Cisco ISE – Sourcefire Entegrasyonu

 

 

Günümüzde artık güvenlik dünyası çok farklı bir boyut kazanmaya başladı. Eskiden sadece DMZ v.s bölgelerimizi kontrol altına alalım derken şimdi uçtan uca bir güvenlik mimarisine geçmeye başladık.  Bu kapsamda güvenlik cihazlarımızın yaptığı aksiyonlardan birbirinin haberi olması ve ortak hareket etmeleri gerekti. Bunun birçok nedeni var fakat konuyu dağatmamak adına ben sizlere bir senaryo ile  konuyu açıklamaya çalışacağım.  Kurguladığım yapıdan bahsedecek olursam yaklaşık 40 bin kişiye hizmet veren kurumumuzda kablosuz authentication için cisco ISE kullanıyoruz ve kullanıcılar wifi ağına katılmak istedikleri zaman karşılarına gelen captive portal’a kullanıcı adı-şifre bilgilerini giriyor ve arka planda 802.1x operasyonu gerçekleşerek wifi ağına dahil oluyorlar fakat ağınıza dahil olan kişiler farkında olmadan IRC server’ın bir parçası olabilir, bilgisayarındaki malware ağınıza atak yapıyor olabilir(Daha genişletebiliriz). Genelde yapılarda bu tür zaafiyet kontrolünü firewall üzerine yıkarlar fakat bu L2 seviyesinden firewall’a gelene kadar ağınızda gereksiz trafik artışı, diğer kullanıcı bilgisayalarına bulaşımı , firewall’un antibot, antivirüs v.b denetim servilerini yorarak latency’e neden olabilir ve en önemlisi siz bu yüzden firewall kapasite arttırımına giderek gerek olmayan bir maliyete neden olabilirsiniz. Bu yüzden de bu tür kullanıcıları daha L2 seviyesinde engellemeyi sağlayarak, güvenli, verimli ve temiz bir network hizmet vermeyi sağlayabilirsiniz.  Kurulum öncesi gereksinimleri belirtecek olursak;

  • Sourcefire IPS
  • Sourcefire firesight lisans
  • ISE remediation module
  • Cisco ISE 1.2 veya 1.3
  • Cisco ISE advance lisans

 

Gereksinimler kısmında özellik ile “ISE remediation module “ kısmına dikkat çekmek istedim burada ince bir ayrıntıdan bahsetmek istiyorum;  Sourcefire IPS opensource ve snort tabanlı bir IPS olduğu için kendi modüllerinizi veya IPS rule’larınızı  yazarak entegre edebileceğiniz bir sistemdir. Bu özelliği de diğer IPS firmalarını zorlayan ve üstün kılan özelliklerinden birtanesidir.

İlk olarak yapmamız gereken  https://community.sourcefire.com/downloads  sitesinden ilgili remediation’u indirmek olacak. Bu sayfaya dikkat edecek olursanız birçok 3.party sistemin remediation’unun bulabileceksiniz.  Ben sadece ISE ile ilgili olanı indiriyorum. Download işleminde kullanıcı adı şifre soruyor fakat bunu size zaten cisco temin ediyor.

remediation download

 

 

 

Sourcefire IPS’iniz üzerinden indirdiğimiz  remediation’u upload edelim.  Bunun için Policies -> Actions -> Remediations -> Modules adımını izliyoruz.

 

remediation upload

 

Bu işlemimizi tamamladıktan sonra, Policies -> Actions -> Remediations -> Instance  alanına gelerek yeni bir instance ekleyerek, ISE’ın admin node bilgisini giriyorum.

instance_1

Not:

Yapınızın büyüklüğüne ve kullanıcı sayısına  göre cisco ISE size iki farklı kurulum opsiyonu sağlar (standalone – distribute)

Standalone = Policy node (İlgili kuralları uygulayan radius servisi) ve Admin Node (Management, A.D auth ve monitoring işlemlerini yaptığınız serisi) Aynı server üzerinde yüklü olan yapı (1500 üzeri sistemde tavsiye etmem)

Distribute = Adından da anlaşıldığı üzere Policy node ve Admin node’un ayrı server üzerinde yüklü olduğu yapı.

Bu ufak bilgilendirmeden sonra kaldığımız yerden devam edelim. Benim yapımda distibute bir şema söz konusu olduğu için ben sourcefire IPS’e admin node’un IP adresi ve ISE’dan bilgileri alabilmesi için yetkili kullanıcı adı şifresini gireceğim.

instance_edit

“White list “ kısmıda sourcefire’ın güvenli olarak görmesini istediğiniz networkleri belirtebilirsiniz.

 

Buraya kadar herşey sorunsuz ilerledi ise artık sourcefire’ın malware tespit ettiği anda yapması gereken aksiyonu belirmek için “Correlation” belirtelim.

