McAfee Network Security Manager Part 5

IPS & Recon

IPS & Recon başlığı altında Custom Attacks bölümünde kendimiz ataklar ve bu atakların kapsayacağı imzalar yazabilmekteyiz. Bu yazdığımız imzaları kullandığımız politikalarımızda aktif ederek bu tarz bir atağa karşı kendimizi koruma altına alabilmekteyiz. Custom Atack Editor e tıklayalım.

File > Import  bölümünden McAfee tarafından yayınlanan UDS ataklarını import edebilmekteyiz. Yada yeni çıkan snort kurallarımızı ekleyebilmekteyiz.

Rule Sets kısmında sistem kurulduğunda defaultta kullanılmak üzere gelen kural listeleri bulunmaktadır. Bu kural listelerinin kopyaları alınıp değişiklikler yapılarak kendi sisteminize özgü kural listeleri oluşturabilmektesiniz.

Default IPS Attack Settings kısmında Exploit ataklar,Dos ataklar ve Reconnaissance ataklar bulunmaktadır. Herhangi bir atak ile ilgili gerekli incelemeleri buradan yapabilmekteyiz. Özellikle belirli protokoller için mevcut olan atakları incelemek buradan hızlıca olabilmektedir. Örneğin sadece ftp protokolü için mevcut atak ve imzaları incelemek istiyorsak bu listeden ftp yi seçtiğimizde bize sadece ftp için mevcutta bulunan atak ve imzalar karşımıza gelecektir. Gördüğünüz üzere toplamda  4263 adet  atak bulunmaktadır.

Sadece ftp için olan atakları seçtiğimizde yukarıdaki gibi bir ekran bizi karşılayacak olup daha iyi bir konfigürasyon yapabilme olanağına sahip olacağız. Bulk edit işlemlerini daha kolay yapabileceğiz.

Dos Attacks kısmında da Dos ile ilgili tanımlanmış atakları görebilmekteyiz. İlk kısım learning mode olup belirli bir öğrenme sürecinden sonra gerekli korumalar sağlanabilmektedir.

Herhangi bir learning atağına tıkladığımızda yukarıdaki gibi konfigürasyonlar yapabilmemize olanacak sağlanacaktır. Severity ayarı,Sensor Response ayarları, Notification ayarları ve blocklama ayarlarını yapabilmekteyiz.

Threshold mode kısmında ise belirli bir threshold değerinin üzerine çıkan bağlantı durumlarında devreye girerek gerekli koruma sağlama işlemi yapılabilmektedir. Yukarıdaki ekran Inbound yönündeki atakları göstermektedir.

Outbound yönünde ise daha farklı ataklar mevcut olup hepsinin blocklama moduna çekilmesi uygun olacaktır.

Bidirectional ataklar kısmında da 2 adet atak bulunmaktadır. Bu atacklarda blocklama aktif olmamaktadır. Sadece monitor edilebilmektedir.

Reconnaissance ataklarda yukarıdaki gibidir. Herbiri ayrı ayrı editlebilmektedir.

Herhangi bir reconnaissance atağı için yukarıda görülen ayarlar yapılabilmektedir. Threshold değerleri verilebilmektedir.

Standart olmayan portlarımız mevcutsa onları buradan girerek sisteme tanıtabilmekteyiz. New diyelim.

Protokolü ve Transportu seçip port numaramızı yazarak gereli non standart portumuzu oluşturabilmekteyiz.

Incident Generator kısmında gerçek zamanlı olarak atakların korele edilip incident oluşturulması sağlanmaktadır. Enable diyerek aktif edebiliriz.

Bu şekilde Incident Generator ı  aktif etmiş oluyoruz.

Assingments kısmında domain yapımıza assing edilen IPS ve Recon politikalarımızı görebilmekteyiz.

Daha önceden export edilmiş politikalarımız varsa Import Policies kısmından bunları sisteme girebiliyoruz.

Export Policies kısmında istediğimiz politikalarımızın export edilmesi sağlanabilmektedir. Bunları saklayıp gereksinim oluştuğunda import edilerek tekrar kullanabilmemizi sağlayabiliriz.

