DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
omnivista-2500-advanced-quarantine-manager-aqm

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.


omnivista-2500-advanced-quarantine-manager-aqm [2024/06/09 15:04] (aktuell) – angelegt benny
Zeile 1: Zeile 1:
 +====== Verwendung des OmniVista 2500 Advanced Quarantine Manager (AQM) ======
 +
 +Der OmniVista 2500 Advanced Quarantine Manager (AQM) bietet eine zentrale Möglichkeit um auf Sicherheitsmeldungen zu reagieren. In diesem Artikel wird exemplarisch anhand einer Fortinet Log-Meldung gearbeitet, es können aber einfach eigene Einträge für beliebige Systeme hinterlegt werden (dafür müssen nur die Log-Meldungen/SNMP-Traps empfangen werden können). Die Log-Meldungen werden dann einfach über reguläre Ausdrücke (Regular Expressions, auch „Regexp“) ausgewertet.
 +
 +===== Einrichtung der Funktion =====
 +
 +<WRAP center round tip 60%>
 +Da im Zuge der Einrichtung dieser Funktion Log-Meldungen an OmniVista geschickt werden, sollte man überlegen wie man einschränkt wer dies darf (z.B. an der Firewall nur für Management-Netzwerke zulassen)
 +</WRAP>
 +
 +  * Auswahl des Eintrags „Fortinet Signature“
 +  * Aktivieren über Klick auf „Enable/Disable Rules“
 +
 +{{ ::aqm:aqm1.png?direct |}}
 +
 +  * Damit Ports deaktiviert werden können, muss „Allow Port Disabling“ in der Konfiguration aktiviert und abgespeichert werden (diese Konfiguration muss dafür nicht auf Switches ausgerollt werden!)
 +
 +{{ ::aqm:aqm4.png?direct |}}
 +
 +  * Im „Device Manager“ muss bei Access Switches an denen Ports deaktiviert werden könnnen, die Einstellung „Allow Port Disabling“ aktiviert werden
 +
 +{{ ::aqm:aqm2.png?direct |}}
 +
 +  * Da für die Erkennung des Anschlusses der „Locator“ verwendet wird, empfehle ich „getaggte Ports“ von der Auflistung auszuschließen (Exclude Q Tagged Ports)
 +
 +{{ ::aqm:aqm3.png?direct |}}
 +
 +  * Die Vorbereitungen sind nun abgeschlossen!
 +
 +===== Simulation einer Log-Meldung =====
 +
 +  * OmniVista 2500: 192.168.2.15 (-n w.x.y.z - die IP Adresse von OmniVista 2500, Port 514 UDP)
 +  * IP des Clients: 192.168.11.164 ( src= - dieser Client soll vom Netzwerk getrennt werden)
 +  * „logger“ ist bei Debian Bullseye standardmäßig installiert
 +
 +<WRAP center round tip 60%>
 +Es ist wichtig dass die Log-Meldung einen **status=dropped** und nicht z.B. **status=detected** oder **status=pass_session** beeinhaltet (wenn man dies verwenden möchte, muss der reguläre Ausdruck umgestellt werden)
 +</WRAP>
 +
 +<code>
 +benny@tiger:~$ logger -n 192.168.2.15 -d device_id=FGT50xxxxxxxxxxx log_id=0420070000 type=ips subtype=signature pri=alert attack_id=103022660 src=192.168.11.164 dst=1.2.3.4 src_port=2098 dst_port=80 src_int=internal dst_int=n/a status=dropped proto=6
 +</code>
 +
 +  * Hat man keine Linux-VM/-Maschine zur Verfügung sondern macOS oder Windows10/11 (mit z.B. MobaXterm), kann das Kommando wie folgt verwendet werden
 +
 +<code>
 +% echo device_id=FGT50xxxxxxxxxxx log_id=0420070000 type=ips subtype=signature pri=alert attack_id=103022660 src=192.168.11.164 dst=1.2.3.4 src_port=2098 dst_port=80 src_int=internal dst_int=n/a status=dropped proto=6 | nc -u 192.168.2.15 514
