Sans décodage et prétraitement, le système ne pourrait pas évaluer correctement le trafic pour détecter les intrusions, car les différences de protocole rendraient impossible la mise en correspondance de modèles. Les politiques d’analyse de réseau régissent ces tâches de gestion du trafic :

• une fois le trafic filtré par Security Intelligence

• une fois le trafic chiffré déchiffré par une politique SSL facultative

• avant que le trafic puisse être inspecté par des politiques de fichiers ou de prévention des intrusions

Une politique d’analyse de réseau régit le traitement des paquets par phases. Tout d’abord, le système décode les paquets qui passent par les trois premières couches TCP/IP, puis poursuit la normalisation, le prétraitement et la détection des anomalies de protocole :

• Le décodeur de paquets convertit les en-têtes de paquets et les charges utiles dans un format qui peut être facilement utilisé par les préprocesseurs et, ultérieurement, les règles de prévention des intrusions. Chaque couche de la pile TCP/IP est décodée tour à tour, en commençant par la couche de liaison de données jusqu’aux couches de réseau et de transport. Le décodeur de paquets détecte également divers comportements anormaux dans les en-têtes de paquets.

• Dans les déploiements en ligne, le préprocesseur de normalisation en ligne formate (normalise) le trafic pour minimiser les risques que les attaquants échappant à la détection. Il prépare les paquets en vue de leur examen par d’autres préprocesseurs et règles de prévention des intrusions et veille à ce que les paquets traités par le système soient identiques aux paquets reçus par les hôtes de votre réseau.

  Remarque

  Dans un déploiement passif, Cisco vous recommande de pour activer les mises à jour de profils adaptatifs au niveau de la politique de contrôle d’accès, plutôt que d’utiliser la normalisation en ligne au niveau de l’analyse de réseau.

• Divers préprocesseurs des couches de réseau et de transport détectent les attaques qui exploitent la fragmentation IP, effectuent la validation de la somme de contrôle et le prétraitement des sessions TCP et UDP.

  Notez que certains paramètres avancés de transport et de préprocesseur de réseau s’appliquent globalement à tout le trafic géré par les machines cibles d’une politique de contrôle d’accès. Vous les configurez dans la politique de contrôle d’accès plutôt que dans une politique d’analyse de réseau.

• Divers décodeurs de protocole de la couche d’application normalisent des types spécifiques de données de paquets dans des formats que le moteur de règles de prévention des intrusions peut analyser. La normalisation des codages de protocoles de la couche d’application permet au système d’appliquer efficacement les mêmes règles de prévention des intrusions liées au contenu aux paquets dont les données sont présentées différemment et d’obtenir des résultats significatifs.

• Les préprocesseurs SCADA Modbus, DNP3, CIP, and s7commplus détectent les anomalies de trafic et fournissent des données aux règles de prévention des intrusions. Les protocoles de supervision, de contrôle et d’acquisition de données (SCADA) surveillent, contrôlent et acquièrent des données des processus industriels, des processus d’infrastructure et d’installation tels que la fabrication, la production, le traitement de l’eau, la distribution d’énergie électrique, les systèmes aéroportuaires et d’expédition, et ainsi de suite.

• Plusieurs préprocesseurs vous permettent de détecter des menaces spécifiques, telles que l’ouverture arrière, les analyses de ports, les inondations SYN et d’autres attaques basées sur le débit.

  Notez que vous configurez le préprocesseur des données sensibles, qui détecte les données sensibles telles que les numéros de carte de crédit et les numéros de sécurité sociale en texte ASCII, dans les politiques de prévention des intrusions.

Dans une politique de contrôle d’accès nouvellement créée, une politique d’analyse de réseau par défaut régit le prétraitement de tout le trafic pour toutes les politiques de prévention des intrusions appelées par la même politique parente de contrôle d’accès. Au départ, le système utilise la politique d’analyse de réseau Sécurité et connectivité équilibrées par défaut, mais vous pouvez la remplacer par une autre politique d’analyse de réseau fournie par le système ou personnalisée. Dans un déploiement plus complexe, les utilisateurs avancés peuvent adapter les options de prétraitement du trafic à des zones de sécurité, à des réseaux et à des VLAN spécifiques en attribuant différentes politiques d’analyse de réseau personnalisées pour prétraiter le trafic correspondant.

Après le prétraitement initial, les règles de contrôle d’accès (le cas échéant) évaluent le trafic. Dans la plupart des cas, la première règle de contrôle d’accès à laquelle un paquet correspond est la règle qui gère ce trafic; vous pouvez surveiller, faire confiance, bloquer ou autoriser le trafic correspondant.

Lorsque vous autorisez le trafic avec une règle de contrôle d’accès, le système peut inspecter le trafic à la recherche de données de découverte, de programmes malveillants, de fichiers interdits et d'intrusions, dans cet ordre. Le trafic ne correspondant à aucune règle de contrôle d’accès est géré par l’action par défaut de la politique de contrôle d’accès, qui peut également inspecter les données de découverte et les intrusions.

Remarque

Tous les paquets, quelle que soit la politique d’analyse de réseau qui les prétraite, correspondent aux règles de contrôle d’accès configurées et sont donc potentiellement sujets à une inspection par les politiques de prévention des intrusions, dans l’ordre descendant.

Le diagramme en Comment les politiques examinent le trafic à la recherche d’intrusions montre le flux de trafic dans un périphérique dans un déploiement en ligne de prévention des intrusions et de Défense contre les programmes malveillants , comme suit :

• La règle de contrôle d’accès A permet au trafic correspondant de se poursuivre. La politique de découverte du réseau inspecte ensuite le trafic pour identifier des données de découverte, afin de détecter les fichiers interdits et les programmes malveillants par la politique A de fichiers, puis les intrusions sont repérées par la politique de prévention des intrusions A.

• La règle de contrôle d’accès B permet également de mettre en correspondance le trafic. Cependant, dans ce scénario, le trafic n’est pas inspecté pour détecter les intrusions (ou les fichiers ou les programmes malveillants), donc aucune politique de prévention des intrusions ou de fichier n’est associée à la règle. Notez que par défaut, le trafic que vous autorisez la poursuite est inspecté par la politique de découverte de réseau; vous n’avez pas besoin de configurer cela.

• Dans ce scénario, l’action par défaut de la politique de contrôle d’accès permet une mise en correspondance du trafic. Le trafic est ensuite inspecté par la politique de découverte de réseau, puis par une politique de prévention des intrusions. Vous pouvez (sans y être obligé) utiliser une politique de prévention des intrusions différente lorsque vous associez des politiques de prévention des intrusions aux règles de contrôle d’accès ou à l’action par défaut.

L’exemple du diagramme n’inclut aucune règle de blocage ou d’approbation, car le système n’inspecte pas le trafic bloqué ou de confiance.

De même, vous pouvez utiliser une politique IPS comme dernière ligne de défense du système avant que le trafic ne soit autorisé à se rendre à destination. Les politiques d'intrusion régissent la manière dont le système inspecte le trafic à la recherche de violations de la sécurité et, dans les déploiements en ligne, peuvent bloquer ou modifier le trafic malveillant. La fonction principale des politiques de prévention des intrusions est de gérer les règles de prévention des intrusions et de préprocesseur activées et la façon dont elles sont configurées.

Ensembles de variables

Chaque fois que le système utilise une politique de prévention des intrusions pour évaluer le trafic, il utilise un ensemble de variables associé. La plupart des variables d'un ensemble représentent des valeurs couramment utilisées dans les règles d'intrusion pour identifier les adresses IP et les ports source et destination. Vous pouvez également utiliser des variables dans les politiques de prévention des intrusions pour représenter les adresses IP dans les états de suppressions de règles et de règles dynamiques.

Le système fournit un seul ensemble de variables par défaut, qui comprend des variables par défaut prédéfinies. La plupart des règles d’objet partagé et des règles de texte standard fournies par le système utilisent ces variables par défaut prédéfinies pour définir les réseaux et les numéros de port. Par exemple, la majorité des règles utilisent la variable $HOME_NET pour préciser le réseau protégé et la variable $EXTERNAL_NETpour préciser le réseau non protégé (ou externe). En outre, les règles spécialisées utilisent souvent d’autres variables prédéfinies. Par exemple, les règles qui détectent les exploits contre les serveurs Web utilisent les variables $HTTP_SERVERS et $HTTP_PORTS.

Astuces

Même si vous utilisez les politiques de prévention des intrusions fournies par le système, Cisco vous recommande fortement de modifier les variables clés par défaut de l’ensemble par défaut. Lorsque vous utilisez des variables qui reflètent avec précision votre environnement réseau, le traitement est optimisé et le système peut surveiller les systèmes concernés pour détecter toute activité suspecte. Les utilisateurs avancés peuvent créer et utiliser des ensembles de variables personnalisés pour les jumeler avec une ou plusieurs politiques de prévention des intrusions personnalisées.

Lorsque le système détecte une intrusion possible, il génère un événement d’ intrusion ou de préprocesseur (parfois appelés collectivement incidents d'intrusion). Les périphériques gérés transmettent leurs événements à centre de gestion, où vous pouvez afficher les données agrégées et acquérir une meilleure compréhension des attaques contre les ressources de votre réseau. Dans un déploiement en ligne, les périphériques gérés peuvent également abandonner ou remplacer des paquets que vous savez être dangereux.

Chaque incident d'intrusion dans la base de données comprend un en-tête d’événement et contient des informations sur le nom et la classification de l’événement; les adresses IP de source et de destination; les ports; le processus qui a généré l’événement; et la date et l’heure de l’événement, ainsi que des informations contextuelles sur la source de l’attaque et sa cible. Pour les événements par paquets, le système enregistre également une copie de l’en-tête du paquet décodé et de la charge utile du ou des paquets qui ont déclenché l’événement.

Le décodeur de paquets, les préprocesseurs et le moteur de règles de prévention des intrusions peuvent tous forcer le système à générer un événement. Par exemple :

• Si le décodeur de paquets (configuré dans la politique d’analyse de réseau) reçoit un paquet IP de moins de 20 octets, soit la taille d’un datagramme IP sans option ni charge utile, le décodeur interprète cela comme un trafic anormal. Si, ultérieurement, la règle de décodeur associée dans la politique de prévention des intrusions qui examine le paquet est activée, le système génère un événement de préprocesseur.

• Si le préprocesseur de défragmentation IP rencontre une série de fragments IP qui se chevauchent, le préprocesseur interprète cela comme une attaque possible et, lorsque la règle de préprocesseur d’accompagnement est activée, le système génère un événement de préprocesseur.

• Dans le moteur de règles de prévention des intrusions, la plupart des règles de texte standard et des règles d’objets partagés sont écrites de manière à générer des incidents d'intrusion lorsqu’elles sont déclenchées par des paquets.

Au fur et à mesure que la base de données accumule les incidents d'intrusion, vous pouvez commencer votre analyse des attaques potentielles. Le système vous fournit les outils dont vous avez besoin pour passer en revue les incidents d'intrusion et évaluer s’ils sont importants dans le contexte de votre environnement réseau et de vos politiques de sécurité.

Cisco fournit les politiques d’analyse de réseau et de prévention des intrusions suivantes avec le système : En utilisant les politiques d’analyse de réseau et de prévention des intrusions fournies par le système, vous pouvez profiter de l’expérience de Talos Intelligence Group. Pour ces politiques, Talos fournit les états des règles de prévention des intrusions et de préprocesseur ainsi que les configurations initiales pour les préprocesseurs et d’autres paramètres avancés.

Aucune politique fournie par le système ne couvre tous les profils de réseau, toutes les combinaisons de trafic ou toutes les postures défensives. Chacune couvre des cas et des configurations réseau courants qui fournissent un point de départ pour une politique défensive bien réglée. Bien que vous puissiez utiliser les politiques fournies par le système telles quelles, Cisco vous recommande fortement de les utiliser comme base pour des politiques personnalisées que vous ajusterez en fonction de votre réseau.

Astuces

Même si vous utilisez les politiques d’analyse de réseau et de prévention des intrusions fournies par le système, vous devez configurer les variables de prévention des intrusions du système pour refléter avec précision votre environnement réseau. Modifiez au minimum les variables par défaut clés dans l’ensemble par défaut.

À mesure que de nouvelles vulnérabilités sont connues, Talos publie des mises à jour des règles de prévention des intrusions (également appelées mises à jour des règlesSnort). Ces mises à jour de règles peuvent modifier toute analyse de réseau ou politique de prévention des intrusions fournie par le système, ainsi que des règles de prévention des intrusions et de préprocesseurs nouvelles ou mises à jour, des états modifiés pour les règles existantes et des paramètres de politique par défaut modifiés. Les mises à jour de règles peuvent également supprimer des règles des politiques fournies par le système et fournir de nouvelles catégories de règles, ainsi que modifier l’ensemble de variables par défaut.

Si la mise à jour d’une règle affecte votre déploiement, l’interface Web marque comme obsolètes les politiques d’analyse de réseau et de prévention des intrusions affectées, ainsi que leurs politiques parentes de contrôle d’accès. Vous devez redéployer une politique mise à jour pour que ses modifications prennent effet.

Pour plus de commodité, vous pouvez configurer des mises à jour de règles pour qu’elles redéployent automatiquement les politiques de prévention des intrusions touchées, seules ou en combinaison avec les politiques de contrôle d’accès concernées. Cela vous permet de garder facilement et automatiquement votre déploiement à jour pour vous protéger contre les intrusions et les exploits découverts récemment.

Pour garantir la mise à jour des paramètres de prétraitement, vous devez redéployer les politiques de contrôle d’accès, qui déploient également tout SSL associé, ainsi que les politiques d’analyse de réseau et de fichiers différentes de celles en cours d’exécution, et peuvent également mettre à jour les valeurs par défaut pour le prétraitement avancé. et les options de performance.

Remarque

Selon la politique de base sélectionnée, fournie par le système, les paramètres de la politique varient. Pour afficher les paramètres de la politique, cliquez sur l’icône Edit (modifier) à côté de la politique, puis cliquez sur le lien Manage Base Policy (gestion de la politique de base).

Vous constaterez peut-être que les options de préprocesseur, les règles de prévention des intrusions et d’autres paramètres avancés configurés dans les politiques d’analyse de réseau et de prévention des intrusions fournies par le système ne répondent pas entièrement aux besoins de sécurité de votre organisation.

L’élaboration de politiques personnalisées peut améliorer les performances du système dans votre environnement et fournir un aperçu précis du trafic malveillant et des violations de politiques qui se produisent sur votre réseau. La création et le réglage de politiques personnalisées vous permettent de configurer, à un niveau très fin, la façon dont le système traite et inspecte le trafic sur votre réseau pour détecter les intrusions.

Toutes les politiques personnalisées ont une politique de base, également appelée couche de base, qui définit les paramètres par défaut pour toutes les configurations de la politique. Une couche est un bloc de construction que vous pouvez utiliser pour gérer efficacement plusieurs politiques d’analyse de réseau ou de prévention des intrusions.

Dans la plupart des cas, vous fondez les politiques personnalisées sur les politiques fournies par le système, mais vous pouvez utiliser une autre politique personnalisée. Cependant, toutes les politiques personnalisées ont une politique fournie par le système comme base potentielle dans une chaîne de politiques. Étant donné que les mises à jour de règles peuvent modifier des politiques fournies par le système, l’importation d’une mise à jour de règle peut vous affecter même si vous utilisez une politique personnalisée comme base. Si la mise à jour d’une règle affecte votre déploiement, l’interface Web marque les politiques concernées comme obsolètes.

Le prétraitement et l’inspection de prévention des intrusions étant si étroitement liés, vous devez veiller à ce que votre configuration permette à l’analyse de réseau et à l’inspection de réseau, au traitement et à l’examen d’un seul paquet de se compléter.

Par défaut, le système utilise une politique d’analyse de réseau pour prétraiter tout le trafic géré par les périphériques gérés à l’aide d’une seule politique de contrôle d’accès. Le diagramme suivant montre comment une nouvelle politique de contrôle d’accès dans un déploiement de prévention des intrusions en ligne gère initialement le trafic. Les phases de prétraitement et de prévention des intrusions sont mises en surbrillance.

Remarquez comment une politique d’analyse de réseau par défaut régit le prétraitement de tout le trafic géré par la politique de contrôle d’accès. Au départ, la politique d’analyse de réseau Sécurité et connectivité équilibrées fournie par le système est la politique par défaut.

Un moyen simple de régler le prétraitement consiste à créer et à utiliser une politique d’analyse de réseau personnalisée par défaut. Toutefois, si vous désactivez un préprocesseur dans une politique d’analyse de réseau personnalisée, mais que le système doit évaluer les paquets prétraités par rapport à une règle de prévention des intrusions ou de préprocesseur activée, le système active et utilise automatiquement le préprocesseur, bien qu’il reste désactivé dans la politique d’analyse de réseau interface Web.

Remarque

Pour obtenir les avantages en matière de performances de la désactivation d’un préprocesseur, vous devez vous assurer qu’aucune de vos politiques de prévention des intrusions ne comporte de règles d’activation qui nécessitent ce préprocesseur.

Un défi supplémentaire survient si vous utilisez plusieurs politiques d’analyse de réseau personnalisées. Pour les utilisateurs avancés avec des déploiements complexes, vous pouvez adapter le prétraitement à des zones de sécurité, à des réseaux et à des VLAN spécifiques en attribuant des politiques d’analyse de réseau personnalisées pour prétraiter le trafic correspondant. Pour ce faire, ajoutez des règles d’analyse de réseau personnalisées à votre politique de contrôle d’accès. Chaque règle est associée à une politique d’analyse de réseau qui régit le prétraitement du trafic correspondant à la règle.

Astuces

Vous configurez les règles d’analyse de réseau en tant que paramètre avancé dans une politique de contrôle d’accès. Contrairement à d’autres types de règles dans le système, les règles d’analyse de réseau appellent les politiques d’analyse de réseau plutôt que d’être contenues par.

Le système fait correspondre les paquets à des règles d’analyse de réseau configurées en ordre descendant par numéro de règle. Le trafic qui ne correspond à aucune règle d’analyse de réseau est prétraité par la politique d’analyse de réseau par défaut. Bien que cela vous permette une grande souplesse dans le prétraitement du trafic, gardez à l’esprit que tous les paquets, quelle que soit la politique d’analyse de réseau qui les ont prétraités, sont par la suite mis en correspondance avec les règles de contrôle d’accès, et donc à l’inspection potentielle par les politiques de prévention des intrusions, dans leur propre processus. . En d’autres termes, le prétraitement d’un paquet avec une politique d’analyse de réseau particulière ne garantit pas que le paquet sera examiné avec une politique de prévention des intrusions particulière. Vous devez configurer avec soin votre politique de contrôle d’accès afin qu’elle fasse appel aux politiques d’analyse de réseau et de prévention des intrusions appropriées pour évaluer un paquet particulier.

Le diagramme suivant montre de manière très détaillée comment la phase de sélection de la politique d’analyse de réseau (prétraitement) se produit avant la phase de prévention des intrusions (règles) et séparément. Par souci de simplicité, le diagramme élimine les phases de découverte et d’inspection des fichiers et des programmes malveillants. Il met également en évidence les politiques d’analyse de réseau et d’action par défaut contre les intrusions par défaut.

Dans ce scénario, une politique de contrôle d’accès est configurée avec deux règles d’analyse de réseau et une politique d’analyse de réseau par défaut :

• Les préprocesseurs de la règle d’analyse de réseau A font correspondre le trafic avec la politique d’analyse de réseau A. Plus tard, vous souhaitez que ce trafic soit inspecté par la politique de prévention des intrusions A.

• Préprocesseurs de la règle d’analyse de réseau B faisant correspondre le trafic avec la politique d’analyse de réseau B. Plus tard, vous souhaitez que ce trafic soit inspecté par la politique de prévention des intrusions B.

• Tout le trafic restant est prétraité avec la politique d’analyse de réseau par défaut. Plus tard, vous souhaitez que ce trafic soit inspecté par la politique de prévention des intrusions associée à l’action par défaut de la politique de contrôle d’accès.

Une fois le trafic effectué par les préprocesseurs du système, il peut examiner le trafic pour détecter des intrusions. Le diagramme montre une politique de contrôle d’accès avec deux règles de contrôle d’accès et une action par défaut :

• La règle de contrôle d’accès A permet la mise en correspondance du trafic. Le trafic est ensuite inspecté par la politique de prévention des intrusions A.

• La règle de contrôle d’accès B permet de mettre en correspondance le trafic. Le trafic est ensuite inspecté par la politique de prévention des intrusions B.

• L’action par défaut de la politique de contrôle d’accès permet une mise en correspondance du trafic. Le trafic est ensuite inspecté par la politique de prévention des intrusions de l’action par défaut.

Le traitement de chaque paquet est régi par une paire de politiques d’analyse de réseau et de politiques de prévention des intrusions, mais le système ne coordonne pas la paire pour vous. Voici un scénario dans lequel vous configurez mal votre politique de contrôle d’accès de sorte que la règle d’analyse de réseau A et la règle de contrôle d’accès A ne traitent pas le même trafic. Par exemple, vous pouvez vouloir que les politiques jumelées régissent le traitement du trafic sur une zone de sécurité particulière, mais vous utilisez par erreur des zones différentes dans les conditions des deux règles. Cela pourrait entraîner un prétraitement incorrect du trafic. Pour cette raison, la personnalisation du prétraitement à l’aide de règles d’analyse de réseau et de politiques personnalisées est une tâche avancée.

Veuillez noter que pour une connexion unique, bien que le système sélectionne une politique d’analyse de réseau avant une règle de contrôle d’accès, un certain prétraitement (notamment le prétraitement de la couche d’application) a lieu après la sélection de la règle de contrôle d’accès. Cela n’affecte pas la façon dont vous configurez le prétraitement dans les politiques d’analyse de réseau personnalisées.