Através da opção “Create Profile” é possível criar um novo perfil de Intrusion Prevention. Para acessar, clique no menu de ações [].

1. Clique na opção “Create Profile”;


Intrusion Prevention - Create Profile


2. A tela “Add Profile” será exibida. Preencha-a com os seguintes dados:


Intrusion Prevention - Create Profile


Aba Settings


Nesta aba é possível efetuar as configurações gerais, definições e o modo de atuação do Intrusion Prevention.


General


Em "General" temos as seguintes caixas de texto:



Intrusion Prevention – General


  • Name: Definir um nome para o perfil. Ex.: Malware Prevention;
  • Description: Definir uma descrição para o perfil. Ex.: Block Malwares;
  • Version: Determina a versão na qual o profile foi criado.


Mode


Em "Mode" são determinadas as aplicações cujo acesso será permitido ou negado:



Intrusion Prevention - Mode


  • Processes: Selecione o número de processos simultâneos para carregamento do perfil. Cada processo refere-se a um thread. Recomendamos que este valor seja “≤ menor ou Igual” ao número de núcleos de processamento do seu Appliance. O preenchimento deste campo é obrigatório.
  • Type: Selecione o Modo de operação do IPS. Os tipos disponíveis são: Firewall, Transparent e Passive;
    • Firewall: Este modo funciona como um sistema de "Proteção orientada a Ativos de Rede" através das “Políticas de segurança” é possível estabelecer regras de proteção contra intrusos “perfis” orientados para cada “serviço de rede”, “protocolo” ou mesmo “ativo de rede” direcionando o tráfego do pacote para análise pelo IPS;
    • TransparentEste modo funciona como sniffer aplicado diretamente na interface de rede. Utiliza-se de um sistema de “captura, filtragem e análise de pacotes em alta velocidade”. Em termos simples, é um agente de aceleração que permite que os pacotes em uma única interface sejam segmentados em vários threads/núcleos, permitindo um processamento de pacotes mais eficiente. Os pacotes são inspecionados em um nível muito mais baixo do que os sniffer ou motores de pacotes tradicionais, reduzindo assim o custo dos recursos e aumentando a eficiência do seu dispositivo;

      Suporte ao modo transparente homologado somente nos modelos “Appliances físicos”.

    • Passive: Este modo funciona monitorando a rede e gerando log “registros” de todos os pacotes identificados na sua base de assinaturas, referente as ameaças e ataques, não tomando nenhuma ação sobre o pacote malicioso. Opera no modo bypass.
  • Flow: Este item só é requerido para configuração no modo “Transparent”. Selecione o fluxo de direcionamento do pacote. O fluxo é determinado pelo device de entrada do pacote. Ex.: Eth2 : Eth3;
  • Interface: Este item só é requerido para configuração no modo “Passive”. Selecione a interface de rede de entrada do fluxo pacote. Ex.: Eth2


Nos campos Flow e Interface, as interfaces de rede devem estar “habilitadas” e sem endereço IP. Conforme demonstrado abaixo:


Network Interfaces - Example


Para mais informações a respeito de como configurar as interfaces, cheque esta página.
Além disso, para evitar fragmentação, poderá ser necessário aumentar os valores do MTU das interfaces. Para mais informações a respeito, consulte esta página.


Definitions


Em "Definitions" são determinadas as aplicações cujo acesso será permitido ou negado:



Intrusion Prevention - Definitions


  • Enable client recommended rules []: A ativação desta opção habilita a exibição das regras ATP padrão da Blockbit. Estas regras serão exibidas aba client;
  • Enable server recommended rules []: A ativação desta opção habilita a exibição das regras IPS padrão da Blockbit. Estar regras serão exibidas na aba server;
  • Inspect all ports[]: Habilita a inspeção independente da porta que o aplicativo esteja rodando.


A ativação da opção Inspect all Ports limita o processo do seu tráfico na rede.


Aba Client


Ao habilitar a opção Enable client recommended rules [] na aba Settings, a aba Client irá exibir as assinaturas conforme demonstrado abaixo:



Intrusion Prevention - Client


As assinaturas estão divididas da seguinte forma:


  • Status: Define o estado atual da assinatura, as opções são:
    • All;
    • Enabled;
    • Disabled;
    • Blocked;
    • Unblocked.
  • Quarantine: É possível habilitar ou desabilitar a opção de quarentena informando se será validado por IP de origem ou destino. Ao habilitar a opção de quarentena automaticamente o sistema irá habilitar a assinatura com o status de block. Com isso, todo tráfego que dê match na assinatura o sistema irá dinamicamente inserir o endereço na quarentena dessa forma, mantendo bloqueado conforme o tempo que foi configurado para quarentena;
  • Risk/severity: Que determina qual o risco da assinatura baseado na criticidade e complexidade do ataque que pode ser dos tipos:
    • Low;
    • Medium;
    • High.
  • Category: Define os grupos de assinaturas que possui a mesma finalidade;
  • Name / SID: Este campo permite determinar o nome da assinatura no sistema ou o identificador único da assinatura (SID) ou código CVE. Também é possível pesquisar as assinaturas em quarentena, habilitadas, desabilitadas, entre outros;
  • Botão Action []: É possível manipular assinaturas que foram filtradas, conforme as seguintes opções:


    Intrusion Prevention - Ações


 Para alterar a ação de determinada assinatura da base, clique no [/] de Status” e “Bloqueioda respectiva assinatura que deseja Habilitar/Desabilitar”.


 Ao ativar o checkbox Enable client recommended rules ou Enable server recommended rules na aba Definitions, alguns SID serão destacados, o SID em azul é o padrão recomendado pela Blockbit (por exemplo, ao editar algum deles, ele passará a ser cinza).

Vide o exemplo abaixo, onde terceiro e quarto SID estão destacados:


Intrusion Prevention - Highlighted SID example


O sistema possui um painel de pesquisa onde o mesmo poderá realizar buscas de acordo com as informações inseridas nos campos anteriormente citados, para tanto, clique em [].

Aba Server


Ao habilitar a opção Enable server recommended rules [] na aba Settings, a aba Server irá exibir as assinaturas IPS conforme demonstrado abaixo:



Intrusion Prevention - Server


Assim como na aba Client, as assinaturas estão divididas da seguinte forma:


  • Status: Define o estado atual da assinatura, as opções são:
    • All;
    • Enabled;
    • Disabled;
    • Blocked;
    • Unblocked.
  • Quarantine: É possível habilitar ou desabilitar a opção de quarentena informando se será validado por IP de origem ou destino. Ao habilitar a opção de quarentena automaticamente o sistema irá habilitar a assinatura com o status de block com isso todo tráfego que dê match na assinatura o sistema irá dinamicamente inserir o endereço na quarentena dessa forma mantendo bloqueado conforme o tempo que foi configurado para quarentena;
  • Risk/severity: Que determina qual o risco da assinatura baseado na criticidade e complexidade do ataque que pode ser dos tipos:
    • Low;
    • Medium;
    • High.
  • Category: Define os grupos de assinaturas que possui a mesma finalidade;
  • Name / SID: Este campo permite determinar o nome da assinatura no sistema ou o identificador único da assinatura (SID);
  • Botão Action []: É possível manipular assinaturas que foram filtradas, conforme as seguintes opções:


    Intrusion Prevention - Ações


 Para alterar a ação de determinada assinatura da base, clique no [/] de Status” e “Bloqueioda respectiva assinatura que deseja Habilitar/Desabilitar”.


 Ao ativar o checkbox Enable client recommended rules ou Enable server recommended rules na aba Definitions, alguns SID serão destacados, o SID em azul é o padrão recomendado pela Blockbit (por exemplo, ao editar algum deles, ele passará a ser cinza).

Vide o exemplo abaixo, onde terceiro e quarto SID estão destacados:


Intrusion Prevention - Highlighted SID example


O sistema possui um painel de pesquisa onde o mesmo poderá realizar buscas de acordo com as informações inseridas nos campos anteriormente citados, para tanto, clique em [].

Botão Restore


Caso à qualquer momento queira restaurar o perfil e as configurações padrão da Blockbit, clique em Restore[], a seguinte janela será exibida.


Intrusion Prevention - Do you really want to restore the profile to default?


Clique no botão Cancel[] para sair dessa janela ou no botão Restore[] para restaurar.


Profile restored


Por fim, caso deseje cancelar clique no botão Cancel[]. Para concluir a edição das aplicações clique no botão Save[].


Saved successfully


As configurações foram feitas com sucesso.

  • No labels