 +</code>
 +
 +===== Demo: Port abschalten auf Basis von Log-Meldung =====
 +
 +  * Der Raspberry Pi mit IP-Adresse 192.168.11.164 ist am OS6465T-P12 Port 1/1/9 angeschlossen
 +  * Die vorherigen Punkt genannte Log-Meldung wird gesendet
 +  * Das Gerät wird nun in „Candidate List“ aufgeführt
 +  * Der Administrator kann nun entscheiden, ob der Client aus dem Netzwerk ausgeschlossen werden soll
 +
 +{{ ::aqm:aqm5.png?direct |}}
 +
 +  * Ich nehme an der Administrator hat sich für „Ban“ entschieden
 +  * Das Gerät wird daraufhin vom Netzwerk getrennt und der Port deaktiviert
 +
 +{{ ::aqm:aqm6.png?direct |}}
 +
 +  * Unter „Disabled Ports“ werden alle vom Quarantäne Manager deaktivierten Ports aufgeführt
 +  * Mit einem Klick auf „Release“ kann ein Port wieder freigegeben werden
 +
 +{{ ::aqm:aqm7.png?direct |}}
 +
 +===== Demo: Port abschalten via Locator =====
 +
 +  * Über den Locator ist es ebenfalls möglich ein Gerät zu sperren, dafür wählt man den Eintrag aus und hinterlegt einen Kommentar mit dem Grund
 +
 +{{ ::aqm:aqm8.png?direct |}}
 +
 +  * Der Eintrag erscheint dann in der gleichen Liste und kann ebenfalls über „Release“ wieder freigegeben werden
 +
 +{{ ::aqm:aqm9.png?direct |}}
 +
 +===== Fehleranalyse / Logs =====
 +  * Die Logs sind unter **Administration → All Current Logs → quarantine.log** zu finden
 +
 +{{ ::aqm:aqm10.png?direct |}}
 +
 +===== Automatisches Sperren von Ports =====
 +
 +  * Soll der manuelle Schritt über die „Candidates“ umgangen (automatisiert) werden, stellt man die Regel von „Candidate“ auf „Quarantine“ um
 +  * Achtung: Ich empfehle die getroffenen Einstellungen gründlich zu testen, bevor man dies automatisch ausführen lässt!
 +
 +{{ ::aqm:aqm11.png?direct |}}
 +
 +  * In diesem Fall wurde der Client direkt in die „Banned“-Liste übernommen
 +
 +{{ ::aqm:aqm12.png?direct |}}
 +
 +  * Dies geht auch aus dem Eintrag im quarantine.log hervor
 +
 +{{ ::aqm:aqm13.png?direct |}}
 +
 +===== Automatisches Sperren und Freigeben von Ports =====
 +  * Oft können/sollen Sperrungen automatisch freigegeben werden, wenn die verwendeten Tools dies ermöglichen
 +  * In diesem Beispiel sperren wir einen Port und geben diesen bei einer „release“-Logmeldung (Annahme, wird vermutlich anders heißen - ich habe aber keine Fortinet Firewall zur Hand) wieder frei
 +  * Der reguläre Ausdruck für die Fortinet Signature wird wie folgt angepasst
 +  * Der Eintrag steht außerdem auf „Quarantine“
 +
 +<code>
 +log_id=0420070000.*status=[^p].[^t].[^(release)]
 +</code>
 +
 +{{ ::aqm:aqm14.png?direct |}}
 +
 +  * Log-Meldung um den Port (automatisch) zu sperren
 +
 +<code>
 +benny@tiger:~$ logger -n 192.168.2.15 -d device_id=FGT50xxxxxxxxxxx log_id=0420070000 type=ips subtype=signature pri=alert attack_id=103022660 src=192.168.11.164 dst=217.12.6.122 src_port=2098 dst_port=80 src_int=internal dst_int=n/a status=dropped proto=6
 +</code>
 +
 +  * Regel um den Sperrzustand wieder aufzuheben
 +
 +<code>
 +Name: Fortinet Signature Restore
 +Description: Fortinet IDS Signature Restore
 +Trigger Expression: log_id=0420070000.*status=(release)+
 +Extraction Expression: src=([0-9.]*)
