Shun/Block no IPS para roteador ASA/PIX/IOS

Introdução

Este documento descreve como configurar o shunning em um roteador Private Internet Exchange (PIX)/ASA/Cisco IOS® com a ajuda do Cisco IPS.

Pré-requisitos

Requisitos

Antes de configurar o ARC para bloqueio ou limitação de taxa, você deve concluir estas tarefas:

• Analise sua topologia de rede para entender quais dispositivos podem ser bloqueados por qual sensor e quais endereços nunca podem ser bloqueados.

• Reúna os nomes de usuário, as senhas de dispositivo, as senhas de ativação e os tipos de conexão (Telnet ou SSH) necessários para efetuar login em cada dispositivo.

• Conheça os nomes das interfaces nos dispositivos.

• Conheça os nomes da ACL pré-bloqueio ou da VACL e da ACL pós-bloqueio ou da VACL, se necessário.

• Entenda quais interfaces podem ou não ser bloqueadas e em que direção (dentro ou fora).

Componentes Utilizados

As informações neste documento são baseadas no Cisco Intrusion Prevention System (IPS) 5.1 e posterior.

Observação: por padrão, o ARC é configurado para um limite de 250 entradas de bloco. 

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Conventions

Consulte Usar Convenções de Formato para Dicas Técnicas e Outros Conteúdos para obter mais informações sobre convenções de documentos.

Informações de Apoio

O ARC, o aplicativo de bloqueio no sensor, inicia e interrompe blocos nos roteadores, Cisco 5000 RSM e Catalyst 6500 Series Switches, PIX Firewalls, FWSM e Adaptive Security Appliance (ASA). O ARC emite um bloqueio ou um shun para o dispositivo gerenciado para o endereço IP mal-intencionado. O ARC envia o mesmo bloco a todos os dispositivos que o sensor gerencia. Se um sensor de bloqueio primário estiver configurado, o bloco será encaminhado para e emitido a partir deste dispositivo. O ARC monitora o tempo para o bloco e remove o bloco quando o tempo expira.

Quando você usa o IPS 5.1, deve-se tomar cuidado especial ao evitar firewalls no modo de contexto múltiplo, pois nenhuma informação de VLAN é enviada com a solicitação de shun.

Observação: o bloqueio não é suportado no contexto administrativo de um FWSM de contexto múltiplo.

Existem três tipos de blocos:

• Bloco de host—Bloqueia todo o tráfego de um determinado endereço IP.

• Bloqueio de conexão—Bloqueia o tráfego de um determinado endereço IP de origem para um determinado endereço IP de destino e porta de destino. Vários blocos de conexão do mesmo endereço IP de origem para um endereço IP de destino ou porta de destino diferente alternam automaticamente o bloco de um bloco de conexão para um bloco de host.

  Observação: os blocos de conexão não são suportados pelos dispositivos de segurança. Os dispositivos de segurança suportam apenas blocos de host com informações opcionais de porta e protocolo.

• Bloqueio de rede—Bloqueia todo o tráfego de uma determinada rede. Você pode iniciar blocos de host e conexão manual ou automaticamente quando uma assinatura é disparada. Você só pode iniciar blocos de rede manualmente.

Para blocos automáticos, você deve escolher Request Block Host ou Request Block Connection como a ação de evento para assinaturas específicas, para que o SensorApp envie uma solicitação de bloqueio para ARC quando a assinatura for disparada. Uma vez que o ARC recebe a solicitação de bloqueio do SensorApp, ele atualiza as configurações do dispositivo para bloquear o host ou a conexão. 

Nos roteadores Cisco e nos Catalyst 6500 Series Switches, o ARC cria blocos aplicando ACLs ou VACLs. As ACLs e as VACLs aplicam filtros às interfaces, que incluem direção, e às VLANs, respectivamente, para permitir ou negar tráfego. O PIX Firewall, FWSM e ASA não usam ACLs nem VACLs. Os comandos shun e no shun incorporados são usados.

Esta informação é necessária para a configuração do ARC:

• ID de usuário de login, se o dispositivo estiver configurado com AAA.

• Senha de login

• Senha de ativação, que não é necessária se o usuário tiver privilégios de ativação.

• Interfaces a serem gerenciadas, por exemplo, ethernet0, vlan100.

• Todas as informações existentes de ACL ou VACL que você deseja aplicar no início (ACL de pré-bloqueio ou VACL) ou no final (ACL de pós-bloqueio ou VACL) da ACL ou VACL criada. Isso não se aplica a um PIX Firewall, FWSM ou ASA porque eles não usam ACLs ou VACLs para bloquear.

• Se você usa Telnet ou SSH para se comunicar com o dispositivo.

• Endereços IP (host ou intervalo de hosts) que você nunca deseja bloquear.

• Quanto tempo você quer que os blocos durem.

Use a página Bloqueio para definir as configurações básicas necessárias para habilitar o bloqueio e a limitação de taxa.

O ARC controla o bloqueio e as ações de limitação de taxa em dispositivos gerenciados.

Você deve ajustar o sensor para identificar hosts e redes que nunca poderão ser bloqueados. É possível que o tráfego de um dispositivo confiável dispare uma assinatura. Se essa assinatura estiver configurada para bloquear o invasor, o tráfego de rede legítimo poderá ser afetado. O endereço IP do dispositivo pode ser listado na lista Nunca Bloquear para evitar esse cenário.

Uma máscara de rede especificada em uma entrada Nunca bloquear é aplicada ao endereço Nunca bloquear. Se nenhuma máscara de rede for especificada, uma máscara /32 padrão será aplicada.

Observação: por padrão, o sensor não tem permissão para emitir um bloco para seu próprio endereço IP, pois isso interfere na comunicação entre o sensor e o dispositivo de bloqueio. No entanto, essa opção é configurável pelo usuário.

Uma vez que o ARC é configurado para gerenciar um dispositivo de bloqueio, o dispositivo de bloqueio shuns e ACLs/VACLs que são usados para bloqueio não podem ser alterados manualmente. Isso pode causar uma interrupção do serviço ARC e pode resultar em blocos futuros não sendo emitidos.

Observação: por padrão, somente o bloqueio é suportado nos dispositivos Cisco IOS®. Você pode sobrepor o padrão de bloqueio se escolher limitação de taxa ou bloqueio mais limitação de taxa.

Para emitir ou alterar blocos, o usuário do IPS deve ter a função de Administrador ou Operador.

Configure o sensor para gerenciar os roteadores Cisco

Esta seção descreve como configurar o sensor para gerenciar roteadores Cisco. Ele contém estes tópicos:

• Configurar perfis de usuário

• Roteadores e ACLs

• Configurar roteadores Cisco usando CLI

Configurar perfis de usuário

O sensor gerencia os outros dispositivos com o comando user-profiles profile_name para configurar perfis de usuário. Os perfis de usuário contêm as informações de ID de usuário, senha e senha de ativação. Por exemplo, os roteadores que compartilham as mesmas senhas e nomes de usuário podem estar em um perfil de usuário.

Observação: você deve criar um perfil de usuário antes de configurar o dispositivo de bloqueio.

Conclua estas etapas para configurar perfis de usuário:

1. Faça login na CLI com uma conta que tenha privilégios de Administrador.

2. Entre no modo de acesso à rede.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Crie o nome do perfil de usuário.

   sensor(config-net)#user-profiles PROFILE1
   

4. Digite o nome de usuário para esse perfil de usuário.

   sensor(config-net-use)#username username
   

5. Especifique a senha do usuário.

   sensor(config-net-use)# password
   Enter password[]: ********
   Re-enter password ********
   

6. Especifique a senha de ativação para o usuário.

   sensor(config-net-use)# enable-password
   Enter enable-password[]: ********
   Re-enter enable-password ********
   

7. Verifique as configurações.

   sensor(config-net-use)#show settings
      profile-name: PROFILE1
      -----------------------------------------------
         enable-password: <hidden>
         password: <hidden>
         username: jsmith default:
      -----------------------------------------------
   sensor(config-net-use)#

8. Saia do submodo de acesso à rede.

   sensor(config-net-use)#exit
   sensor(config-net)#exit
   Apply Changes:?[yes]:

9. Pressione Enter para aplicar as alterações ou digite no para descartá-las.

Roteadores e ACLs

Quando o ARC é configurado com um dispositivo de bloqueio que usa ACLs, as ACLs são compostas da seguinte maneira:

1. Uma linha de permissão com o endereço IP do sensor ou, se especificado, o endereço NAT (Network Address Translation) do sensor.

   Observação: se você permitir que o sensor seja bloqueado, essa linha não aparecerá na ACL.

2. ACL de pré-bloqueio (se especificado): esta ACL já deve existir no dispositivo.

   Observação: o ARC lê as linhas na ACL pré-configurada e copia essas linhas para o início da ACL de bloco.

3. Quaisquer blocos ativos.

4. ACL de pós-bloqueio ou permit ip any any:

   • ACL de pós-bloqueio (se especificado):

     Essa ACL já deve existir no dispositivo.

     Observação: o ARC lê as linhas na ACL e copia essas linhas no final da ACL.

     Observação: certifique-se de que a última linha na ACL seja permit ip any any se quiser que todos os pacotes sem correspondência sejam permitidos.

   • permit ip any any (não usado se uma ACL de pós-bloqueio for especificada)

Observação: as ACLs que o ARC cria nunca podem ser modificadas por você ou por qualquer outro sistema. Essas ACLs são temporárias e as novas ACLs são criadas constantemente pelo sensor. As únicas modificações que podem ser feitas são as ACLs pré e pós-bloco.

Se precisar modificar a ACL de pré-bloqueio ou pós-bloqueio, siga estas etapas:

1. Desative o bloqueio no sensor.

2. Faça as alterações na configuração do dispositivo.

3. Reative o bloqueio no sensor.

Quando o bloqueio for reativado, o sensor lerá a configuração do novo dispositivo.

Observação: um único sensor pode gerenciar vários dispositivos, mas vários sensores não podem gerenciar um único dispositivo. Caso os blocos emitidos por vários sensores se destinem a um único dispositivo de bloqueio, deve ser incorporado no projeto um sensor de bloqueio primário. Um sensor de bloqueio primário recebe solicitações de bloqueio de vários sensores e envia todas as solicitações de bloqueio para o dispositivo de bloqueio.

Você cria e salva ACLs de pré-bloqueio e pós-bloqueio na configuração do roteador. Essas ACLs devem ser ACLs IP estendidas, nomeadas ou numeradas. Consulte a documentação do roteador para obter mais informações sobre como criar ACLs.

Observação: as ACLS pré e pós-bloqueio não se aplicam à limitação de taxa.

As ACLs são avaliadas de cima para baixo e a ação de primeira correspondência é executada. A ACL de pré-bloqueio pode conter uma permissão que teria precedência sobre uma negação resultante de um bloco.

A ACL de pós-bloqueio é usada para responder por quaisquer condições não tratadas pela ACL ou pelos blocos de pré-bloqueio. Se você tiver uma ACL existente na interface e na direção em que os blocos são emitidos, essa ACL pode ser usada como a ACL pós-bloco. Se você não tiver uma ACL de pós-bloqueio, o sensor inserirá permit ip any any no final da nova ACL.

Quando o sensor é iniciado, ele lê o conteúdo das duas ACLs. Ele cria uma terceira ACL com estas entradas:

• Uma linha de permissão para o endereço IP do sensor.

• Cópias de todas as linhas de configuração da ACL de pré-bloqueio.

• Uma linha deny para cada endereço bloqueado pelo sensor.

• Cópias de todas as linhas de configuração da ACL de pós-bloqueio.

O sensor aplica a nova ACL à interface e à direção que você designar.

Observação: quando a nova ACL de bloco é aplicada a uma interface do roteador, em uma direção específica, ela substitui qualquer ACL preexistente nessa interface nessa direção.

Configurar roteadores Cisco usando CLI

Conclua estas etapas para configurar um sensor para gerenciar um roteador Cisco para executar bloqueio e limitação de taxa:

1. Faça login na CLI com uma conta que tenha privilégios de Administrador.

2. Entre no submodo de acesso à rede.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Especifique o endereço IP para o roteador controlado por ARC.

   sensor(config-net)#router-devices ip_address
   

4. Digite o nome do dispositivo lógico que você criou quando configurou o perfil de usuário.

   sensor(config-net-rou)#profile-name user_profile_name
   

   Observação: o ARC aceita tudo o que você digitar. Ele não verifica se o perfil de usuário existe.

5. Especifique o método usado para acessar o sensor.

   sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
   

   Se não especificado, SSH 3DES é usado.

   Observação: se você usa DES ou 3DES, você deve usar o comando ssh host-key ip_address para aceitar a chave SSH do dispositivo.

6. Especifique o endereço NAT do sensor.

   sensor(config-net-rou)#nat-address nat_address
   

   Observação: isso altera o endereço IP na primeira linha da ACL do endereço do sensor para o endereço NAT. O endereço NAT é o endereço do sensor, pós-NAT. traduzido por um dispositivo intermediário, localizado entre o sensor e o dispositivo de bloqueio.

7. Especifique se o roteador executa bloqueio, limitação de taxa ou ambos.

   Observação: o padrão é blocking. Você não precisa configurar recursos de resposta se quiser que o roteador execute apenas o bloqueio.

   • Limitação de taxa apenas

     sensor(config-net-rou)#response-capabilities rate-limit
     

   • Bloqueio e limitação de taxa

     sensor(config-net-rou)#response-capabilities block|rate-limit
     

8. Especifique o nome e a direção da interface.

   sensor(config-net-rou)#block-interfaces interface_name {in | out}
   

   Observação: o nome da interface deve ser uma abreviação que o roteador reconhece quando usado após o comando interface.

9. (Opcional) Adicione o nome pré-ACL (somente bloqueio).

   sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
   

10. (Opcional) Adicione o nome pós-ACL (somente bloqueio).

    sensor(config-net-rou-blo)#post-acl-name post_acl_name
    

11. Verifique as configurações.

    sensor(config-net-rou-blo)#exit
    
    sensor(config-net-rou)#show settings
    
       ip-address: 10.89.127.97
       -----------------------------------------------
          communication: ssh-3des default: ssh-3des
          nat-address: 10.89.149.219 default: 0.0.0.0
          profile-name: PROFILE1
          block-interfaces (min: 0, max: 100, current: 1)
          -----------------------------------------------
             interface-name: GigabitEthernet0/1
             direction: in
             -----------------------------------------------
                pre-acl-name: <defaulted>
                post-acl-name: <defaulted>
             -----------------------------------------------
          -----------------------------------------------
          response-capabilities: block|rate-limit default: block
       -----------------------------------------------
    sensor(config-net-rou)#

12. Saia do submodo de acesso à rede.

    sensor(config-net-rou)#exit
    sensor(config-net)#exit
    sensor(config)#exit
    Apply Changes:?[yes]:

13. Pressione Enter para aplicar as alterações ou digite no para descartá-las.

Configurar o sensor para gerenciar os firewalls da Cisco

Conclua estas etapas para configurar o sensor para gerenciar firewalls Cisco:

1. Faça login na CLI com uma conta que tenha privilégios de Administrador.

2. Entre no submodo de acesso à rede.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Especifique o endereço IP para o firewall controlado pelo ARC.

   sensor(config-net)#firewall-devices ip_address
   

4. Digite o nome do perfil de usuário que você criou quando configurou o perfil de usuário.

   sensor(config-net-fir)#profile-name user_profile_name
   

   Observação: o ARC aceita qualquer coisa que você digitar. Ele não verifica se o dispositivo lógico existe.

5. Especifique o método usado para acessar o sensor.

   sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
   

   Se não especificado, SSH 3DES é usado.

   Observação: se você usar DES ou 3DES, deverá usar o comando ssh host-key ip_address para aceitar a chave ou o ARC não pode se conectar ao dispositivo.

6. Especifique o endereço NAT do sensor.

   sensor(config-net-fir)#nat-address nat_address
   

   Observação: isso altera o endereço IP na primeira linha da ACL do endereço IP do sensor para o endereço NAT. O endereço NAT é o endereço do sensor, pós-NAT, convertido por um dispositivo intermediário, localizado entre o sensor e o dispositivo de bloqueio.

7. Saia do submodo de acesso à rede.

   sensor(config-net-fir)#exit
   sensor(config-net)#exit
   sensor(config)#exit
   Apply Changes:?[yes]:

8. Pressione Enter para aplicar as alterações ou insira no para descartá-las.

Bloquear com SHUN no PIX/ASA

A emissão do comando shun bloqueia conexões de um host de ataque. Os pacotes que correspondem aos valores no comando são descartados e registrados até que a função de bloqueio seja removida. O shun é aplicado independentemente de uma conexão com o endereço de host especificado estar ativa no momento.

Se você especificar o endereço de destino, as portas de origem e de destino e o protocolo, você restringirá o shun a conexões que correspondam a esses parâmetros. Você pode ter apenas um comando shun para cada endereço IP de origem.

Como o comando shun é usado para bloquear ataques dinamicamente, ele não é exibido na configuração do Security Appliance.

Sempre que uma interface é removida, todos os shuns conectados a ela também são removidos.

Este exemplo mostra que o host ofensivo (10.1.1.27) faz uma conexão com a vítima (10.2.2.89) ao TCP. A conexão na tabela de conexão do Security Appliance diz o seguinte:

TCP outside:10.1.1.27/555 inside:10.2.2.89/666

Para bloquear conexões de um host de ataque, use o comando shun no modo EXEC privilegiado. Aplique o comando shun com estas opções:

hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp

O comando exclui a conexão da tabela de conexão do Security Appliance e também impede que os pacotes de 10.1.1.27:555 a 10.2.2.89:666 (TCP) passem pelo Security Appliance.

Informações Relacionadas

• Configurando o sensor para gerenciar switches Catalyst 6500 Series e roteadores Cisco 7600 Series
• Suporte Técnico e Documentação - Cisco Systems