Configurar a lista negra de IP ao usar a inteligência de segurança da Cisco por meio do ASDM (On-Box Management, gerenciamento integrado)

Opções de download

  • PDF     (623.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (588.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (657.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:28 de abril de 2016
ID do documento:200449

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve a reputação do Cisco Security Intelligence/IP Address e a configuração da lista negra de IP (Blocking) ao usar a alimentação personalizada/automática de endereço IP de baixa reputação. 

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento do firewall ASA (Adaptive Security Appliance), ASDM (Adaptive Security Device Manager)

  • Conhecimento do dispositivo FirePOWER

Note:  A filtragem de Inteligência de Segurança requer uma licença de Proteção.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Módulos ASA FirePOWER (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X ) executando a versão de software 5.4.1 e superior

  • Módulo ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 555-X) executando a versão de software 6.0.0 e superior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

O Cisco Security Intelligence consiste em várias coleções regularmente atualizadas de endereços IP que são determinados como tendo uma reputação ruim pela equipe do Cisco TALOS. A equipe do Cisco TALOS determina a baixa reputação se qualquer atividade mal-intencionada for originada desses endereços IP, como spam, malware, ataques de phishing, etc. 

O feed do Cisco IP Security Intelligence rastreia o banco de dados de invasores, Bogon, Bots, CnC, Dga, ExploitKit, Malware, Open_proxy, Open_relay, Phishing, Response, Spam, Suspeito. O módulo Firepower oferece a opção de criar o feed personalizado de endereço IP de baixa reputação. 

Resumo do feed de inteligência de segurança 

Aqui estão mais algumas informações sobre o tipo de coleções de endereços IP que podem ser classificadas como categorias diferentes na Inteligência de segurança.

Invasores: Coleta de endereços IP que estão continuamente procurando vulnerabilidades ou tentando explorar outros sistemas. 

Malware: Coleta de endereços IP que estão tentando propagar malware ou estão atacando ativamente qualquer um que os visita.

Phishing: Coleção de hosts que estão tentando ativamente enganar os usuários finais para que eles digitem informações confidenciais, como nomes de usuário e senhas.

Spam: Coleção de hosts que foram identificados como a origem do envio de mensagens de e-mail de spam.

Bots: Coleção de hosts que estão participando ativamente como parte de um botnet e estão sendo controlados por um controlador bot net conhecido.

CnC: Coleção de hosts que foram identificados como os servidores de controle de uma botnet conhecida. 

OpenProxy: Coleção de hosts conhecidos por executar os Open Web Proxies e oferecer serviços anônimos de navegação na Web.

OpenRelay: Coleção de hosts conhecidos por oferecer serviços de retransmissão de e-mail anônimos usados por invasores de spam e phishing.

TorExitNode: Coleção de hosts conhecidos por oferecer serviços de nó de saída para a rede Tor Anonymizer. 

Bogon: Coleta de endereços IP que não estão alocados, mas estão enviando tráfego.

Suspeito: Coleta de endereços IP que estão exibindo atividade suspeita e estão sob investigação ativa.

Resposta: Coleta de endereços IP que foram repetidamente observados envolvidos no comportamento suspeito ou mal-intencionado. 

Adicionar manualmente endereços IP à lista negra global e à lista branca global

   

O módulo Firepower permite adicionar determinados endereços IP à lista negra global quando você sabe que eles fazem parte de alguma atividade mal-intencionada. Os endereços IP também podem ser adicionados à lista branca global se você quiser permitir o tráfego para determinados endereços IP bloqueados por endereços IP da lista negra. Se você adicionar algum endereço IP à lista negra global/lista branca global, ele entrará em vigor imediatamente sem a necessidade de aplicar a política. 

Para adicionar o endereço IP à lista negra global/ lista branca global, navegue para Monitoring > ASA FirePOWER Monitoring > Real Time Event, passe o mouse sobre os eventos da conexão e selecione View Details

Você pode adicionar o endereço IP origem ou destino à lista negra global/ lista branca global. Clique no botão Editar e selecione Whitelist Now/Blacklist Now para adicionar o endereço IP à respectiva lista, como mostrado na imagem. 

