Cisco Firepower-CCMP

اولین محصول سیسکو در حوزه فایروال PIX(State Full Firewall)

در ابتدای راه سیسکو دستگاه های جزیره ای داشت VPN Contractor + Router + Firewall + IPS

(FW+IPS+VPN) همگی ادغام شده و ASA(Adaptive Security Appliance) به وجود آمد

با خرید شرکت SourceFire(Snort) توسط سیسکو و افزودن IPS Engine آن به ASA ، سیستم ASA-X متولد شد

همچنین شرکت سیسکو با راه اندازی دیتاسنتر talos و Integrate کردن سامانه خود با AI Cloud ، فایرپاور خود را قدرتمند تر کرد.

نام نسل جدید فایرپاورهای سیکو FPA(Fire Power Appliance) می باشد که محصولات دیگری مثل ASA-V(Adaptive Security Virtual Appliance) و یا FTD-V(Firewall Threat Defense Virtual) را نیز ارائه می دهد

بررسی نرم افزاری فایرپاورهای سیسکو

نسخه ASA دارای یک ایمیج ISO مشابه روترهای سیسکو می باشد

ASA ISO + Sourcefire Engine(FPM) = ASA-X FTD(Firepower Threat Defence)

در ASA-X با دو عدد ماژول سروکار داشتیم و دو ماژول را باید بصورت جداگانه کانفیگ میکردیم

سیسکو برای حل مشکل نرم افزار FMC(Firewall Management Center) را تولید کرد تا به وسیله آن FPM(SourceFire Firepower Module) را کانفیگ کنیم

FTD به صورت پیش فرض برروی محصول FPA می باشد و می توان آن را بر روی سخت افزار ASA-X هم بارگذاری کرد.

دو روش برای کانفیگ FTD وجود دارد:

  • 1- کانفیگ Locally و بصورت Single از طریق Http
  • 2- کانفیگ تنهایی و یا چند FTD بوسیله FMC و از طریق Http

مسیرراه برای آشنایی با فایرپاور سیسکو:

  • 1- شناخت FTD
  • 2- شناخت FMC

برای خرید NGFW سه انتخاب داریم

  • 1- ASA-X
  • 2- FPA
  • 3- VM(FTDv)

سری های ASA-X :

  • 1- 5500
  • 2- 5545
  • 3- 5585

سری های FPA

  • 1- 2000
  • 2- 4000
  • 3- 9000

برای مشاهده نمای سه بعدی از فایرپاورهای سیسکو میتوان به سایت Firepowerngfw.com مراجعه نمود.

برای کانفیگ FTD دو راه داریم

  • 1- نصب FTD و وصل شدن لوکالی به Cisco FireLinux OS(FDM) از طریق WebInterface آن
  • 2- نصب FTD و اتصال به آن از طریق FMC

چند دستور ضروری برای کانفیگ مورد نظر:

  • 1- مشاهده اطلاعات اینترفیس مدیریت برای اتصال و کانفیگ : Show Network
  • 2- مشاهده اطلاعات تمامی اینترفیس ها : Show Interface ip brief
  • 3- مشخص کردن مدیر FTD : Show Managers
  • 4- تنظیم FTD برای مدیریت از طریق FMC : configure managers add ip key

برای اینکه لاجیک ها Optional باشد و بعدا برای تغییرات راحت باشیم باید Object تعریف کنیم

دستورات تنظیم FMC

  • 1- مشاهده وضعیت IP : Show Ifconfig
  • 2- کانفیگ IP : Sudo Configure-terminal

مراحل افزودن FTD به FMC :

  • 1- تنظیم NTP
  • 2- مدیریت اینترفیس ها : IP , DNS , Name , Proxy
  • 3- راه اندازی VPS : کانفیگ پراکسی تا به وسیله آن تجهیزات و سیستم عامل ها بروز شوند

دو نوع لایسنس برای فایرپاور وجود دارد

  • 1- کلاسیک(Traditional)
  • 2- Smart

FMC نیاز به لایسنس ندارد و لایسنس FTD برروی آن اعمال می شود

در FP دو مسیر برای عبور داده ها وجود دارد

  • 1- Lina Engine
  • 2- Snort Engine

زمانی که نیاز به بررسی داده ها بالاتر از لایه 4 نباشد می توان با کانفیگ درست L3/4 ACL و Prefilter ها داده ها را بدون ارجاع به Snort مدیریت کرد

در Prefilter 3 نوع Action داریم:

  • 1- Analyse که مسیر استادارد می باشد Snort+Lina
  • 2- Block
  • 3- FastPath که در آن فقط A3/4 ACL چک می شود. فقط Lina

- مثلا برای سرور Backup می توان از FastPath استفاده کرد
- ترتیب فراخوانی و بررسی های ACL در FP بسیار مهم است
ترافیک هایی که بخواهیم توسط Snort بررسی نشود را به وسیله Prefilter ها و از قسمت ACL>Advance
برای اعمالprefilter ابتدا یک prefilter با action fastPath میسازیم و سپس به پالیسی اصلی به عنوان prefilter اعمال میکنیم
برای مانیتور کردن نتایج پالیسی ها به این قسمت می رویم Analysis>Connection>Events
بعد از نوشتن Role و Deploy کردن می توان به FTD وصل شد و کانفیگ آن را چک کرد تا ببینیم Rule ها چگونه هستند
بعد از Deploy شدن Rule، آن تبدیل به Access-List می شود
برای مشاهده ACL در FTD دستور روبرو را می زنیم Show Access-List
با مشاهده ACL میبینیم که فقط Rule هایی که ما نوشتیم نیستند و تعدادی Rule از جمله Prefilter-Policy نیز وجود دارد.
در ACL لایه چندی بودن Rule مشخص است و این برای Performance فابرپاور مهم می باشد
برای بهینه کاردن FP مهم است که Rule ها تا لایه 4 را در Prefilter ها اعمال کنیم و بدین گونه نباشد که تمامی پالیسی ها را در یک Rule اعمال کنیم.
می خواهیم جاهایی که نیاز نیست Snort را درگیر نکنیم

در FP دو Engine داریم

  • 1-Lina Engine
  • 2-Snort Engine

Cisco Security Intelligence

وظیفه SI فیلتر Bad IP/URL/DNS می باشد
سیسکو در مرکز Talos خود و از طریق نرم افزارها و افراد متخصص و همچنین به خاطر دسترسی به ترافیک اینترنت، خطاها و حملات را تشخیص داده و داده های تکمیلی آنرا به دیتابیس Talos افزوده و برروی تجهیزات خود اعمال می کند
چون سیسکو مشتری های زیادی دارد میتواند Attack های اتفاق افتاده روی هر مشتری را به پایگاه دانش خود بیافزاید.
SI یک مرکز تحلیل امنیت می باشد
SI در واقع دیتابیس هایی که توسط Cisco مدام آپدیت می شود را ارائه داده و می توان آنها در BlockList و یا WhiteList قرار داد
برای دانلود IP BlockList به سایت talosintelligence.com رفته و از بخش Reputation Center و Ip Block list آنها را دریافت می کنیم

برای بررسی SI در FTD مراحل زیر را دنبال میکنیم

  • 1- اتصال به FTD
  • 2- Type:Expert
  • 3- Type: Sudo –i
  • 4- Type: cd /var/sf
  • 5- Type:ls

هر فایلی که ابتدای آن SI باشد مربوط به Security Intelligence می باشد.
می توان موارد مورد نظر را به صورت دستی به Global BlockList افزود
لیست ها را میتوان از طریق یک URL گرفت و یا به آن List داد

برای باز کردن دیتابیس ip و یا url در SI :

  • 1- به FTD با Putty وصل می شویم
  • 2- Expert
  • 3- Sudo -i
  • 4- Cd /var/sf
  • 5- Ls
  • 6- More database-name

کار WhiteList خنثی کردن موارد خاص از Blocklist می باشد
برای Limit گذاشتن روی Upload و Download از بخش Device Management و بخش QOS تنظیم انجام می شود

برای HA کردن دو فایرپاور

  • 1- باید FP ها هم مدل باشند
  • 2- ورژن ها مشابه باشند
  • 3- نیاز به دو ارتباط State and HA Link می باشد
  • 4- میتوان یک پورت برای هر دوگذاشت اما توصیه نمی شود

برای بررسی HA از طریق دستور Show Failover State

فایرپاور با دو مد میتواند تنظیم شود:

  • 1- Transparent که زمانی استفاده می شود که بخواهیم فایرپاور لایه 2 بالا بیاید و ترافیک وجود فایرپاور را حس نمیکند
  • 2- Route Mode

زمانی از مد Transparent استفاده می شود که نخواهیم IP و توپولوژی عوض شوندمثلا اگر مودم را در لایه دو کانفیگ کنیم ویندوز به ISP کانکشن می زند ولی اگر لایه سه کانفیگ شود وظیفه کانکشن زدن با مودم می باشد

فایرپاور به دو طریق نصب می شود

  • 1- Passive که فایرپاور درمسیر نیست و ترافیک Span به آن داده می شود و نقش IDS دارد
  • 2- Inline که نقش IPS را دارد

برای Interface ها و از قسمت Mode میتوان Passive و Inline بودن را مشخص کرد
پسیو Erspan هم داریم.
اگر دو پورت را Inline Pair کردیم آنگاه FP ما IPS Only می شود و دیگر نباید از آن انتظار NAT ، Route و ... را داشت
در Inline Pair دستگاه ها و تجهیزات دیگر، وجود IPS را حس نمی کنند.
در Inline Pair یک Interface-Bridge می سازیم که لایه دو عمل میکند
وقتی مد یک Interface را None می گذاریم یعنی داریم به آن به صورت لایه سه ای نگاه میکنیم
خود دستگاه و اینترفیس های آن را می توان بصورت جداگانه لایه دو یا لایه سه کانفیگ کرد
برای ایجاد Inline Pair باید یک Inline Set ساخت.

Identity Based Firewalling

این خصوصیت حساسیت FP نسبت به USER را درنظر می گیردبهترین حالت زمانی است که FP را با AD ، Integrate کنیم

در FTD دو نوع Authentication داریم:

  • 1- Active که در آن FTD در ابتدای کانکشن یوزر و پسورد می پرسد
  • 2- Passive که در آن یک Agent نصب شده و از طریق اتصال آن به AD متوجه می شود

در این حالت تشخیص داده می شود هر اتصال با چه یوزر و چه آدرس مبدا می باشدایجنت می تواند بر روی AD نصب نشود که در این صورت باید به ایجنت معرفی شودبیشتر سازمانها Identity را بر روی حالت Passive کانفیگ میکنندنام ایجنت : FP DC User Agentبرای معرفی ایجنت به FMC : FMC > Integration > Identity Source

میتوان FMC را به دو نوع Identity Source وصل کرد:

  • 1- Identity Source Engine(ISE)
  • 2- AD

برای اینکه یوزرها از AD خوانده شوند و ما بتوانیم در پالیسی ها استفاده کنیم باید Realms بسازیمبعد از تعریف Realms از قسمت User > Downloads آنها را وارد FMC می کنیم

مراحل:

  • 1- تعریف Identity Source
  • 2- نصب Agent بر روی AD
  • 3- تعریف Realms و مشخص کردن آدرس AD Service
  • 4- دانلود کردن گروه های مورد نظراز قسمت Realms
  • 5- تعریف یک Policy Identity و معرفی آن به پالیسی اصلی