Firewall > Rule Objects kısmında firewall kurallarımızda kullanacağımız objeler oluşturabilmekte yada editleyebilmekteyiz.

New dediğimizde yukarıdaki gibi bir ekran gelmekte olup yeni objeler oluşturabilmekteyiz.

Rule Match Notification kısmında firewall kurallarına takılan bir durum oluştuğunda bu bilgiler syslog ile bir syslog sunucusuna gönderilebilir. Bu oluşan alarmlar Real Time Threats kısmında görememekteyiz.

Daha önceden export edilmiş firewall kurallarımız varsa buradan import edebilmekteyiz.

Export kısmından da firewall kurallarımızın export edilmesi işlemleri yapılabilmektedir.

Default Protection Options > IP reputation bölümünde connection sağlayan ip adresleri reputation servislerine sorulmaktadır. IP adresi için bir tehdit oluşturması söz konusu değilse bağlantı işlemi kabul edilir. Eğer bir tehdit oluşturma olasılığı varsa daha bağlantı sağlanamadan işlem durdurulur. Bu bir miktar gecikmeye sebep olacaktır. Ayrıca reputation servislerinden dolayı false positive durumlar oluşabilir. Legal bir trafiği blocklamış olabiliriz. Kullanıma açarken dikkatli olmakta fayda vardır.

Advanced Botnet Detection kısmında heuristic detection hassasiyetini belirleyerek herhangi bir botnet bağlantısı varsa dururabilmek mümkündür. Buradaki hassasiyeti arttırmak false positive oranını artırmaktadır. Aktif edilecekse öncelikle mutlaka Low seviye için işlem yapılmalıdır. Belirli süre izlendikten sonra Medium ve High seviyelere kademeli olarak geçmekte fayda vardır.

Özellikle bazı web sitesi pathlerimiz için heuristic koruma sağlamak istiyorsak bu pathleri Website Paths to Protect kısmından girerek gerekli korumayı sağlayabiliriz. Yada blacklist stringler girerek koruma sağlayabiliriz.

File Reputation kısmında McAfee GTI teknolojisinden faydalanılmaktadır. Belirleyeceğimiz seviyelere göre dosyalar analiz edilerek GTI servislerinde sorulacak ve tehdit içeren durumlar varsa blocklanacak yoksa içeriye geçişine izin verilecektir. Yine hassasiyeti very low olarak belirleyip izleyerek arttırmak akıllıca olacaktır.

Attack filters kısmında belirli hostlar için mevcut ataklardan etkilenmemesi sağlanabilmektedir. Bir nevi whitelist gibi düşünülebilir. Buraya eklenecek olan ip adresleri herhangi bir imzaya takılmayacaktır. Bu işlem ençok external penetrasyon testleri sırasında işe yaramaktadır. Aksi halde white box penetrasyon testi işlemi yapılıyorsa ips cihazımız atakları blocklayacaktır. Black box için herhangi bir tanım yapmaya gerek yoktur. New diyelim.

Görüldüğü üzere yeni bir source ve destination bilgisi girilebilmektedir.

Source belirli bir ip yazıp destinationımız web sunucumuz olacak şekilde tanımlama yapabilmekteyiz.

Attack filters kısmında tanımladığımız objelerimizi Filter Assingments kısmındankullanabilmekteyiz. Herhangi bir protokol için yada bütün protokolleri seçip oluşturduğumuz objenin bunlardan etkilenmemesi sağlanabilmektedir.

Bütün protokollere tıklayıp bulk edit diyerek ayarladığımız objedeki ip adresi için bypass işlemi yapabilmekteyiz.

Mevcut atak filtrelerindeki objeleri seçip sağ tarafa aktarmamız yeterli olacaktır.

Aynı işlemleri Reconnaissance ataklar içinde yapabilmekteyiz.

IPS cihazımız üzerinde SSL Decryption yapabilmekteyiz. Enable bölümünden aktif edebilmekteyiz.

SSL anahtarlarımızı bu ekrandan yönetebilmekteyiz.

Key Import kısmından hangi sensöre hangi SSL anahtarını yükleceğimizi seçip Import diyerek sönsöre sertifikamızı yüklemiş oluyoruz. Böylece artık SSL trafik içinde IPS korumalarımızı kullanabilir hale geliyoruz.

