IPS & Recon başlığı altında Custom Attacks bölümünde kendimiz ataklar
ve bu atakların kapsayacağı imzalar yazabilmekteyiz. Bu yazdığımız imzaları
kullandığımız politikalarımızda aktif ederek bu tarz bir atağa karşı kendimizi
koruma altına alabilmekteyiz. Custom Atack Editor e tıklayalım.
File > Import bölümünden McAfee
tarafından yayınlanan UDS ataklarını import edebilmekteyiz. Yada yeni çıkan
snort kurallarımızı ekleyebilmekteyiz.
Rule Sets kısmında sistem kurulduğunda defaultta kullanılmak üzere gelen
kural listeleri bulunmaktadır. Bu kural listelerinin kopyaları alınıp
değişiklikler yapılarak kendi sisteminize özgü kural listeleri
oluşturabilmektesiniz.
Default IPS Attack Settings kısmında Exploit ataklar,Dos ataklar ve
Reconnaissance ataklar bulunmaktadır. Herhangi bir atak ile ilgili gerekli
incelemeleri buradan yapabilmekteyiz. Özellikle belirli protokoller için mevcut
olan atakları incelemek buradan hızlıca olabilmektedir. Örneğin sadece ftp
protokolü için mevcut atak ve imzaları incelemek istiyorsak bu listeden ftp yi
seçtiğimizde bize sadece ftp için mevcutta bulunan atak ve imzalar karşımıza gelecektir.
Gördüğünüz üzere toplamda 4263 adet atak bulunmaktadır.
Sadece ftp için olan atakları seçtiğimizde yukarıdaki gibi bir ekran bizi
karşılayacak olup daha iyi bir konfigürasyon yapabilme olanağına sahip
olacağız. Bulk edit işlemlerini daha kolay yapabileceğiz.
Dos Attacks kısmında da Dos ile ilgili tanımlanmış atakları
görebilmekteyiz. İlk kısım learning mode olup belirli bir öğrenme sürecinden
sonra gerekli korumalar sağlanabilmektedir.
Herhangi bir learning atağına tıkladığımızda yukarıdaki gibi
konfigürasyonlar yapabilmemize olanacak sağlanacaktır. Severity ayarı,Sensor
Response ayarları, Notification ayarları ve blocklama ayarlarını
yapabilmekteyiz.
Threshold mode kısmında ise belirli bir threshold değerinin üzerine çıkan
bağlantı durumlarında devreye girerek gerekli koruma sağlama işlemi
yapılabilmektedir. Yukarıdaki ekran Inbound yönündeki atakları göstermektedir.
Outbound yönünde ise daha farklı ataklar mevcut olup hepsinin blocklama
moduna çekilmesi uygun olacaktır.
Bidirectional ataklar kısmında da 2 adet atak bulunmaktadır. Bu atacklarda
blocklama aktif olmamaktadır. Sadece monitor edilebilmektedir.
Reconnaissance ataklarda yukarıdaki gibidir. Herbiri ayrı ayrı
editlebilmektedir.
Herhangi bir reconnaissance atağı için yukarıda görülen ayarlar
yapılabilmektedir. Threshold değerleri verilebilmektedir.
Standart olmayan portlarımız mevcutsa onları buradan girerek sisteme
tanıtabilmekteyiz. New diyelim.
Protokolü ve Transportu seçip port numaramızı yazarak gereli non standart
portumuzu oluşturabilmekteyiz.
Incident Generator kısmında gerçek zamanlı olarak atakların korele edilip
incident oluşturulması sağlanmaktadır. Enable diyerek aktif edebiliriz.
Bu şekilde Incident Generator ı
aktif etmiş oluyoruz.
Assingments kısmında domain yapımıza assing edilen IPS ve Recon politikalarımızı görebilmekteyiz.
Daha önceden export edilmiş politikalarımız varsa Import Policies kısmından
bunları sisteme girebiliyoruz.
Export Policies kısmında istediğimiz politikalarımızın export edilmesi
sağlanabilmektedir. Bunları saklayıp gereksinim oluştuğunda import edilerek
tekrar kullanabilmemizi sağlayabiliriz.
Firewall > Rule Objects kısmında firewall kurallarımızda kullanacağımız
objeler oluşturabilmekte yada editleyebilmekteyiz.
New dediğimizde yukarıdaki gibi bir ekran gelmekte olup yeni objeler
oluşturabilmekteyiz.
Rule Match Notification kısmında firewall kurallarına takılan bir durum
oluştuğunda bu bilgiler syslog ile bir syslog sunucusuna gönderilebilir. Bu
oluşan alarmlar Real Time Threats kısmında görememekteyiz.
Daha önceden export edilmiş firewall kurallarımız varsa buradan import
edebilmekteyiz.
Export kısmından da firewall kurallarımızın export edilmesi işlemleri
yapılabilmektedir.
Default Protection Options > IP reputation bölümünde connection sağlayan
ip adresleri reputation servislerine sorulmaktadır. IP adresi için bir tehdit
oluşturması söz konusu değilse bağlantı işlemi kabul edilir. Eğer bir tehdit
oluşturma olasılığı varsa daha bağlantı sağlanamadan işlem durdurulur. Bu bir
miktar gecikmeye sebep olacaktır. Ayrıca reputation servislerinden dolayı false
positive durumlar oluşabilir. Legal bir trafiği blocklamış olabiliriz.
Kullanıma açarken dikkatli olmakta fayda vardır.
Advanced Botnet Detection kısmında heuristic detection hassasiyetini
belirleyerek herhangi bir botnet bağlantısı varsa dururabilmek mümkündür.
Buradaki hassasiyeti arttırmak false positive oranını artırmaktadır. Aktif
edilecekse öncelikle mutlaka Low seviye için işlem yapılmalıdır. Belirli süre
izlendikten sonra Medium ve High seviyelere kademeli olarak geçmekte fayda
vardır.
Özellikle bazı web sitesi pathlerimiz için heuristic koruma sağlamak
istiyorsak bu pathleri Website Paths to Protect kısmından girerek gerekli korumayı
sağlayabiliriz. Yada blacklist stringler girerek koruma sağlayabiliriz.
File Reputation kısmında McAfee GTI teknolojisinden faydalanılmaktadır.
Belirleyeceğimiz seviyelere göre dosyalar analiz edilerek GTI servislerinde
sorulacak ve tehdit içeren durumlar varsa blocklanacak yoksa içeriye geçişine
izin verilecektir. Yine hassasiyeti very low olarak belirleyip izleyerek
arttırmak akıllıca olacaktır.
Attack filters kısmında belirli hostlar için mevcut ataklardan
etkilenmemesi sağlanabilmektedir. Bir nevi whitelist gibi düşünülebilir. Buraya
eklenecek olan ip adresleri herhangi bir imzaya takılmayacaktır. Bu işlem ençok
external penetrasyon testleri sırasında işe yaramaktadır. Aksi halde white box
penetrasyon testi işlemi yapılıyorsa ips cihazımız atakları blocklayacaktır.
Black box için herhangi bir tanım yapmaya gerek yoktur. New diyelim.
Görüldüğü üzere yeni bir source ve destination bilgisi girilebilmektedir.
Source
belirli bir ip yazıp destinationımız web sunucumuz olacak şekilde tanımlama yapabilmekteyiz.
Attack filters kısmında tanımladığımız objelerimizi Filter Assingments
kısmındankullanabilmekteyiz. Herhangi bir protokol için yada bütün protokolleri
seçip oluşturduğumuz objenin bunlardan etkilenmemesi sağlanabilmektedir.
Bütün protokollere tıklayıp bulk edit diyerek ayarladığımız objedeki ip
adresi için bypass işlemi yapabilmekteyiz.
Mevcut atak filtrelerindeki objeleri seçip sağ tarafa aktarmamız yeterli
olacaktır.
Aynı işlemleri Reconnaissance ataklar içinde yapabilmekteyiz.
IPS cihazımız üzerinde SSL Decryption yapabilmekteyiz. Enable bölümünden
aktif edebilmekteyiz.
SSL anahtarlarımızı bu ekrandan yönetebilmekteyiz.
Key Import kısmından hangi sensöre hangi SSL anahtarını yükleceğimizi seçip
Import diyerek sönsöre sertifikamızı yüklemiş oluyoruz. Böylece artık SSL
trafik içinde IPS korumalarımızı kullanabilir hale geliyoruz.
IPS karantina konfigürasyonu için özet bilgilere bu ekrandan
ulaşabilmekteyiz.