در IdentityPolicy مشخص میکنیم نسبت به کدام Realms حساس باشد

برای بررسی اتصال یوزرها 2 تا Event را میتوان چک کرد:

  • 1- User > Active Session
  • 2- Connections > Events

Network Discovery

این پالیسی بر روی کل تجهیز اعمال می شود
وظیفه آن مشخص کردن حوزه Discover کردن FP می باشد
در قسمت Analysis و بخش های User و Host اطلاعات Network Discovery را میتوان مشاهده کرد
در ND میتوان با استفاده از Include Action ، Rule منفی نوشت
در قسمت ND > Advance میتوان مشخص کرد اگر یک ند در یک بازه مشخص مشاهده نشد از Storage حذف گردد
ND برای شناسایی دارایی های شبکه و همچنین تیونینگ IPS Rule مفید می باشد
Capture Banners : اگر تیک آن زده شود با دقت بیشتری هاست ها شناسایی می شوند

دو نوع Network Discovery داریم:

  • 1- Passive که در آن از روی ترافیک ها سعی میشود اطلاعات هاست ها تجزیه و تحلیل شود
  • 2- Active که در آن FP از طریق Nmap سراغ ندها می رود و اطلاعات آنها را جمع آوری می کند

اگر در شناسایی بین حالت Passive و Active تفاوت باشد از طریق تنظیمات میتوان اولویت تایید اطلاعات را مشخص کرد
Nmap بر روی FMC ایجاد می شود و اگر نیاز باشد فراخوانی می شود و اسکن را انجام می دهد
می توان کانفیگ کرد که اگر یک Host با یکی از Rule ها Match شود Nmap سراغ آن ند برود و آن را اسکن نماید

File Policy

فایل پالیسی به تنهایی به FP اضافه نمی شود و باید از Access Policy به Rule ها اضافه شود

SSL Decryption

اگر بخواهیم بر روی داده های پروتکل https نظارت داشته باشیم باید در قسمت Policy SSL یک Rule با اکشن Decrypt Resign ایجاد کنیمقبل از ایجاد SSL Policy باید یک Certificate Server ایجاد کنیم و از طریق آن داده های رمز شده را در FP باز کرده و با کلید FP آن را رمز کنیم و بفرستیمدر واقع با Resign کردن عمل Https را FP انجام داده و به نوعی یک man in the midle ایجاد کرده ایم

مرا حل ایجاد:

  • 1- ایجاد کلید در سامانه SIEMObject> Object Management> PKI> Internal CAS> Generate CA>Generate CSF(Certificate Sign Request)
  • 2- وارد کردن CSF ایجاد شده به CA Server و دریافت فایل CAIp/certsrv> Request Certificate> Advance Certificate Request> Template:Subordinate Certification Authority> CSR Paste> Submit> base64> Download
  • 3- وارد کردن CA تولید شده در FPPKI> myCa> Install Certificate> Browse> Upload File Created Step 2
  • 4- به قسمت SSL Policy می رویم و از قسمت Decript Asign و قسمت کلید PKI که ساختیم را به آن می دهیم
  • 5- در آخر باید از قسمت PKI> InstallCA ، CA خود را اد کنیم. به CA Server وصل می شویمDownload CA> Base64> Insert Fie to PKI>Trust CA

با این تنظیمات میتوان داده های لایه 7 ترافیک رمز شده که از شبکه داخلی به سمت شبکه خارجی میروند را مانیتور نمود

Malware Policy

سه نوع آنالیز برای Intrusion Check داریم:

  • 1- Spero(MSExe)
  • 2- Local-ClamAv OS Antivirous
  • 3- Dynamic-Cloud-Sandbox

برای تست Malware می توان به سایت eicar.org و یا lancsngfl.ac.uk رفت و انواع فایل ها را بررسی نمود
از قسمت Network File Trojectory می توان نحوه آلوده شدن شبکه و تاریخچه آن را مشاهده نمود