Para verificar se o endereço IP origem ou destino é adicionado à lista global-negra/ lista branca global, navegue para Configuração > Configuração do ASA Firepower > Gerenciamento de objetos > Inteligência de segurança > Listas de rede e feeds e edite lista negra global/ lista branca global. Você também pode usar o botão excluir para remover qualquer endereço IP da lista. 

Crie a lista personalizada de endereços IP da lista negra 

O Firepower permite criar uma lista de endereços IP/de rede personalizada que pode ser usada na lista negra (bloqueio). Há três opções para fazer isso:

  1. Você pode gravar os endereços IP em um arquivo de texto (um endereço IP por linha) e carregar o arquivo no Firepower Module. Para carregar o arquivo, navegue até Configuration > ASA FirePOWER Configuration > Object Management > Security Intelligence > Network Lists and Feeds e clique em Add Network Lists and Feeds  

                 

         Nome:  Especifique o nome da lista Personalizada.

         Digite:  Selecione Lista na lista suspensa. 

         Carregar lista:  Escolha Procurar para localizar o arquivo de texto no sistema. Selecione a opção Upload para carregar o arquivo.


  2. Você pode usar qualquer banco de dados IP de terceiros para a lista personalizada para a qual o módulo Firepower entra em contato com o servidor de terceiros para buscar a lista de endereços IP. Para configurar isso, navegue até Configuration > ASA FirePOWER Configuration > Object Management > Security Intelligence > Network Lists and Feeds e clique em Add Network Lists and Feeds

          Nome: Especifique o nome do feed personalizado.

          Digite: Selecione a opção Feed na lista suspensa. 

          URL do feed: Especifique o URL do servidor ao qual o módulo Firepower deve se conectar e baixar o feed. 

          URL MD5: Especifique o valor de hash para validar o caminho da URL do feed. 

          Frequência de atualização: Especifique o intervalo de tempo no qual o sistema se conecta ao servidor de feed de URL. 

Configurar a inteligência de segurança

Para configurar a inteligência de segurança, navegue para Configuração > Configuração do ASA Firepower > Políticas > Política de controle de acesso, selecione a guia Inteligência de segurança

Escolha o feed da coluna Network Available Object (Objeto disponível na rede), vá para Whitelist/ Blacklist para permitir/bloquear a conexão com o endereço IP mal-intencionado. 

Você pode clicar no ícone e ativar o registro conforme especificado na imagem. 

Se você apenas quiser gerar o evento para conexões IP mal-intencionadas em vez de bloquear a conexão, clique com o botão direito do mouse no feed, escolha Monitor-only (não bloquear), como mostrado na imagem:

Escolha a opção Store ASA Firepower Changes para salvar as alterações da política de CA. 

Implante a política de controle de acesso

Para que as alterações entrem em vigor, você deve implantar a política de controle de acesso. Antes de aplicar a política, consulte uma indicação de que a Política de controle de acesso está desatualizada no dispositivo ou não.

Para implantar as alterações no sensor, cClique em Implantar e escolha Implantar alterações do FirePOWER e selecione Implantar na janela pop-up para implantar as alterações. 

Nota: Na versão 5.4.x, para aplicar a política de acesso ao sensor, clique em Aplicar alterações do ASA FirePOWER

Note:  Navegue até Monitoring > ASA Firepower Monitoring > Task Status.  Verifique se a tarefa deve ser concluída para aplicar as alterações de configuração.

Monitoramento de eventos da inteligência de segurança  

Para ver a inteligência de segurança pelo módulo Firepower, navegue para Monitoring > ASA Firepower Monitoring > Real Time Eventing. Selecione a guia Security Intelligence. Isso mostrará os eventos como mostrado na imagem:

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

Para garantir que os feeds de inteligência de segurança estejam atualizados, navegue para Configuration > ASA FirePOWER Configuration > Object Management > Security Intelligence > Network Lists and Feeds e verifique a hora em que o feed foi atualizado pela última vez. Você pode escolher o botão Editar para definir a frequência da atualização do feed. 

Verifique se a implantação da política de controle de acesso foi concluída com êxito. 

Monitore a inteligência de segurança para ver se o tráfego está bloqueando ou não.

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  • Sunil Kumar
    Engenheiro do TAC da Cisco
  • Rachana Gaikwad
    Engenheiro do TAC da Cisco
  • Prashant Joshi
    Engenheiro do TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos