Bildirimler
Hepsini Temizle

Firepower IPS Hakkında Temel Yapılandırma ve IPS Monitoring  

  RSS
Volkan KEKEZOĞLU
(@volkankekezoglu)
Üye

Öncelikle şunu belirtmek isterim. İster VM olsun ister 2U'luk IPS özelliği olan bir modülünüz olsun. Açıkçası cihaz kaldırır mı diye sorgulamak yerine devreye sokup sistemi monitor etmenizde fayda görüyorum. (tabi devreye sokmadan da network'ü monitor edin) Bu cihazların işi paket analizi ve ben 5508-X'de test etmeme rağmen cihazın CPU kullanımını sürekli %30'adahi getiremedim. Genelde ortalama %20 lerde kaldı. Konuyu çok çok aşırı detaylandırmayacağım. Yüzlerce sayfa yazılabilir IPS hakkında ama ben kısaca geçeyim.

Firepower modülünüze girip  

Policies / Access Control - Intrusion / Create Policy

 

Yukarıdaki seçeneklerde "base policy" kısmında görebileceğiniz 4 adet default policy mevcuttur. Daha az güvenlikten daha sıkı IPS politikasına göre sıralıyorum.

Security over connecticity

Balanced security and connectivity

Connectivity over security

Maximum detection

 

Açıkçası prod sistemlerde ve traffic drop olduğunda sorun olacak sistemlerde devreye alınmadan önce en az 2 hafta mümkünse de 4 hafta trafiğin izlenmesi tavsiye edilir. Test edildi ve neticesini söyleyim size. En düşük seviyede (security over connectivity) dahi normal ftp trafiğini keserek müdahale etmemi gerektirmiştir. Tabi siz bu 4 policy'yi aynı şekilde kullanmak zorunda değilsiniz. Benim ftp connection'larım önemli gerisi maximum kontrol mekanizmasıyla gitsin derseniz. Girersiniz policy içine editlersiniz. FTP drop kurallarını generate yaparsınız ve devam edersiniz. Güvenlik denen şey sizin kendi politikanızdır neticede. 

 

İşin güzel yanı ise şu. Cisco'nun Talos ekibi sürekli çalışarak bu kuralları güncel tutmakta, cihaz web'den kuralları çekerek kendini güncellemektedir.

Ben bu satırları yazarken şunu görüyorum ki policy en son 3 gün önce güncellenmiş.

 

Burda "manage rules" diyerek kuralları değiştirebilirsiniz. Rule state kısmından drop/generate seçebilirsiniz.

 

 

Temel aşamada 5508-X'de IPS policy bu şekilde oluşturulmaktadır. Bu policy'yi oluşturduğunuzda tabiki uygulamak için access-control list'lerle match etmeniz lazım geliyor.

Policies / Access Control

Zaten burda varolan "access control policy" niz vardır. Onu editlemeniz lazım. Inspection kısmına geliyoruz ve intrusion policy'yi belirlediğimiz IPS profili ile eşleştiriyoruz.

 

 

Save edip sonra da deploy ettiğinizde artık IPS'iniz devrede demektir. Tabi drop ettiği, vulnerability gördüğü ya da şüphelendiği trafiği bir şekilde size iletmesi gerekiyor. Bu konuda ister syslog server kurar işi halledersiniz. İster mail ile bilgi istersiniz. Ben kendim e-mail ile kullanıyorum. Biraz bundan da bahsedeyim sizlere. Çünkü arka planda olanı görmezseniz oluşan problemlerde devreye soktuğunuz IPS'i devreden tamamiyle çıkarmaktan başka seçeneğiniz kalmaz.

 

Öncelikle 

Sytem / Configuration / E-mail Notification

Burda gerekli bilgileri doldurup bir e-mail sender profile oluşturuyoruz.

 

 

Sonrasında ise oluşturduğumuz bu e-mail sender profili birşeylerle match etmeliyiz. O da şu şekilde.

Policies / Actions / Alerts / Instrusion E-mail

Create Alert kısmından Create E-mail Alert'i seçip isim vermelisiniz. Oluşturduğunuz e-mail sender profili bu kısımda gözükecektir. Böylelikle devreye aldığınız IPS'i artık monitor edebiliyorsunuz.

 

Alıntı
Gönderildi : 14/10/2017 17:53
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba Volkan bey, bence bunu makale olarak @cozumpark.com">makale@cozumpark.com a gönderin, çünkü buradaki hızlı resim bir süre sonra expire olacak, ondan dolayı bir yararı olmayacak.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 15/10/2017 01:23
Volkan KEKEZOĞLU
(@volkankekezoglu)
Üye

Merhaba Hakan Hocam. Dediğiniz gibi yaptım. İlginize teşekkür ederim.

CevapAlıntı
Gönderildi : 16/10/2017 13:33
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Rica ederim.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/10/2017 21:23
Paylaş: