Fortigate: IPS

A funcionalidade Intrusion Prevention System (IPS) nos firewalls FortiGate tem como objetivo proteger a rede de ataques externos para serviços publicados, como por exemplo páginas web, servidores FTP, etc. Uma vez que o firewall possui a licença correta, o serviço FortiGuard atualiza a assinatura de IPS (com novas assinaturas) para mitigar novos exploits.  Os ataques externos podem ser classificados da seguinte maneira pelo IPS:

Exploits: são ataques conhecidos (com padrões conhecidos) e que podem ser identificados por IPS, WAF ou assinatura de antivírus.

Anomalias: são comportamentos incomuns que ocasionam aumento do tráfego de rede ou consumo de CPU. As anomalias devem ser detectadas e monitoradas como também mitigadas e bloqueadas.  Elas são melhor detectadas por analise comportamental (behavioral analysis) como assinaturas IPS baseadas em rate, DoS policies e inspeção de protocolos.

O FortiOS trabalha com duas principais técnicas para IPS: anomaly-based and signature-based defense.

Anomaly-based defense

A defesa baseada em anomalia é utilizada quando o próprio tráfego de rede é usado como uma técnica para o ataque contra a rede, como por exemplo, um servidor pode ser inundado com mais consultas do que pode suportar, tornando seus serviços inacessíveis. O exemplo mais comum é a técnica de negação de serviço (DoS), em que um invasor direciona o ataque a partir de diversos computadores para o alvo. O recurso anti-DoS do FortiGate bloqueará o tráfego do ataques que ultrapassem certos parâmetros, mas permitirá as conexões de usuários legítimos.

Signature-based defense

A defesa baseada em assinaturas é usada contra os ataques conhecidos ou explorações de vulnerabilidades. Isso geralmente envolve um atacante tentando obter acesso à sua rede. O invasor na tentativa de obter o acesso ao servidor alvo utilizará sequências particulares de comandos e variáveis. As assinaturas IPS incluem essas sequências de comando, permitindo que o FortiGate faça a detecção e interrompa o ataque.

As assinaturas também incluem características sobre o ataque, como o protocolo que o invasor se utilizará, o sistema operacional vulnerável e o aplicativo vulnerável.

Para ver a lista completa de assinaturas, vá para Security Profiles > Intrusion Prevention e selecione view IPS Signatures.

Protocol Decoders

Antes de examinar o tráfego de rede, o IPS utiliza decodificadores (protocol decoders) para identificar os protocolos, analisando cada pacote de acordo com as suas especificações. Alguns protocolos requerem a especificação do número da porta (configurado via CLI) mas usualmente o protocolo é automaticamente detectado. Caso o tráfego não esteja de acordo com a especificação, malformação ou com comandos inválidos ao servidor, o protocol decoder irá identificar o erro.

Os ataques a redes são específicos para cada protocolo, assim o IPS conserva os recursos procurando apenas os protocolos utilizados ​​para transmiti-los. Por exemplo, a engine do IPS examinará apenas o trafego HTTP com a utilização de uma assinatura descrevendo um ataque HTTP.

Base de assinaturas

As assinaturas para IPS são divididas em Regular e Extended:

Regular: contem assinaturas para os ataques mais comuns e raramente geram falso positivos. Possui uma base menor e a sua ação padrão é bloquear os ataques detectados.

Extended: Contem assinaturas adicionais para ataques que causam impacto significante na performance. É suportado em equipamentos Fortigate com maiores espaços em disco e RAM. A solução é direcionada para ambientes de alta segurança.

config ips global
    set database extended
    end

IPS Sensor

A engine do IPS não examina o tráfego de rede para todas as assinaturas. É necessário primeiro criar um sensor IPS e especificar quais assinaturas serão incluídas. Adicione assinaturas a sensores individualmente usando entradas de assinatura ou em grupos usando filtros IPS.

Para visualizar os sensores IPS, vá para Security Profiles > Intrusion Prevention. Escolha no canto superior direito o profile desejado ou escolha o default.

É possível agrupar assinaturas em sensores IPS para facilitar a seleção ao aplicar-se para políticas de firewall. Por exemplo, você pode especificar todas as assinaturas relacionadas ao servidor Web (em um sensor IPS) e esse sensor pode ser aplicado a uma política de firewall que controla todo o tráfego para o servidor Web protegido pelo FortiGate.

Em IPS Signature é possível selecionar as assinaturas individualmente. Já em IPS Filters o firewall irá adicionar todas as assinaturas que combinam com os filtros.

Além disso o FortiGate atualiza as assinaturas pré-definidas incorporando novas assinaturas assim quando elas são adicionadas.

É possível também adicionar rate-based signature para bloquear o tráfego especifico baseado em um threshold que será comparado com um determinado período.  A duração do tempo para o bloqueio também pode ser configurada. O fabricante sugere utilizar rate-based apenas para protocolos específicos na rede para economizar recursos do firewall.

IPS Sensor Inspection Sequence

A engine IPS valida os filtros do topo da lista primeiro até o ultimo; e aplica a ação ao primeiro match que encontrar. Então posicione os filtros mais utilizados no topo da lista e evite grandes grupos de assinatura em cada filtro, pois a utilização de muitos filtros aumenta o consumo de CPU.

Ações do IPS

Após selecionar os filtros ou assinaturas é possível selecionar as seguintes ações:

Pass: permite o trafego continuar ao seu destino;
Monitor: permite o trafego continuar ao seu destino e registra a atividade em log;
Block: silenciosamente descarta o trafego da assinatura;
Reset: gera um TCP RST;
Quarantine: Permite colocar o IP do atacante em quarentena por um período;
Packet Logging:  O Fortigate salva uma cópia do pacote (que deu match na assinatura);

Aplicando o IPS Sensor na Policy IPv4

Para aplicar um IPS Sensor no Fortigate é necessário atribui-lo em uma Policy:

Para validar os logs gerados acesse Log & Report > Intrusion Prevention. As melhores práticas indicam a leitura sistemática dos logs para entendimento dos tipos de ataques direcionados a sua rede e isto ajudará no desenvolvimento do plano de ação para os eventos específicos como atualização de vulnerabilidade críticas em sua rede.

Referências

FortiGate Security Study Guide for FortiOS 5.6.22
FortiOS Handbook – Security Profiles – version 6.0.1

Leave a Reply

Your email address will not be published. Required fields are marked *