Yanlış hatırlamıyorsam Checkpoint 1994 senesinde bulmuştu stateful Firewall’u. Stateles’den farkı ise şudur. Örnek vermek gerekirse bir web sitesine gitmek istediğinizde. Web sitesinin ip adresi 30.52.69.98 olsun. Eğer bu ip ’ye, bu sitenin girdiği kategoriye ya da ilgili URL’e blok gibi bir durum yok ise istediğiniz dış dünyaya gider. Burada sizin ip adresinizin de 10.5.20.87 olduğunu varsayalım. Buna göre;
Source IP: 10.5.20.87
Dest IP: 30.52.69.98
İsteğiniz dış dünyaya giderken yukarıdaki bilgiler de pakete eklendi. Sonrasında ilgili web sitesinden response alındı ve geri gelindi. Şimdi paket şu hale dönüyor. (Dış dünyadan size dönüyor isteğiniz)
Source IP: 30.52.69.98
Dest IP: 10.5.20.87
Peki burada kritik soru şu; siz firewallunuzun outside bacağında 30.52.69.98 nolu ip adresine allow dediniz mi? Cevap hayır değil mi. Peki paket nasıl içeri giriyor? Çünkü stateful firewall kullanıyoruz. Siz paketi dış dünyaya gönderirken o hemen dynamic bir Access-list oluşturuyor ve paketin geri döneceğiniz bildiğinden source, dest port ve ip yer değiştirip dış bacağa ekliyor. Bunu tabi config ’den göremezsiniz. Belki de RAM’ e yazıyordur tam emin değilim bu konuda. Ben firewall kullanıyorum güvendeyim dediğinizi duyar gibiyim. Stateful firewall iyi güzel de içerden yapılan tüm isteklerde vızır vızır dış dünyadan içeri paket alıyor. Burada bir sorun yok mu sizce de? Tamam inspection özelliği de var temel bir inspection. Temel bir protokol analizi belki de. Peki bilindik vulnerability’ler, CNC’ ler, FQDN blacklist’ ler. İşte burada IPS yardımımıza koşuyor.
Öncelikle şunu belirtmek isterim. İster VM olsun ister 2U’luk IPS özelliği olan bir modülünüz olsun. Açıkçası cihaz kaldırır mı diye sorgulamak yerine devreye sokup sistemi monitör etmenizde fayda görüyorum. Bu cihazların işi paket analizi ve ben 5508-X’de test etmeme rağmen cihazın CPU kullanımını sürekli %30’a dahi getiremedim. Genelde ortalama %20 lerde kaldı. Konuyu çok çok aşırı detaylandırmayacağım. Yüzlerce sayfa yazılabilir IPS hakkında ama ben kısaca geçeyim.
Firepower modülünüze girip
Policies / Access Control- Intrusion / Create Policy
Yukarıdaki seçeneklerde “base policy” kısmında görebileceğiniz 4 adet default policy mevcuttur. Daha az güvenlikten daha sıkı IPS politikasına göre sıralıyorum.
Security over connecticity
Balanced security and connectivity
Connectivity over security
Maximum detection
Açıkçası prod sistemlerde ve traffic drop olduğunda sorun olacak sistemlerde devreye alınmadan önce en az 2 hafta mümkünse de 4 hafta trafiğin izlenmesi tavsiye edilir. Test edildi ve neticesini söyleyeyim size. En düşük seviyede (security over connectivity) dahi normal ftp trafiğini keserek müdahale etmemi gerektirmiştir. Tabi siz bu 4 policy ‘yi aynı şekilde kullanmak zorunda değilsiniz. Benim ftp connection’larım önemli gerisi maximum kontrol mekanizmasıyla gitsin derseniz. Girersiniz policy içine editlersiniz. FTP drop kurallarını generate yaparsınız ve devam edersiniz. Güvenlik denen şey sizin kendi politikanızdır neticede.
İşin güzel yanı ise şu. Cisco’nun Talos ekibi sürekli çalışarak bu kuralları güncel tutmakta, cihaz web’den kuralları çekerek kendini güncellemektedir.
Talos’un ana sayfasını ziyaret etmenizi öneririm.
https://www.talosintelligence.com/
Ben bu satırları yazarken şunu görüyorum ki policy en son 3 gün önce güncellenmiş.
Burada “manage rules” diyerek kuralları değiştirebilirsiniz. Rule state kısmından drop/generate seçebilirsiniz.
Temel aşamada 5508-X’de IPS policy bu şekilde oluşturulmaktadır. Bu policy ‘yi oluşturduğunuzda tabiki uygulamak için access-control listelerle match etmeniz lazım geliyor.
Policies / Access Control
Zaten burada var olan “access control policy” niz vardır. Onu editlemeniz lazım. Inspection kısmına geliyoruz ve intrusion policy’yi belirlediğimiz IPS profili ile eşleştiriyoruz.
Save edip sonra da deploy ettiğinizde artık IPS’iniz devrede demektir. Tabi drop ettiği, vulnerability gördüğü ya da şüphelendiği trafiği bir şekilde size iletmesi gerekiyor. Bu konuda ister syslog server kurar işi halledersiniz. İster mail ile bilgi istersiniz. Ben kendim e-mail ile kullanıyorum. Biraz bundan da bahsedeyim sizlere. Çünkü arka planda olanı görmezseniz oluşan problemlerde devreye soktuğunuz IPS’i devreden tamimiyle çıkarmaktan başka seçeneğiniz kalmaz.
Öncelikle
Sytem / Configuration / E-mail Notification
Burada gerekli bilgileri doldurup bir e-mail sender profile oluşturuyoruz.
Sonrasında ise oluşturduğumuz bu e-mail sender profili bir şeylerle match etmeliyiz. O da şu şekilde.
Policies / Actions / Alerts / Instrusion E-mail
Create Alert kısmından Create E-mail Alert’i seçip isim vermelisiniz. Oluşturduğunuz e-mail sender profili bu kısımda gözükecektir. Böylelikle devreye aldığınız IPS’i artık monitör edebiliyorsunuz.
Firepower ’ın bize gönderdiği birkaç e-mail ’i örnek olması açısından sizlerle paylaşıyorum.
Umarım faydalı bir makale olmuştur, bir sonraki makalemizde görüşmek üzere.