A funcionalidade Intrusion Prevention System (IPS) nos firewalls FortiGate tem como objetivo proteger a rede de ataques externos. Uma vez que o firewall possui a licença correta, o serviço FortiGuard atualiza a assinatura de IPS com novas assinaturas para mitigar novos exploits. Os ataques externos podem ser classificados da seguinte maneira pelo IPS:
Exploits: são ataques conhecidos, com padrões conhecidos e que podem ser identificados por IPS, WAF ou assinatura de antivírus.
Anomalias: são comportamentos incomuns na rede que ocasionam aumento do tráfego de rede ou uso de CPU. As anomalias devem ser detectadas e monitoradas como também mitigadas e bloqueadas. São melhor detectadas por analise comportamental (behavioral analysis) como assinaturas IPS baseadas em rate, DoS policies e inspeção de protocolos.
O FortiOS trabalha com duas principais técnicas para IPS: anomaly-based and signature-based defense.
Anomaly-based defense
A defesa baseada em anomalia é utilizada quando o próprio tráfego de rede é usado como uma técnica de ataque contra a rede, como por exemplo, um servidor pode ser inundado com mais consultas do que pode suportar, tornando seus serviços inacessíveis. O exemplo mais comum é a técnica negação de serviço (DoS), em que um invasor direciona o ataque a partir de diversos computadores para o alvo. O recurso anti-DoS do FortiGate bloqueará o tráfego do ataques que ultrapassem certos parâmetros, mas permitirá as conexões de usuários legítimos.
Signature-based defense
A defesa baseada em assinaturas é usada contra os ataques conhecidos ou explorações de vulnerabilidades. Isso geralmente envolve um atacante tentando obter acesso à sua rede. O invasor na tentativa de obter o acesso ao servidor alvo utilizará sequências particulares de comandos e variáveis. As assinaturas IPS incluem essas sequências de comando, permitindo que o FortiGate faça a detecção e interrompa o ataque.
As assinaturas também incluem características sobre o ataque, como o protocolo que o invasor se utilizará, o sistema operacional vulnerável e o aplicativo vulnerável.
Para ver a lista completa de assinaturas, vá para Security Profiles > Intrusion Prevention e selecione view IPS Signatures.
Protocol Decoders
Antes de examinar o tráfego de rede, o IPS utiliza decodificadores (protocol decoders) para identificar os protocolos, analisando cada pacote de acordo com as suas especificações. Alguns protocolos requerem a especificação do número da porta (configurado via CLI) mas usualmente o protocolo é automaticamente detectado. Caso o tráfego não esteja de acordo com a especificação, malformação ou com comandos inválidos ao servidor, o protocol decoder irá identificar o erro.
Os ataques a redes são específicos para cada protocolo, assim o IPS conserva os recursos procurando apenas os protocolos utilizados para transmiti-los. Por exemplo, a engine do IPS examinará apenas o trafego HTTP com a utilização de uma assinatura descrevendo um ataque HTTP.
Base de assinaturas
As assinaturas para IPS são divididas em Regular e Extended:
Regular: contem assinaturas para os ataques mais comuns e raramente geram falso positivos. Possui uma base menor e a sua ação padrão é bloquear os ataques detectados.
Extended: Contem assinaturas adicionais para ataques que causam impacto significante na performance. É suportado em equipamentos Fortigate com maiores espaços em disco e RAM. A solução é direcionada para ambientes de alta segurança.
config ips global
set database extended
end
IPS Sensor
A engine do IPS não examina o tráfego de rede para todas as assinaturas. É necessário primeiro criar um sensor IPS e especificar quais assinaturas serão incluídas. Adicione assinaturas a sensores individualmente usando entradas de assinatura ou em grupos usando filtros IPS.
Para visualizar os sensores IPS, vá para Security Profiles > Intrusion Prevention. Escolha no canto superior direito o profile desejado ou escolha o default.
É possível agrupar assinaturas em sensores IPS para facilitar a seleção ao aplicar-se para políticas de firewall. Por exemplo, você pode especificar todas as assinaturas relacionadas ao servidor Web (em um sensor IPS) e esse sensor pode ser aplicado a uma política de firewall que controla todo o tráfego para o servidor Web protegido pelo FortiGate.
Em IPS Signature é possível selecionar as assinaturas individualmente. Já em IPS Filters o firewall irá adicionar todas as assinaturas que combinam com os filtros.
Além disso o FortiGate atualiza as assinaturas pré-definidas incorporando novas assinaturas assim quando elas são adicionadas.
É possível também adicionar rate-based signature para bloquear o tráfego especifico baseado em um threshold que será comparado com um determinado período. A duração do tempo para o bloqueio também pode ser configurada. O fabricante sugere utilizar rate-based apenas para protocolos específicos na rede para economizar recursos do firewall.
IPS Sensor Inspection Sequence
A engine IPS valida os filtros do topo da lista primeiro até o ultimo; e aplica a ação ao primeiro match que encontrar. Então posicione os filtros mais utilizados no topo da lista e evite grandes grupos de assinatura em cada filtro, pois a utilização de muitos filtros aumenta o consumo de CPU.
Ações do IPS
Após selecionar os filtros ou assinaturas é possível selecionar as seguintes ações:
Pass: permite o trafego continuar ao seu destino;
Monitor: permite o trafego continuar ao seu destino e registra a atividade em log;
Block: silenciosamente descarta o trafego da assinatura;
Reset: gera um TCP RST;
Quarantine: Permite colocar o IP do atacante em quarentena por um período;
Packet Logging: O Fortigate salva uma cópia do pacote (que deu match na assinatura);
Aplicando o IPS Sensor na Policy IPv4
Para aplicar um IPS Sensor no Fortigate é necessário atribui-lo em uma Policy:
Para validar os logs gerados acesse Log & Report > Intrusion Prevention. As melhores práticas indicam a leitura sistemática dos logs para entendimento dos tipos de ataques direcionados a sua rede e isto ajudará no desenvolvimento do plano de ação para os eventos específicos como atualização de vulnerabilidade críticas em sua rede.
Referências
FortiGate Security Study Guide for FortiOS 5.6.22
FortiOS Handbook – Security Profiles – version 6.0.1