 

 

Policies  -> Correlation -> Rule Management “   Burası çok önemli çünkü sorucefire’ın firesight özelliği ile yakalanan bir malware’e ne yapılması gerektiği yani policy’imizi burada belirtiyoruz. Ben bu yazımda malware ile ilgili bir kural yazdım fakat sourcefire-ISE entegrasyonunda  daha birçok correlation yapabiliriz ki biz birçoğunu kullanıyoruz.

 


malwarepolicyrule

 

Sourcefire’ın firesight özelliği bir malware tespit ettiği zaman header’ına malware diye belirtiyor ve ben de bu özelliğini kullanarak  “ intrusion event “oluştuğu zaman  “rule message” kısmında  “Malware” kelimesini içerdiğinde  “Policy Management’a ”  söylemesini belirtiyorum.  Policy management’da ISE’a kullanıcıda malware tespit ettiği bilgisini iletiyor.  Rule management kısmında anlatmamız gereken daha birçok özellik var.  Belirttiğiniz sunucuya belirttiğiniz IPS kuralı ile bir atak geliyorsa saldırganı karantinaya al v.b

 

Policymanage_create

 

Policy Management alanında yeni bir policy rule oluşturuyoruz ve rule olarak bir önceki oluşturduğumuz malware-rule’u ekliyoruz.

Buraya kadar herşey normal ve yaptığımız işlemlerden kısaca bahsedecek olursak.

  • Remediation Module ekledik
  • Sourcefire ile ISE entegrasyonunu sağladık (instance)
  • Correlation oluşturarak içinde malware geçen intrusion eventleri policy management’a gönderdik
  • Policy Management’a kuralımızı ekledik.

Fakat bu işlemlerden sonra ne yapılması gerektiğini ISE’a söyleyecek ayarı yapmadık işte bu aşamada policy management alanında “response”  eklememiz gerekecek fakat response eklemeden önce instance tanımlama alanına gidip(ISE Admin node ayarını yaptığımız yer), ISE tarafında oluşturulan kurala denk gelen bir kullanıcı olduğunda ne yapması gerektiğini belirtiyoruz. Ben burada source IP yani kullanıcıyı quarantine’ya almasını belirtiyorum ve adına “ISE-Quarantine”  adını veriyorum.

 

instancequarantine

Artık Policy Management’a  response ekleyip bu tür bir kullanıcı tespit ettiğinde ISE’a ne yapması gerektiğini söyleyebilirim. Response eklemek içinde malware-rule’un yanındaki icon’a basarak instance içinde oluşturduğumuz “ISE-Quarantine” respons’unu ekliyorum.

quarantine

Son hali ile aşağıdaki gibi bir görünüm oluşmalı,

success

 

Sonunda Sourcefire tarafında işlemlerimizi bitirdik ve Cisco ISE tarafına geçerek Authorization Policy ile policy node’a sourcefire’dan aldığı bilgiyi iletmesini ve ilgili quarantine işlemini yerine girmesi gerektiğini policy yazarak belirtiyoruz.

Not:  ISE üzerinde yapan servis Enpoint Protection Service dolayısı ile bu servisi Administration -> System -> Enpoint Protection Service alanından enable yapmanız gerekiyor.

EPS Service

 

Şimdi kuralımızı yazabiliriz. Policy -> Authorization -> Exceptions altına bu rule’u  eklememiz yeterli olacaktır. Böylece enpoint servisi sourcefire’dan  source ip adresi x.x.x.x olan kullanıcı quarantine’ya al komutunu aldığında permission kısmında yazılı olan kuralı,  yani bu kişiyi network’den düşür veya alma komutunu uygulayacak.

dfdsfdRule

 

 

 

Permission detayınada bakmak istersek Policy -> Result sekmesinden ulaşabiliriz.


Result

 

 

 

Evet artık sourcefire malware olan bir kullanıcıyı tespit edip  ISE’a ne yapması gerektiğini bildiriyor ve ISE’ın enpoint servisi’de ilgili işlemi yapıyor.

 

Yazımız çok uzadığı için bunun gerçekten çalışıp çalışmadığını tek ekranda göstermek istiyorum. Detayına inebiliriz fakat gerek yok.

 

ISE_log

Sourcefire tarafından malware tespit edilen kullanıcının bilgisi ISE’a iletildi ve ISE bu kullanıcıyı “gokhan” (instance’da belirtilen user) kullanıcısı üzerinden quarantine’ya aldı. İlgili kullanıcı bilgi işlem departmanına gelmek zorunda kaldı ve bilgisayarında gerekli kontroller yapılarak malware’den temizlendi ve “unquarantine“  işlemi yapılarak network’e dahil olması sağlandı.

Teşekkürler.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*