > = > 북한 (예시)을 선택한 다음 저장을 클릭합니다.

메모 : FMC는 침입뿐만 아니라 다양한 이벤트에 대한 시정 조치를 실행할 수 있습니다. 실제로 수정을 구성하는 동안 다른 이벤트 유형을 사용하면 이벤트를 트리거하고 이벤트가 성공적으로 수정되었는지 확인하기가 더 쉬워질 수 있습니다. 예를 들어, 연결 이벤트가 발생 하면 조건을 URL > 문자열 포함 > foo 로 설정합니다. 그러면 foo.com으로 이동하려고 하면 수정 규칙이 실행되어야 합니다.

13. 정책 관리 탭으로 돌아가서 이전에 만든 정책(이 예에서는 수정)을 클릭합니다. 규칙 추가를 클릭합니다.

14. RemediateRule을 선택하고 추가를 클릭합니다.

15. 저장을 클릭하세요.

오른쪽에 있는 토글을 사용하여 상관관계 정책을 활성화하거나 비활성화할 수 있습니다. 올바른 정책이 활성화되어 있는지 확인하세요.

수정 이벤트의 상태는 FMC에서 분석 > 상관 관계 > 상태를 클릭하여 볼 수 있습니다. "수정이 성공적으로 완료되었습니다" 메시지는 결과 메시지 열을 참조하세요.

이러한 권장 사례는 SSL 가시성 및 제어 사용자 시나리오와 IPS 정책 기반 트래픽 조정 및 차단 사용자 시나리오를 모두 처리하는 것으로 입증된 아키텍처에서 Cisco FTD와 함께 F5 BIG-IP SSL Orchestrator를 구성합니다. SSL Orchestrator의 SSL 종료 기능을 통해 FTD 센서는 유입 및 유출 트래픽에 대한 가시성을 제공하여 조직의 애플리케이션, 서버 및 기타 리소스를 적응시키고 보호합니다. 보안 정책 기반 트래픽 스티어링을 사용하면 조직은 이 구성을 활용하고 확장을 지속하며, 보호된 네트워크 및 애플리케이션에 더 많은 트래픽 용량을 제공하기 위해 더 많은 FTD 관리 장치를 추가할 수 있습니다. SSL Orchestrator가 제공하는 정책 기반의 유연성은 비즈니스, 보안 또는 규정 준수 요구 사항에 따라 트래픽을 선택적으로 다양한 리소스 풀로 전송하는 데 활용할 수도 있습니다.