IPS karantina konfigürasyonu için özet bilgilere bu ekrandan ulaşabilmekteyiz.

Network Access Zone kısmında belirli network yetki bölgeleri oluşturabilmekteyiz.New diyerek yeni bir bölge oluşturabilmekteyiz.

Network access zone bir isim verip Access Rules tıklayalım.

Insert Above diyerek kuralımızı oluşturalım.

Kuraldaki service kısmına tıkladığımızda kullanabileceğimiz servisler gelmektedir. New diyerek yeni servisler oluşturabilmekteyiz.

Destination kısmına tıkladığımızda kullanabileceğimiz destinationlar gelmektedir. Yada New diyerek yeni destinationlar oluşturabilmekteyiz.

Response kısmında Permit yada Drop seçenekleri mevcuttur. Ayrıca logu syslog ile syslog sunucusuna gönderebilmekteyiz.

Rule Objects kısmında kurallarda kullanabileceğimiz objeler oluşturabilme yada mevcutları editleyebilme imkanına sahibiz.

NAC Access Notification kısmında da NAC için oluşan logların Syslog sunucularına gönderilmesi ayarları yapılabilmektedir.

IPS tarafından karantinaya alınan kullanıcılar için browserlarında görülecek olan mesajı buradan değiştirebilmekteyiz.

Customize dediğimizde yukarıdaki ekran gelmekte olup istediğimiz şekilde uyarı mesajı oluşturabilmekteyiz.

Karantinaya alınmış kullanıcıları bir remediation portalada yönlendirebilmekteyiz. Gerekli ayarları buradan yapabilmekteyiz. Remedition yapılacak olan sistemin IP si yada URL bilgisi girilip Save denilmelidir.

Oluşturulan karantina ayarlarını Child admin domainlerimiz varsa onlarada uygulanmasını buradaki alanı işaretleyerek sağlayabilmekteyiz.

Archiving> Now kısmında seçtiğimiz tarih yada tarih aralıklarındaki alarmların arşivlenmesi işlemini an itibariyle yapabilmekteyiz.

Automation kısmında arşivleme işleminin otomatik olarak yapılması sağlanmaktadır. Belirlediğimiz tarihte arşivleme işlemi otomatik yapılacaktır.

Restore kısmında arşivi daha önceden alınmış dosyayı tekrar sisteme yükleyebilmemiz sağlanmaktadır.

Export kısmından da arşivler export edilebilmektedir.

Maintenance kısmında kapasite planlamasını görebilmekteyiz.

Alarm datalarının fazla kısımları Alert Data Pruning işlemiyle sadeleştirilmektedir.

Politikalar cachelenmektedir. Cache i temizlemek için Clear Caches demeliyiz.

Alert Notification kısmında alarmlar için hangi notifikasyon yapılarının kullanıldığını gösteren Summary ekranı bizi ilk olarak karşılamaktadır.

Alert Notification olarak SNMP yi aktif edebilmekteyiz. SNMP Servers kısmından New diyerek kullanacağımız SNMP sunucularımızı girebilmekteyiz.

Syslog kısmından kullanacağımız syslog sunucumuzu ve ayarlarını yapıp Save diyoruz.

Alarmlar için otomatik mail atılması ayarlarını buradan yapabilmekteyiz. Message Body kısmında alarm mesajının içeriğini ayarlayabilmekteyiz.

Recipient List kısmında SMTP adreslerimizi girebiliriz. Buraya girdiğimiz mail adreslerine alarmlar mail olarak gidecektir.

Pager kısmında belirlediğimiz alıcılar için alarmlar bir sayfa halinde mail olarak gönderilmektedir.

Oluşan alarmlar sonrasında belirli scriptler çalıştırabilmemiz bu alandan sağlanabilmektedir.

Configuration Update kısmında yapılan değişiklikler olduğunda buradan deploy etmemiz gerekmektedir.

Manager Initialization kısmında ilk NSM kurulup login olduğumuzdaki ön ayarlamaların yapılacağı menüler tekrar karşımıza gelmektedir.

Sistemin anlatılması işlemleri Part6 ile devam edecektir.