Versão: 17/11/2014. Aker Security Solutions

Versão: 17/11/2014 1

Índice 1 Índice 1 ÍNDICE... 2 1. INTRODUÇÃO... 5 1.1. IMPLEMENTAÇÃO DO AKER IPS... 8 1.2. LISTA DE ABREVIATURAS E SIGLAS... 9 2. AKER IPS... 12 2.1. INSTALAÇÃO... 12 Instalando o Aker IPS... 12 Configurando a Interface de rede... 17 2.2. PRIMEIRO ACESSO AO AKER IPS... 22 2.3. DASHBOARD... 26 2.4. RELATÓRIOS... 32 Criando um novo relatório... 32 Relatórios Padrão... 35 Customização... 35 Preferências... 35 2.5. CONFIGURAÇÕES... 36 2.6. FLUXO... 37 Cadastrando um novo Fluxo... 37 2.7. POLÍTICAS... 40 Cadastrando uma nova Política... 40 Aba geral... 41 Pré-processadores:... 41 Engine de detecção... 43 Aba Regras... 44 2.8. REGRAS... 46 Listagem... 46 Cadastrando uma nova Regra... 47 Importar... 49 Importando regras... 50 Grupos... 51 Cadastrando um novo grupo de regras... 51 Alertas por e-mail... 52 Atualização de regras... 52 2.9. LISTA DE IPS... 53 2.10. E-MAIL... 55 2.11. LOGS DO SISTEMA... 56 2.12. INTERFACE DE REDE... 56 2.13. LICENCIAMENTO... 58 2.14. ATUALIZAÇÕES... 62 2.15. BACKUP... 62 2.16. RESTAURAÇÃO... 63 2

2.17. ATUALIZAÇÃO DE HORA... 63 2.18. ROTAÇÃO DE DADOS... 64 2.19. CONTROLE DE ACESSO... 65 Tipo de autenticação... 65 Usuários... 66 Cadastrando um novo usuário... 66 2.20. AJUDA... 67 2.21. GERENCIAMENTO DA CONTA DO USUÁRIO... 67 3

Introdução 4

1. Introdução Seja bem-vindo ao manual do usuário do Aker IPS. Nos próximos capítulos, você aprenderá como configurar essa poderosa ferramenta de detecção e prevenção de intrusões. Esta introdução tem como objetivo descrever a organização deste manual, tornando sua leitura a mais simples e agradável possível. Como está disposto este manual Este manual é organizado em vários capítulos. Cada um deles mostra determinado aspecto da configuração do produto e informações relevantes sobre o tópico. Todos os capítulos começam com uma introdução teórica a respeito do tema a ser tratado, seguida dos aspectos específicos de configuração do Aker IPS. Juntamente com essa introdução teórica, alguns módulos possuem exemplos práticos do uso do serviço a ser configurado, em situações hipotéticas, porém, bastante próximas da realidade. Recomendamos que este manual seja lido, pelo menos uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte de referência. Para facilitar a consulta, os capítulos estão divididos em tópicos, com acesso imediato pelo índice principal. Dessa forma, pode-se achar facilmente a informação desejada. No decorrer deste manual, aparecerá o símbolo seguido de uma frase escrita em letras vermelhas. Isso sinaliza que tal observação é muito importante e deve ser totalmente entendida antes que se prossiga com a leitura do capítulo. IDS IDS (Intrusion Detection System), Sistema de Detecção de Intrusos ou Sistema de Detecção de Intrusão refere-se aos meios técnicos de descobrir, em uma rede, acessos não autorizados, que podem indicar a ação de um cracker ou até mesmo de colaboradores mal intencionados. Com o acentuado crescimento das tecnologias de infraestrutura, tanto nos serviços quanto nos protocolos de rede, torna-se cada vez mais difícil a implantação de Sistemas de Detecção de Intrusos. Esse fato está intimamente ligado não apenas à velocidade com que as tecnologias avançam, mas principalmente à complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados. 5

Uma solução bastante discutida é a utilização do host-based IDS, que analisa o tráfego de forma individual em uma rede. No host-based, o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina. SSL, IPSec e outros IDSs baseadas em rede, ou network-based, monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo. Tal ciframento pode ser aplicado no cabeçalho do pacote, na área de dados do pacote ou até mesmo no pacote inteiro, impedindo e/ou dificultando o entendimento dos dados por entidades que não sejam o seu real destinatário. Exemplificando, o SSL (Secure Socket Layer) é executado entre a camada de transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes. Sistemas IDS não terão como identificar através do conteúdo dos pacotes ataques para terminar as conexões ou até mesmo interagir com um firewall. Outro exemplo é a implementação do IPSec, que é uma extensão do protocolo IP, bastante utilizada em soluções de VPN. Existem dois modos de funcionamento, o modo transporte e o modo túnel, descritos na RFC2401 de Kent, Atkinson (1998). No modo de transporte, o IPSec é similar ao SSL, protegendo ou autenticando somente a área de dados do pacote IP. Já no modo túnel, o pacote IP inteiro é criptografado e encapsulado. Como pode ser notado no modo transporte, um IDS pode verificar somente o cabeçalho do pacote; enquanto o modo túnel, nem o cabeçalho, nem a área de dados. IDS em redes com Switches A implementação de IDSs em redes comutadas (no caso baseadas em switching) permite a comunicação direta, não compartilhada entre dois dispositivos. Essa característica introduz algumas dificuldades na implementação de IDSs se comparada às redes com transmissão por difusão. Como nesse tipo de rede os dados trafegam diretamente para seus destinos (sem a difusão), tornamse necessárias, na implantação de IDSs, algumas soluções específicas. O uso de Port Span consiste na utilização de switches com IDSs embutidos. A decisão de sua utilização deve ser discutida antes da compra dos concentradores de rede (switches). O uso de Splitting Wire e Optical Tap é uma solução que consiste em colocar uma "escuta" posicionada entre um switch e o equipamento de rede que se deseja monitorar. Um meio bastante barato de se fazer isso (Ethernet e Fast Ethernet) é a colocação de um concentrador de rede por difusão (hub) na conexão a ser vistoriada. No caso de fibras ópticas, basta adicionar um dispositivo chamado Optical Tap. O uso de Port Mirror consiste em fazer no switch o espelhamento do tráfego de uma única porta a outra usada para o monitoramento. Esse método é semelhante ao Wire Tap, porém é implantado no próprio switch. 6

IDS em redes de alta velocidade A evolução tecnológica tem também permitido que um maior número de redes possua altas velocidades de transmissão de dados. Sob o ponto de vista da implantação de IDS, isso se torna bastante delicado, já que traz questões importantes para a manutenção da infraestrutura de redes. Exemplo: os softwares IDS conseguirão analisar toda a grande quantidade de dados que trafegam na rede? O hardware de monitoramento suportará tamanho tráfego? Os IDSs não irão prejudicar a performance da rede se tornando um gargalo? Essas e outras questões têm sido muito discutidas, gerando uma série soluções para contornar tais problemas. Destacando-se: Aumento do poder de processamento dos equipamentos; Monitoramento utilizando-se target IDSs definidas pelo administrador; Direcionamento de tráfego, Toplayer; Recursos de filtragem dos IDSs; Segregação de IDS por serviço (IDS especialista). IPS IPSs (Intrusion Prevention System) ou Sistemas de Prevenção de Intrusões evoluíram no final dos anos 1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção em linha. A princípio, o IPS era apenas um Sistema de Detecção de Intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo, foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall não bastava: ainda era possível que, ao menos aquele pacote malicioso, trafegasse na rede. A solução era implementar formas inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPSs utilizem regras baseadas em portas e endereço IP. O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as funções de host. A vantagem de um Sistema de Prevenção de Intrusos está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativo baixa. 7

Aker IPS Todos os dias, empresas são ameaçadas por milhares de ataques cibernéticos, que, muitas vezes, resultam em falhas de segurança críticas e geram bilhões de reais de prejuízo, além de poderem causar grandes danos à imagem dessas corporações. Ambientes tecnológicos estão constantemente sob ataque, independentemente do tamanho da empresa que os mantêm. Devido ao crescimento contínuo das ameaças cibernéticas, que tem alcançado proporções epidêmicas; o aumento da complexidade dos métodos de proteção contra esses ataques e a luta das empresas para manter sua rede segura, a Aker desenvolveu o Aker IPS, uma solução completa de detecção e prevenção de intrusões que irá ajudar a proteger a integridade de sua rede computacional contra as ameaças cibernéticas. O Aker IPS é uma solução integrada de Segurança da Informação em software do tipo IDS/IPS e Filtro de Aplicações. Possui a capacidade de se integrar a um único dispositivo e efetuar inspeções de tráfego de modo passivo e/ou ativo, além de fazer filtragem de aplicações. O Aker IPS permite que o usuário detecte, identifique e execute ações preventivas em relação às ameaças cibernéticas, antes que estas possam causar danos à empresa (exploração de falhas de segurança, violação de dados confidenciais, etc.). A seguir o gráfico da arquitetura do Aker IPS: 1.1. Implementação do Aker IPS O Aker IPS pode ser implementado em diversas posições estratégicas na rede, a imagem a seguir exibe alguns exemplos: Cabe ressaltar em relação ao posicionamento do Aker IPS que: Posicionando o mesmo antes do Firewall, irá detectar possíveis ataques; Posicionando o mesmo após o Firewall, a detecção será baseada em intrusões, ou erros de usuários internos. 8

Aker IPS 1 Neste modelo de implementação o Aker IPS irá detectar ataques externos, funcionando no próprio firewall; Aker IPS 2 Neste modelo de implementação o Aker IPS irá detectar ataques que conseguiram passar pelo Firewall e tem a DMZ 1 como alvo; Aker IPS 3 Neste modelo de implementação o Aker IPS irá detectar ataques que conseguiram passar pelo Firewall e tem a DMZ 2 como alvo; Aker IPS 4 Neste modelo de implementação o Aker IPS irá detectar ataques internos e externos direcionados a rede interna. 1.2. Lista de abreviaturas e siglas DMZ DeMilitarized Zone HD Hard Disk HTTP Hyper Text Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IMAP Internet Message Access Protocol IP Internet Protocol IPS Intrusion Prevention System IPSEC IP Security Protocol IPX Internetwork Packet Exchange ISP Internet Service Provider 9

LAN Local Area Network POP Point Of Presence RPC Remote procedure Call SIP Session Initiation Protocol SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SPX Sequenced Packet Exchange SQL Structured Query Language SO Sistema Operacional TCP Transmission Control Protocol URL Uniform Resource Locator VPN Virtual Private Network 10

Aker IPS 11

2. Aker IPS Neste capítulo, iremos abordar de uma forma detalhada a instalação, configuração, menus, e funcionalidades do Aker IPS. 2.1. Instalação Aker IPS pode ser adquirido na forma de appliance ou IS/VM. Para que o Aker IPS funcione de maneira satisfatória, é necessário que o mesmo possua as seguintes configurações: Mínimo de 2GB de memória RAM; Mínimo de 20 GB de espaço em disco disponível. A seguir a instalação do Aker IPS em uma IS/VM. Instalando o Aker IPS Ao iniciar o sistema, selecione a opção 2. Instalar Aker IPS 1.0 e pressione a tecla Enter. Em seguida será exibida a mensagem de instalação do produto, por favor, leia com atenção e digite S para Sim (continuar instalação), e N para Não (não continuar instalação). 12

Logo após será exibido a mensagem de instalação do Aker IPS, por favor, leia com atenção e digite S para Sim (continuar instalação), e N para Não (não continuar instalação). Ao selecionar Sim a instalação será iniciada, aguarde até que a mensagem Instalação concluída com sucesso seja exibida, e então pressione a tecla Enter. Após concluir a instalação, selecione a opção 5. Sair e guarde a reinicialização do sistema. No primeiro acesso após a instalação entre com a senha padrão: 123456, para iniciar o processo de configuração. 13

Em seguida será exibida a mensagem do contrato de licença, leia com atenção a mensagem, então pressione a tecla Enter para prosseguir par a próxima tela. 14

15

16

Ao concluir a configuração o sistema será reiniciado. Acessando via Interface texto (SSH) o usuário padrão é aker e a senha é 123456. Para alterar a senha atual entre com o comando akpassword e insira sua nova senha. Configurando a Interface de rede A configuração da Interface de rede do Aker IPS pode ser feita via SSH, Console ou por meio da Interface web. A seguir o passo a passo de como configurar a Interface de rede pela Interface de texto do Aker IPS. Primeiramente, conecte-se ao Aker IPS via SSH ou Console, e entre com o comando akinterface como no exemplo a seguir: 17

As opções a seguir serão exibidas: Selecione a opção 1 Configura interfaces de rede É necessário estar como root, e a seleção das opções não é feita por meio das setas de seu teclado, esta seleção deve-se feita por meio dos números em seu teclado (por exemplo para selecionar a opção 2- configura rotas estáticas, pressione a tecla 2 em seu teclado.) Selecione a opção 2 - Configurar Interface 18

Nesta tela selecione a Interface que será usada pelo Aker IPS, digite o nome da Interface (eth0 no exemplo acima) e aperte a tecla Enter. Defina o endereço IP (este IP será usado para acessar o Aker IPS no browser), máscara de rede, e se uma alias será configurada para sua interface. Ao concluir pressione a tecla Enter. 19

No primeiro acesso ao Aker IPS, após efetuar o login no sistema a tela de licenciamento será exibida para que o usuário ative sua licença, para mais informações veja o capitulo 2.12 Licenciamento. Após configurar a interface de rede selecione a opção 4 Sair, para prosseguir com a configuração: Na tela principal de configuração da interface de rede, selecione a opção 2 Configura rotas estáticas, as opções abaixo serão exibidas: Selecione a opção 2 Adicionar rotas 20

Nesta tela insira o endereço de sua rede, máscara de rede, o endereço do roteador, métrica da rota, a posição desta rota na lista, ao terminar pressione a tecla Enter, e selecione a opção 4 Sair para retornar a tela principal do assistente de configuração da interface de rede. Selecione a opção 3 Configurar servidores DNS Selecione a opção 1 Alterar hostname, e entre como o hostname e pressione a tecla Enter. Selecione a opção 2 Adicionar novo servidor, e entre com o endereço DNS e pressione a tecla Enter. Logo após selecione a opção 5- Sair, para retornar a tela principal do assistente de configuração de interface de rede. 21

Agora selecione a opção 4 configura rota padrão para o Aker IPS. Entre com o endereço para sua rota padrão e aperte Enter. Ao concluir a definição da configuração da interface de rede selecione a opção 6 Aplica novas configurações. Ao aplicar as novas configurações selecione a opção 7 Sai do programa. 2.2. Primeiro acesso ao Aker IPS Após concluir a instalação e configuração da Interface de rede, entre com o IP definido para o Aker IPS no seu navegador: A tela de Login será exibida entre com a senha padrão: 22

Senha padrão Interface texto Usuário padrão SSH: aker Senha padrão SSH: 123456 Senha padrão Interface remota Usuário padrão: admin Senha padrão: 123456 No primeiro acesso, a tela de licenciamento será exibida ao usuário, siga os passos a seguir: Caso o usuário não possua uma licença, é necessário que o número da chave de hardware (R28C-RVAT- IJ7G-WP41 no exemplo acima) seja copiado e encaminhado para licenca@aker.com.br solicitando uma licença para o seu hardware ou IS/VM, ao receber a licença siga os passos a seguir (ao enviar a solicitação o usuário receberá sua licença no período máximo de 24h). 23

É possível visualizar a chave de seu hardware por meio da Interface texto, com o comando HWSIG. Ao receber a licença clique em o arquivo e clique em Abrir. para localizar sua licença. A janela a seguir será exibida, localize 24

Ao localizar o arquivo clique em para carregar o arquivo ou em para limpar a seleção e selecionar outro arquivo. Ao carregar a licença suas informações serão exibidas como na imagem a seguir: Após verificar as informações de sua licença clique em. Esta janela permite que o usuário visualize as informações de usa licença em uso, lembrando que ao carregar um nova licença as informações serão atualizadas exibindo as informações da nova licença que foi carregada. Após aplicar a licença, uma janela será exibida com as informações da licença aplicada serão exibidas, a opção estará habilitada caso o usuário necessite alterar sua licença. 25

2.3. Dashboard O Dashboard do Aker IPS foi projetado para oferecer maior transparência e facilidade no gerenciamento de incidentes de sua rede. O Dashboard possui duas abas, que serão abordadas nas páginas a seguir: 26

Aba Dashboard A aba Dashboard oferece transparência e facilidade no controle de dados para os gestores do Aker IPS, permitindo que os mesmos possam configurar os Widgets de acordo com a necessidade de sua empresa/ambiente, resumindo os dados mais importantes e exibindo-os nas mais diversas opções de gráficos disponíveis. A seguir, as listas de Widgets disponíveis e alguns modelos: 27

28

29

30

Aba Eventos A aba Eventos facilita e oferece rapidez na visualização de eventos permitindo que o usuário selecione os parâmetros de pesquisa para os eventos, podendo definir os campos: Data inicial, Data final, Fluxo, Regra, Mostrar, Protocolo, Origem, Destino, Severidade e Página. 31

2.4. Relatórios O menu Relatórios permite que o usuário crie relatórios customizados de acordo com sua necessidade, selecionando filtros e definindo parâmetros. Além disso, por meio deste menu, o usuário pode editar ou excluir relatórios existentes. Criando um novo relatório Para cadastrar um novo relatório siga os passos exibidos a seguir: No menu Relatórios clique na opção. A janela a seguir será exibida: A janela de cadastro de relatórios possui três abas, preencha os campos existentes nas abas corretamente. Nome do relatório: Neste campo deve-se inserir o nome desejado para o relatório em criação. Tipo: Neste campo deve-se definir o tipo de relatório em criação, as opções disponíveis são: Detalhado e Consolidado. Descrição: Neste campo deve-se inserir uma descrição resumindo a função do relatório em criação. 32

Ao preencher os dados da janela acima clique em. Aba Coluna Nesta aba o usuário deve selecionar quais tipos de filtros que serão exibidos em seu relatório, definindo colunas, tamanho e modos de exibição para os mesmos. Ao completar a configuração das colunas clique em. Aba parâmetros Nesta aba o usuário pode selecionar parâmetros de filtros complementares, para o relatório em questão: 33

Parâmetro de pesquisa: Neste campo o usuário pode selecionar um parâmetro especifico para que o mesmo seja exibido no seu relatório. Operador: Neste campo o usuário deve selecionar o operador que será usado na filtragem, segue as opções disponíveis: No campo insira o valor a ser filtrado. Clique no botão para concluir a inserção do parâmetro. Ao preencher e configurar as abas acima corretamente, clique em. 34

Relatórios Padrão Este submenu permite que o usuário selecione relatórios customizados para os tipos de eventos exibidos a seguir: Customização Nesta janela o usuário pode definir a logo que será exibida nos relatórios emitidos pelo Aker IPS. Preferências Nesta janela o usuário pode definir os padrões que serão usados na exportação dos relatórios em formato TXT. 35

2.5. Configurações O menu Configurações permite que o usuário defina as configurações dos Fluxos, políticas, e-mail, listas de IPs, visualize logs de atividade de usuários no sistema, defina customização de relatórios, configuração de interface de rede e licenciamento. 36

A seguir mais informações sobre estas opções. 2.6. Fluxo Este submenu permite que o usuário configure fluxos que são configurações de detecção baseadas nas regras (assinaturas), politicas, modos de operação, engines de configuração, variáveis, e outras definições de filtragem, que coletaram, analisaram, armazenaram e responderam com ações preventivas as atividades suspeitas. Por meio desta tela o usuário pode criar novos fluxos, editar, excluir e visualizar o estado do fluxo, sendo este ou. Cadastrando um novo Fluxo Para cadastrar um novo Fluxo siga os passos exibidos na janela a seguir: A janela a seguir será exibida: Dentro da janela de Cadastro de fluxo clique em. 37

Aba Geral Nesta aba o usuário deve definir os parâmetros de configuração para os campos a seguir: Nome do Fluxo: Neste campo o usuário deve definir um nome para o novo fluxo. Modo de operação: Neste campo o usuário deve selecionar qual modo de operação que será usado pelo fluxo em criação, as opções disponíveis são: IDS Ao selecionar esta opção o fluxo irá detectar os ataques definidos para este fluxo, mais não irá executar nenhuma ação de prevenção. IPS Ao selecionar esta opção o fluxo irá detectar os ataques definidos para este fluxo, e irá executar as ações definidas para o ataque em questão. Estas ações são: Alertar e Registrar log ou, e Bloquear e gerar log. IPS em modo aprendizado Ao selecionar esta opção o fluxo irá funcionar da mesma forma que o modo de operação anterior (IPS), mas não poderá executar nenhuma ação de prevenção. Este modo informa ao usuário quais pacotes poderiam ter sido bloqueados. Este modo é recomendado para testes em ambientes para redução de falsos positivos. Interface de entrada: Neste campo o usuário deve selecionar a interface de entrada de sua rede. Interface de saída: Neste campo o usuário deve selecionar a interface de saída. Esta interface é usada para executar as medidas de prevenção (Bloquear). Este campo fica disponível apenas para os modos de operação IPS e IPS teste. Políticas: Neste campo o usuário deve selecionar a política desejada para o fluxo em criação. Alvo: Neste campo o usuário deve inserir o alvo, ou seja, a rede que será protegida ou um host específico. 38

Syslogs remotos: Neste campo o usuário pode inserir um ou mais IPs para a transmissão de mensagens de logs remotamente. Ativar Fluxo: Neste campo o usuário deve definir se este fluxo estará ativo ou inativo. Aba Avançado Nesta aba o usuário pode definir os parâmetros de configuração para as variáveis do sistema. Por meio desta janela o usuário pode criar suas próprias variáveis e adicionar whitelists e blacklists que são listas de IPs definidas previamente na tela de listas de IPs. 39

2.7. Políticas Este submenu permite que o usuário crie, edite ou exclua modelos de configuração para ambientes específicos, por exemplo, permitir que cada departamento de uma empresa possua políticas distintas, ou seja, configurações de filtragem IPS distintas para cada setor: Cadastrando uma nova Política Para cadastrar uma nova Política siga os passos exibidos a seguir: Dentro da janela de Cadastro de políticas clique em. 40

A janela de cadastro de políticas será exibida. Esta janela possui duas abas: Geral e Regras. Mais informações sobre estas abas a seguir: Aba geral Nesta aba o usuário deve selecionar/definir o nome da política em criação, seleciona os préprocessadores e os engines de detecção que serão usados pela mesma. Nome da política: Neste campo o usuário deve definir o nome para a nova política. Pré-processadores: Os pré-processadores são componentes/plug-ins que capturam os pacotes e efetuam análises preparando-os para o engine de detecção, efetuando modificações ou organizando os pacotes. Os pré-processadores também são utilizados para a desfragmentação de pacotes uma vez que uma possível assinatura pode estar distribuída nos vários pacotes fragmentados. Neste campo o usuário deve selecionar os Pré-processadores que serão usados por esta política. Ao preencher/definir todos os campos clique em. A seguir as opções de pré-processadores disponíveis: ArpSpoof: 41

O pré-processador ARP decodifica pacotes ARP e detecta ataques ARP, solicitação ARP unicast, e inconsistência de Ethernet para mapeamento de IP. DceRpc2: O principal objetivo deste pré-processador é fazer segmentação SMB e DCE/RPC com o objetivo de prevenir evasão de regras usando estas técnicas. Dnp3: O pré-processador DNP3 decodifica protocolos DNP3, e ainda fornece opções para acessar alguns campos de protocolo. Dns: O pré-processador DNS decodifica respostas DNS e pode detectar os seguintes tipos de exploração: DNS Client RData Overflow, Obsolete Record Types, e Experimental Record Types. Visualizações DNS no tráfego de respostas DNS sobre UDP e TCP requerem que o pré-processador Stream esteja habilitado para decodificação TCP. Frag3: O pré-processador frag3 é um módulo de desfragmentação target-based IP, com técnicas anti-evasão e com rápida execução contendo menos complexidade no gerenciamento de dados. FtpTelnet: Este pré-processador é uma melhoria do decodificador Telnet, ele tem a capacidade e fazer stateful inspection tanto em FTP quando em streams de dados Telnet. Este pré-processador irá decodificar a stream, identificar comandos e respostas FTP, sequencias de telnet e ainda normaliza o campo. Este pré-processador funciona em solicitações do cliente e respostas do servidor. Gtp: O pré-processador GTP (GPRS Tunneling Protocol) é usado na comunicação de redes para estabelecer um canal de comunicação entre GSNs (GPRS Serving Node). O pré-processador GTP oferece maneiras de combater tentativas de intrusão as redes por meio de GTP, e facilita a detecção de novos ataques. HttpInspect: O pré-processador HttpInspect é um decodificador HTTP generic para usuários de aplicações, com um buffer de dados o pré-processador HTTP Inspect irá decodificar o buffer, encontrar campos HTTP, e normalizar os campos. Este pré-processador funciona em solicitações de clientes e respostas do servidor (client requests and server responses). Imap: Este pré-processador é um decodificador IMAP4 para usuários de aplicações, com um buffer de dados o pré-processador IMAP decodifica buffers e encontra comandos e respostas IMAP4. Ele marca o comando, o data header, data body section e extrai anexos IMAP4 e os decodifica apropriadamente. Modbus: O pré-processador Modbus é um módulo que decodifica protocolos Modbus. Modbus é um protocolo usado em redes SCADA, caso sua rede não possua nenhum dispositivo com o Modbus habilitados é recomendado que esse pré-processador permaneça desabilitado. 42

Pop Este pré-processador é um decodificador POP3 para usuários de aplicações, ao receber um buffer de dados o pré-processador POP decodifica buffers em busca de comandos e respostas, e marca o comando, data header, sections data body, extrai anexos POP3 e os decodifica apropriadamente. RpcDecode: O propósito principal deste pré-processador é efetuar SMB desegmentation e DCE/RPC defragmentation para evitar evasões de regras usando estas técnicas. Sfportscan: Este pré-processador foi desenvolvido para detectar a primeira fase de um ataque de rede: Reconnaissance (reconhecimento). Na faze de reconhecimento o atacante determina qual é o tipo de protocolo de rede ou serviços que um host possui. Sip: Este protocolo oferece maneiras de combater Vulnerabilidades e exposições comuns (CVE Common Vulnerailities and Exposures). Smtp: O pré-processador SMTP é um decodificador SMTP para usuários de aplicações, ao receber um buffer de dados o pré-processador irá decodificar o buffer e encontrar comandos e respostas SMTP, e ainda marcará o comando, data header, data body sections, e o TLS data. Ssh: Este pré-processador detecta os seguintes tipos de ataques: Challenge-Response Buffer Overflow, CRC 32, Secure CRT, e o Protocol Mismatch exploit. SslTls: Este pré-processador decodifica tráfegos SSL e TLS, e determina se inspeções serão feitas nestes tráfegos. SSL é usado na porta 443 como HTTPS. Stream5: Este pré-processador é responsável pelo rastreamento de sessões TCP e UDP. Engine de detecção O Engine de detecção, analisa os dados nos pacotes recebidos pelo pré-processador, e verifica se existe alguma atividade suspeita (intrusão) nos mesmos, utilizando regras que são lidas em estruturas ou cadeia de dados internas, analisando todos os pacotes. Ao detectar alguma informação no pacote que corresponde a alguma regra defina para este engine, uma ação definida para este tipo de ação será efetuada, podendo ser, bloqueio ou alerta. Neste campo o usuário deve selecionar os Engines de detecção que serão habilitados para esta política, e definir os valores de seus parâmetros de configuração. 43

A seguir algumas configurações disponíveis no sistema: Aba Regras Nesta aba o usuário deve selecionar quais regras serão habilitadas para esta política, podendo selecionar regras por Grupo, protocolo, ação e mensagem. E ainda exibir o número de regras que estão definidas para Alertar ou Bloquear no Widget Total de regras localizado no lado direito da tela. 44

Grupo: Neste campo o usuário deve selecionar por qual grupo deseja filtrar as regras. Protocolo: Neste campo o usuário deve selecionar o protocolo que deseja filtrar as regras. Ação: Neste campo o usuário deve selecionar a ação que deseja filtrar as regras. 45

Mensagem: Esta mensagem é usada para localizar as regras. Nesta janela o usuário pode visualizar todas as regras existentes em sua política e por meio dos botões abaixo definir uma ação para a regra desejada ou desativar a mesma. 2.8. Regras Este submenu permite que o usuário configure, importe novas regras (regras que possuem as assinaturas de ataques a serem detectadas ou bloqueadas, portas, protocolos, ações, etc.), crie grupo de regras e configure a atualização do sistema. A seguir mais detalhes sobre estas funcionalidades: Listagem Nesta janela o usuário pode incluir novas regras, editar ou excluir regras existentes. 46

Cadastrando uma nova Regra Para cadastrar uma nova regra siga os passos exibidos a seguir: Na janela de regras clique em abaixo:, e preencha os campos exibidos na janela Para adicionar Parâmetros clique no botão. 47

Grupo: Neste campo o usuário deve selecionar o grupo que esta regra irá pertencer; SID: Neste campo é exibido o SID (identificação) da regra selecionada acima; Revisão: Neste campo é exibido o número que define a versão desta regra, ou seja, a cada alteração feita neste grupo, o mesmo receberá um novo número de revisão; Ação: Neste campo o usuário deve definir a ação que será tomada por esta regra ao detectar algum dos ataques especificados para a mesma. As opções disponíveis são: Alertar: registra os logs criando um evento; Bloquear: bloqueia o pacote que conter alguma das assinaturas referida na regra de filtragem e gera log. Protocolo: Neste campo o usuário deve definir qual o protocolo que será usado por esta regra. As opções disponíveis são: 48

TCP UDP ICMP IP Origem: Neste campo o usuário deve definir a entidade de origem, ou seja, a origem do pacote para esta regra. Porta de Origem: Neste campo o usuário deve definir a porta de origem para esta regra. Direção: Neste campo o usuário deve definir a direção do fluxo de dados. As opções disponíveis são: -> = Para o servidor, ou seja, o pacote que está indo para o servidor; <> = Ambas as direções, ou seja, o pacote que está indo e saindo do servidor. <- = Do servidor, ou seja, o pacote que está saindo do servidor; Destino: Neste campo o usuário deve definir a entidade de destino para esta regra. Porta Destino: Neste campo o usuário deve definir a porta de destino para esta regra. Mensagem: Neste campo o usuário pode inserir uma mensagem para a regra. Está mensagem será exibida no alerta ou no bloqueio desta regra. Regras pradrões do sistema não podem ser alteradas, pois desta forma o usuário pode clonar a regra e então fazer suas alterações por meio do botão. Importar Nesta janela o usuário pode importar regras pré-criadas, para um grupo específico. 49

Grupo: Neste campo deve-se selecionar o grupo que receberá as regras importadas. Arquivo: Neste campo o usuário deve localizar e carregar as regras (em arquivo texto com uma regra por linha). Clique no botão para localizar o arquivo que contém as regras a serem importadas. Importando regras Para importar uma nova regra é necessário: Selecionar o grupo desejado; Carregar o arquivo que contém as regras a serem carregas; Clicar em. 50

Grupos Nesta janela o usuário pode criar grupos de regras que facilitam o gerenciamento de regras de filtragem do Aker IPS, permitindo a criação de grupos específicos de acordo com a necessidade de seu ambiente. Cadastrando um novo grupo de regras Para inserir um novo grupo de regras siga os passos exibidos a seguir: Na janela de grupos clique em, para que a janela a seguir seja exibida: Nome: Neste campo o usuário deve inserir o nome desejado para a nova regra. 51

Alertas por e-mail Por meio desta janela o usuário pode configurar o envio de alertas de e-mails, para quando regras específicas forem detectadas. Caso não exista uma configuração de e-mail válida no sistema, é necessário que o usuário defina as configurações de e-mail antes de definir as configurações dos alertas de e-mail. Para mais informações sobre as configurações de e-mail veja o capitulo 2.10 E-mail. Ocorrências: Neste campo o usuário deve definir o número de ocorrências da regra para que o alerta seja enviado, por exemplo, a cada duas ocorrências da(s) regra (s) em questão um alerta será enviado; Intervalo: Neste campo o usuário deve definir o intervalo entre a ocorrência da(s) regra(s) para que um alerta seja enviado; Enviar e-mails para: Neste campo o usuário deve inserir os e-mails que receberam os alertas. Os e-mails cadastrados neste campo devem ser separados por vírgula como no exemplo a seguir: IPSuser1@aker.com;IPSuser2@aker.com;IPSuser3@aker.com Alertar para as regras: Neste campo o usuário deve selecionar quais as regras que ao serem detectadas geraram os alertas de e-mail. Atualização de regras Por meio desta janela o usuário pode configurar a atualização de regras do Aker IPS, definindo se a atualização será feita automaticamente ou manual. Caso automático, é necessário definir o horário e a frequência que a atualização será feita. 52

O usuário pode atualizar o sistema a qualquer momento simplesmente clicando no. Atualizações automáticas: Neste campo o usuário deve definir se o sistema efetuará suas atualizações de forma automática ou manual. Selecione Sim para que a atualização seja feita automaticamente ou Não para que a atualização seja feita manualmente, por meio do botão. Repetir: Neste campo o usuário deve definir a frequência em que a atualização automática do sistema será efetuada, a seguir as opções disponíveis: Horário de execução: Neste campo o usuário deve definir o horário em que a atualização automática será efetuada; 2.9. Lista de IPs Neste submenu o usuário pode criar listas de IPs filtradas pelas políticas e regras do Aker IPS, por exemplo, criar uma Blacklist contendo IPs os quais serão bloqueados diretamente (ou seja, pacotes com origem, que contenha algum IP definido na Blacklist serão bloqueados, sem nenhum tipo de análise), e/ou a criação de uma Whitelist contendo IPs os quais os pacotes passarão diretamente sem nenhum tipo de bloqueio ou análise do Aker IPS, reduzindo falso-positivos. 53

Para criar uma nova lista de IPs siga os passos a seguir: Na janela a seguir insira um nome para sua lista e, no campo Lista, insira os IPs; Na janela de Lista de IPs clique em <Salvar lista>. 54

As listas de IPs devem ser definidas nos campos White_list e Black_list na aba avançado na edição de Fluxo, para mais informações veja o tópico Fluxo. 2.10. E-mail Nesta janela o usuário deve configurar o servidor de e-mail pelo o qual o Aker IPS deve enviar mensagens, e também definir uma conta de e-mail que receberá notificações do Aker IPS. Para definir as configurações de e-mail preencha os campos a seguir: Servidor de e-mail: Neste campo deve-se inserir o endereço do servidor de e-mail que será usado para enviar os e-mails do Aker IPS. 55

Porta: Neste campo deve-se inserir o número da porta a qual será usada para enviar os e-mails do Aker IPS. Autenticação: Neste campo define-se a autenticação do usuário que será solicitada ou não para baixar o e-mail no servidor. Método de Autenticação: Neste campo deve-se selecionar qual o método de autenticação que será usado para que o usuário possa fazer o download do e-mail no servidor. Usuário: Neste campo deve-se inserir o nome do usuário que receberá os e-mails do Aker IPS. Senha: Neste campo deve-se inserir a senha do usuário que receberá os e-mails do Aker IPS. Enviar e-mails de: Neste campo deve-se inserir o e-mail que será usado para enviar os e-mails do Aker IPS. Enviar e-mails para: Neste campo deve-se inserir o e-mail que receberá os e-mails do Aker IPS. 2.11. Logs do sistema Nesta janela o usuário pode visualizar as ações que foram efetuadas no sistema do Aker IPS e os usuários que as efetuaram: 2.12. Interface de rede Nesta janela o usuário pode configurar as interfaces de rede de gerenciamento do Aker IPS. A seguir mais detalhes sobre os campos desta janela: 56

Interface: Neste campo o usuário deve selecionar a interface de rede que será configurada para o Aker IPS; Método: O Aker IPS oferece dois métodos de configuração de redes para seus usuários. Estes são: DHCP para usar este método o usuário deve ter um servidor DHCP na rede para pegar o IP manualmente. Estático ao selecionar este método o usuário deve configurar a rede manualmente preenchendo os dados a seguir: IP: Neste campo o usuário deve definir o IP do Aker IPS; Rede: Neste campo o usuário deve definir o IP da rede do usuário; Broadcast: Neste campo o usuário deve definir o IP de broadcast; Máscara de rede: Neste campo o usuário deve definir máscara de rede em uso; Gateway: Neste campo o usuário deve inserir o gateway da rede; Servidor DNS1: Neste campo o usuário pode inserir o endereço do servidor de DNS primário de rede sua rede; Servidor DNS2: Neste campo o usuário pode inserir o endereço do servidor de DNS secundário de rede sua rede; 57

Para mais informações sobre como definir as configurações da interface de rede via SSH ou Console, veja o tópico Configurando a Interface de rede. 2.13. Licenciamento Após concluir a instalação e configuração da Interface de rede, entre com o IP definido para o Aker IPS no seu navegador: A tela de Login será exibida, então entre com a senha padrão. Senha padrão Interface texto: Usuário padrão SSH: aker Senha padrão SSH: 123456 Senha padrão Interface remota: Usuário padrão: admin Senha padrão: 123456 No primeiro acesso a tela de licenciamento será exibida ao usuário. Siga os passos a seguir: 58

Caso o usuário não possua uma licença, é necessário que o número da chave de hardware (R28C-RVAT- IJ7G-WP41 no exemplo acima) seja copiado e encaminhado para licença@aker.com.br solicitando uma licença para o seu hardware ou IS/VM, ao receber a licença siga os passos a seguir (ao enviar a solicitação o usuário receberá sua licença no período máximo de 24h). É possível visualizar a chave de seu hardware por meio da Interface texto, com o comando HWSIG. Ao receber a licença clique em o arquivo e clique em Abrir. para localizar sua licença. A janela a seguir será exibida, localize 59

Ao localizar o arquivo clique em para carregar o arquivo ou em para limpar a seleção e selecionar outro arquivo. Ao carregar a licença suas informações serão exibidas como na imagem a seguir: 60

Após verificar as informações de sua licença clique em. Esta janela permite que o usuário visualize as informações da licença em uso, lembrando que ao carregar um nova licença as informações serão atualizadas exibindo as informações da nova licença que foi carregada. Após aplicar a licença, uma janela será exibida com as informações da licença aplicada. A opção estará habilitada caso o usuário necessite alterar sua licença. 61

2.14. Atualizações Esta opção permite que o usuário defina como a atualização do sistema do Aker IPS será feita, as opções disponíveis são: Automática e manual. A seguir mais detalhes sobre estas opções: Atualizações automáticas: Agendar: Neste campo o usuário deve selecionar o período que a atualização será efetuada, as opções disponíveis são: Horário de execução: Neste campo o usuário deve definir o horário que a atualização automática será executada. Última atualização: Neste campo é exibido a hora/data em que a última atualização foi efetuada. Enviar atualização manualmente: Esta opção permite que o usuário faça o upload da atualização desejada manualmente. 2.15. Backup Está opção permite que o usuário faça um backup das configurações do sistema em uso, que pode ser usado posteriormente no processo de restauração, que será exibido no próximo tópico. 62

Para realizar o Backup das configurações do seu sistema clique em. O backup é feito apenas para a configuração, os eventos não serão salvos. 2.16. Restauração Está opção permite que usuário restaure as configurações do Aker IPS, por meio de um backup previamente realizado. Este procedimento remove toda e qualquer informação contida nas configurações em uso, salvando apenas as configurações carregadas pelo backup. 2.17. Atualização de Hora Esta opção permite que o usuário configure os servidores NTP (Network Time Protocol), que são usados para sincronizar a hora do servidor mantendo a mesma sempre exata. 63

2.18. Rotação de dados Esta opção permite que o usuário defina as configurações de armazenamento de logs, definindo a quantidade de dias que os eventos serão mantidos no banco de dados, e a quantidade máxima de eventos que serão armazenados. Manter eventos por quantos dias: Neste campo o usuário deve definir a quantidade de dias que os eventos serão mantidos no banco de dados; Armazenamento máximo de eventos em MB: Neste campo o usuário deve definir o tamanho máximo em Mega Bytes que será usado do diretório de backup para armazenar os eventos; 64

2.19. Controle de acesso Todos os eventos enviados para o diretório de backup serão salvos somente se houver espaço disponível, ou seja, caso o banco de dados esteja cheio os novos eventos enviados para o diretório de backup não serão salvos. Este submenu permite que o usuário configure os perfis de usuários e os tipos de autenticação que serão usados. A seguir mais informações sobre as opções do submenu Controle de acesso. Tipo de autenticação Nesta janela o usuário deve selecionar qual o tipo de autenticação que será utilizada. As opções disponíveis são: Não: Ao selecionar Não a autenticação será feita por meio de uma base local (banco de dados do sistema). Sim: Ao selecionar Sim a autenticação será feita por meio de uma base LDAP. Ao selecionar a opção Sim a janela de configuração dos parâmetros de configuração será exibida. A seguir mais detalhes sobre os campos desta janela: 65

Usuários Nesta janela o usuário pode visualizar todos os usuários existentes no sistema e ainda editar, excluir ou adicionar um novo usuário no sistema. Cadastrando um novo usuário Para cadastrar um novo usuário siga os passos a seguir: Na janela de usuários, clique em exibida a seguir: e preencha os campos da janela Usuário: Neste campo deve-se inserir um nome para o novo usuário; Perfil: Neste campo deve-se selecionar o perfil ao qual o novo usuário irá pertencer; Login: Neste campo deve-se definir um nome que será usado para fazer o login no sistema; Senha: Neste campo deve-se definir uma senha que será usada na autenticação do sistema. 66

Ao preencher todos os campos clique em. 2.20. Ajuda O menu Ajuda permite que o usuário tenha acesso ao manual do Aker IPS em dois cliques, e também tire suas dúvidas e entre em debates no Fórum da Aker. 2.21. Gerenciamento da conta do usuário Esta opção fica localizada no lado superior direito da tela, e por meio dela o usuário pode alterar sua senha de acesso ou se desconectar do sistema. 67