Network Access Zone kısmında belirli network yetki bölgeleri oluşturabilmekteyiz.New
diyerek yeni bir bölge oluşturabilmekteyiz.
Network access zone bir isim verip Access Rules tıklayalım.
Insert Above diyerek kuralımızı oluşturalım.
Kuraldaki service kısmına tıkladığımızda kullanabileceğimiz servisler
gelmektedir. New diyerek yeni servisler oluşturabilmekteyiz.
Destination kısmına tıkladığımızda kullanabileceğimiz destinationlar
gelmektedir. Yada New diyerek yeni
destinationlar oluşturabilmekteyiz.
Response kısmında Permit yada Drop seçenekleri mevcuttur. Ayrıca logu
syslog ile syslog sunucusuna gönderebilmekteyiz.
Rule Objects kısmında kurallarda kullanabileceğimiz objeler oluşturabilme
yada mevcutları editleyebilme imkanına sahibiz.
NAC Access Notification kısmında da NAC için oluşan logların Syslog sunucularına
gönderilmesi ayarları yapılabilmektedir.
IPS tarafından karantinaya alınan kullanıcılar için browserlarında
görülecek olan mesajı buradan değiştirebilmekteyiz.
Customize dediğimizde yukarıdaki ekran gelmekte olup istediğimiz şekilde
uyarı mesajı oluşturabilmekteyiz.
Karantinaya alınmış kullanıcıları bir remediation portalada
yönlendirebilmekteyiz. Gerekli ayarları buradan yapabilmekteyiz. Remedition
yapılacak olan sistemin IP si yada URL bilgisi girilip Save denilmelidir.
Oluşturulan karantina ayarlarını Child admin domainlerimiz varsa onlarada
uygulanmasını buradaki alanı işaretleyerek sağlayabilmekteyiz.
Archiving> Now kısmında seçtiğimiz tarih yada tarih aralıklarındaki
alarmların arşivlenmesi işlemini an itibariyle yapabilmekteyiz.
Automation kısmında arşivleme işleminin otomatik olarak yapılması
sağlanmaktadır. Belirlediğimiz tarihte arşivleme işlemi otomatik yapılacaktır.
Restore kısmında arşivi daha önceden alınmış dosyayı tekrar sisteme
yükleyebilmemiz sağlanmaktadır.
Export kısmından da arşivler export edilebilmektedir.
Maintenance kısmında kapasite planlamasını görebilmekteyiz.
Alarm datalarının fazla kısımları Alert Data Pruning işlemiyle
sadeleştirilmektedir.
Politikalar cachelenmektedir. Cache i temizlemek için Clear Caches
demeliyiz.
Alert Notification kısmında alarmlar için hangi notifikasyon yapılarının
kullanıldığını gösteren Summary ekranı bizi ilk olarak karşılamaktadır.
Alert Notification olarak SNMP yi aktif edebilmekteyiz. SNMP Servers
kısmından New diyerek kullanacağımız SNMP sunucularımızı girebilmekteyiz.
Syslog kısmından kullanacağımız syslog sunucumuzu ve ayarlarını yapıp Save
diyoruz.
Alarmlar için otomatik mail atılması ayarlarını buradan yapabilmekteyiz.
Message Body kısmında alarm mesajının içeriğini ayarlayabilmekteyiz.
Recipient List kısmında SMTP adreslerimizi girebiliriz. Buraya girdiğimiz
mail adreslerine alarmlar mail olarak gidecektir.
Pager kısmında belirlediğimiz alıcılar için alarmlar bir sayfa halinde mail
olarak gönderilmektedir.
Oluşan alarmlar sonrasında belirli scriptler çalıştırabilmemiz bu alandan
sağlanabilmektedir.
Configuration Update kısmında yapılan değişiklikler olduğunda buradan
deploy etmemiz gerekmektedir.
Manager Initialization kısmında ilk NSM kurulup login olduğumuzdaki ön ayarlamaların yapılacağı menüler tekrar karşımıza gelmektedir.
Manager Initialization kısmında ilk NSM kurulup login olduğumuzdaki ön ayarlamaların yapılacağı menüler tekrar karşımıza gelmektedir.
Sistemin anlatılması işlemleri Part6 ile devam edecektir.
Hiç yorum yok:
Yorum Gönderme