 +Action: RELEASE
 +Enabled: true
 +Event Type: SYSLOG
 +</code>
 +{{ ::aqm:aqm15.png?direct |}}
 +
 +  * Log-Meldung um den Port freizugeben
 +
 +<code>
 +benny@tiger:~$ logger -n 192.168.2.15 -d device_id=FGT50xxxxxxxxxxx log_id=0420070000 type=ips subtype=signature pri=alert attack_id=103022660 src=192.168.11.164 dst=217.12.6.122 src_port=2098 dst_port=80 src_int=internal dst_int=n/a status=release proto=6
 +</code>
 +
 +  * Hat man keine Linux-VM/-Maschine zur Verfügung sondern macOS oder Windows10/11 (mit z.B. MobaXterm), kann das Kommando wie folgt verwendet werden
 +
 +<code>
 +% echo device_id=FGT50xxxxxxxxxxx log_id=0420070000 type=ips subtype=signature pri=alert attack_id=103022660 src=192.168.11.164 dst=1.2.3.4 src_port=2098 dst_port=80 src_int=internal dst_int=n/a status=released proto=6 | nc -u 192.168.2.15 514
 +</code>
 +
 +  * Im **quarantine.log** kann man folgenden Vorgang beobachten
 +
 +{{ ::aqm:aqm16.png?direct |}}
 +
 +===== Benachrichtung per eMail =====
 +Es ist möglich Responder einzurichten die bei Events eine Benachrichtung senden.
 +  * Konfiguration für die eMail
 +
 +<code>
 +
 +OmniVista AI/ML disconnected a malicious network device!
 +
 +Action - The action being taken, a ban or a release.
 +Banned
 +
 +Reason - The Reason field from the QM object.
 +<13>1 2022-05-22T17:33:28.004235+02:00 tiger benny - - [timeQuality tzKnown="1" isSynced="1" syncAccuracy="215500"] device_id=FGT50xxxxxxxxxxx log_id=0420070000 type=ips subtype=signature pri=alert attack_id=103022660 src=192.168.11.164 dst=217.12.6.122 src_port=2098 dst_port=80 src_int=internal dst_int=n/a status=dropped proto=6
 +
 +MacAddress - The MAC address of the device being banned or release.
 +dca632:554e61
 +
 +IpAddress - The IP address of the device being banned or release. If the IP address is unknown it will be displayed as 0.0.0.0
 +192.168.11.164
 +
 +VlanName - The name of the VLAN that the device was banned to or released from:
 +Quarantined
 +
 +MacGroupName - The MAC group that the device was banned to or released from:
 +Quarantined
 +
 +Details - Contains a message with the Action, Mac, IP address, Vlan, and MacGroupName:
 +Device dca632:554e61 (192.168.11.164) was Banned using the Quarantined VLAN at 5/22/22 5:33 PM.  The device was Banned because <13>1 2022-05-22T17:33:28.004235+02:00 tiger benny - - [timeQuality tzKnown="1" isSynced="1" syncAccuracy="215500"] device_id=FGT50xxxxxxxxxxx log_id=0420070000 type=ips subtype=signature pri=alert attack_id=103022660 src=192.168.11.164 dst=217.12.6.122 src_port=2098 dst_port=80 src_int=internal dst_int=n/a status=dropped proto=6
 +</code>
 +
 +===== Weiterführende Links - Whitepaper / Application Note =====
 +
 +  * [[https://www.al-enterprise.com/-/media/assets/internet/documents/omnivista-upam-fortinet-sso-application-note-en.pdf|Alcatel-Lucent OmniVista 2500 UPAM and Fortinet Single Sign-On Application Note]]
 +  * [[https://www.al-enterprise.com/en/-/media/assets/internet/documents/t-to-z/upam-pan-firewall-integration-application-note-eng.pdf|OmniVista UPAM and Palo Alto Networks User-ID Integration Guide]]
  
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki