Buenas chic@s! En el día de hoy vengo hablaros acerca de la funcionalidad IDS/IPS, esta característica fue introducida en la versión 3.0 de NSX-T. Gracias IDS/IPS nos ayudara a protegernos de trafico malicioso dentro de nuestra red, para ello hará uso del sistema de firmas. Esta funcionalidad ha ido mejorando con el paso de la versiones. Vamos a verlos mas en detenimiento.
¿A que nos ayuda IDS/IPS?
IDS/IPS hace uso del modulo «Network inspection» para identificar los intentos de intrusión hacia nuestros sistemas:
- Nos protege contra ataques este-oeste en el DFW.
- Nos protege contra ataques norte-sur en el Clúster Edge(Minimo versión 3.2 y aun en pruebas).
- Hace uso firmas externas para identificar patrones de trafico malicioso.
- Cuando hagamos uso de el en el trafico este-oeste, este será implementado a nivel de hipervisor. Adiós a esas limitaciones de trafico y perdida de rendimiento por hace uso de un equipo físico o hairpining.
¿ Como funcionas IDS/IPS?
Los motores NSX Distributed IDS/IPS están basado Suricata, este es un proyecto de código abierto muy conocido, y ampliamente respetado.
NSX comparte la ubicación de la funcionalidad IDS/IPS con el firewall distribuido(DFW), lo que lleva a un diseño de un solo paso para la inspección del tráfico. Todo el tráfico pasa primero por el cortafuegos, para después pasar a la inspección de IDS/IPS según la configuración. Lo bueno de todo es que ambos procesos se ejecutaran dentro del kernel del esxi, no necesitaremos de maquinas DSVAS para la inspección del trafico como en anteriores versiones.
Los motores NSX Distributed IDS/IPS están alojados en el «user space», estos conectados al módulo de firewall que reside en el kernel del hipervisor. Una aplicación se comunica con otra aplicación enviando tráfico al hipervisor, donde el firewall inspecciona el tráfico. Posteriormente, el cortafuegos reenvía el tráfico al módulo IDS/IPS en el espacio del usuario.
Firmas
NSX descarga todos sus firmas de la entidad Trustwave, esta actualiza sus firmas cada 2 semanas.
Las firmas se pueden actualizar automáticamente ,o bajo demanda, en caso de que nuestro NSX Manager tenga conexión a Internet. Si no tiene acceso a internet, es posible cargar un paquete de firmas sin conexión a través de una llamada API.
Las firmas se pueden habilitar en función de la gravedad. Una puntuación de gravedad más alta indica un mayor riesgo asociado con el evento de intrusión. La gravedad se determina en base a lo siguiente:
- Gravedad especificada en la propia firma.
- Puntaje CVSS (Common Vulnerability Scoring System) especificado en la firma.
- Habilitación de tipo asociada al tipo de clasificación.
IDS detecta intentos de intrusión basados en secuencias de instrucciones maliciosas ya conocidas. Los patrones detectados en el IDS se conocen como firmas.
Acciones
Alerta: se genera una alerta, y no se toman medidas preventivas automáticas.
Descartar: se genera una alerta, y se descartan los paquetes ofensivos.
Rechazar: se genera una alerta, y se descartan los paquetes ofensivos. Para los flujos de TCP, IDS genera un paquete de restablecimiento de TCP,lo envía al origen y al destino de la conexión. Para otros protocolos, un paquete de error ICMP enviado al origen, y al destino de la conexión
Configuracion NSX IDS/IPS
Para empezar nuestra configuración del IDS/IPS nos iremos a la parte de Security–> IDS/IPS & Malware Prevention.
En mi caso yo voy a realizar la configuración en el Distributed Firewall(DFW), para ello solo seleccionare «East-West Traffic«.
En mi caso el NSX Manager tiene acceso a internet, por lo que no necesito ninguna configuración adicional.
Debemos seleccionar «Auto Update new version». De esta manera NSX-T aplicará firmas automáticamente a nuestros hosts, y actualizará las firmas de detección de intrusos al verificar el servicio basado en la nube de VMware. Las firmas se aplican a las reglas de IDS a través de perfiles(Profile).
En este apartado deberemos seleccionar el clúster sobre el queremos aplicar el motor IDS/IPS. En mi caso seleccionare el clúster donde tengo alojadas las maquinas virtuales.
En este paso crearemos el perfil de IDS/IPs que mas tarde aplicaremos. En mi caso he seleccionado todas las firmas.
Ha llegado el momento de crear nuestra politicas de IDS/IPS. Por ello igual que haríamos en el DFW, pulsaremos sobre «Add Policy», asignaremos un nombre.
Cuando tengamos creada la política, añadiremos una nueva donde en «Security Profile» seleccionaremos el perfil de IDS/IPS que hemos creado, en el «Applied to» se lo aplicare al grupo «Web Segment Group», donde se encuentran todos mi servidores web.
Si nos vamos a la parte de los hipervisores, con el comando «get ids status«, veremos que tenemos el modulo IDS/IPS activado.
Además con el comando «get ids profile«, veremos que el host ha recibido la política que hemos creado recientemente.
Test time
En las siguiente imagen podemos observar que tras intentar realizar un ataque con el servidor web, nuestro sistema IDS/IPS lo ha detectado.
Si pulsamos sobre uno de ellos, veremos mas en detalle que tipo de ataque ha sido, además de mas información que nos será de gran utilidad.
Si pulsamos sobre «View Full Event History«, veremos un histórico de todos los eventos.
Por ultimo tenemos un panel donde se nos muestra un resumen de todos los eventos, tipo de ataque,….
Para ello tenemos que ir a «Security Overview«, y pulsar sobre la pestaña «IDS/IPS«.
Conclusión
Hasta aquí hemos llegado, como vemos es una feature que nos ayudara con nuestros ataques en la red. Como toda nueva feature de vMware os recomiendo leeros la guía de licenciamiento para no llevaros ningún disgusto. Para mi la mayor ventaja reside en que tendremos un sistema de IDS/IPS en cada hipervisor, todo ello nos ayudara a obtener un mejor rendimiento con respecto a que todo el trafico pase por un aparato físico, o appliance, y las limitaciones de trafico que suelen con llevar. Nada mas chicos, espero que os haya gustado y nos vemos en los siguientes post.