Menüpfad: Policy - Advanced Correlation


Zusammenfassung

Nehmen wir an, Sie möchten Portscanner blockieren und deren Verbindungsversuche still abweisen. Zur Aufklärung kann ein Portscan basierend auf IP-/Port-Kombinationen für eine bestimmte Zeit nachverfolgt und blockiert werden. Der Fokus liegt dabei auf der Client-IP (Quelle) und dem Serverport (Ziel).

Zur Implementierung dient ein Korrelationsszenario, das eine Event Tracking Table (ETT), ein dynamisches Netzwerkobjekt (DNO) und drei Regeln enthält.

 

Ein Korrelationsszenario anlegen

  1. Navigieren Sie zu Policy - Advanced Correlation.
  2. Mit ADD erstellen Sie ein neues Szenario.
  3. Geben Sie Name und optional eine Beschreibung (Note) für das Szenario ein.
  4. Klicken Sie auf SAVE.

 

Basic settings of the correlation scenario

Abb. 1: Grundeinstellungen des Korrelationsszenarios.

 

Nach dem Speichern gelangen Sie automatisch auf die Übersichtsseite des Szenarios.

 

Eine Event Tracking Table anlegen

In diesem Szenario verfolgen wir 1000 IP-Adressen mit jeweils 101 Ports in einer Event Tracking Table (ETT, Pufferspeicher) nach. Es entsteht also eine Datenstruktur mit insgesamt 101000 Einträgen.

  1. Öffnen Sie innerhalb des Szenarios den Reiter Event Tracking Tables.
  2. Klicken Sie auf ADD.
  3. Konfigurieren Sie das Folgende:
    • Geben Sie einen Namen ein, z.B. Ports per host.
    • Unter Retention Time for Event Tracking geben Sie 60 ein, um alle Verbindungen in einem 60-Sekunden-Fenster zu überwachen.
    • Wählen Sie als Primary Attribute TypeIP Address aus.
    • Unter Maximum Number of Primary Attributes tragen Sie 1000 ein.
    • Wählen Sie als Secondary Attribute TypeLayer 4 port aus.
    • Unter Maximum Number of Secondary Attributes per Primary One tragen Sie 101 ein.
  4. Klicken Sie auf SAVE.

https://s3.amazonaws.com/cdn.freshdesk.com/data/helpdesk/attachments/production/33031763840/original/QKCzEUL-zwC1gwGfz9xkeuSeJV21LZPvhA.png?1570798020

Abb. 2: Konfiguration der Event Tracking Table.

 

 

Ein dynamisches Netzwerkobjekt anlegen

Als nächstes benötigen wir eine Datenstruktur, um die IP-Adressen zu speichern, die geblockt werden sollen. Da die IP-Adressen nicht permanent blockiert werden sollen, benötigen sie indivduelle Timeouts. Dies ist mit dynamischen Netzwerkobjekten (DNOs) möglich.

DNOs sind dynamische Listen von IP-Adressen. Regeln fügen IP-Adressen diesen Listen hinzu, entfernen Sie von ihnen oder prüfen, ob sich eine IP-Adresse auf der Liste befindet. Außerdem können IP-Adressen mit Timeouts auch automatisch von der Liste entfernt werden.

 

In diesem Beispiel erstellen wir ein DNO, dass die IP-Adressen aller Hosts speichert, für die sich mehr als 100 Porteinträge in der Event Tracking Table befinden. Also Hosts die mehr als 100 Ports pro Minute kontaktieren.

 

  1. Öffnen Sie im Korrelationsszenario den Reiter Dynamic Network Objects.
  2. Klicken Sie auf ADD.
  3. Geben Sie einen Namen ein, z.B. Ports scanner hosts.
  1. Konfigurieren Sie das Folgende:
    1. Unter Network wählen Sie External.
    2. Unter Size tragen Sie 100 ein.
    3. Setzen Sie den Timeout auf 300.

 

https://s3.amazonaws.com/cdn.freshdesk.com/data/helpdesk/attachments/production/33031764261/original/OJhOdv20WcBDoFzq6Ks6oFocIAQzV459AQ.png?1570798525

Abb. 3: Konfiguraion des dynamischen Netzwerkobjekts.

 

 

Die Regeln erstellen

Um Kombinationen von IP-Adressen und Ports in die ETT und IP-Adressen in das DNO eintragen zu können, benötigen wir Regeln.

 

In diesem Beispielszenario wird der Datenverkehr mit den folgenden drei Regeln ausgewertet:

  • Regel 1 trägt die Kombinationen aus Quell-IP und Ziel-Port aller Clients in TCP-Verbindungen in die ETT ein.
  • Regel 2 zählt die in der ETT gespeicherten Porteinträge pro Client-IP. Hat eine Client-IP mehr als 100 Porteinträge, d.h. Verbindungen zu Ports, wird sie dem DNO hinzugefügt.
  • Regel 3 weist den Datenverkehr von IP-Adressen, die sich in dem DNO befinden, still ab.

Gehen Sie wie folgt vor, um eine Regel im Korrelationsszenario anzulegen:

  1. Öffnen Sie im Korrelationsszenario den Reiter Rule.
  2. Mit ADD erstellen Sie eine neue Regel für das Szenario.
  3. Vergeben Sie einen Namen.
  4. Optional: Geben Sie unter Note eine Beschreibung ein.
  1. Konfigurieren Sie das Folgende:
    1. Im Abschnitt Source & Destination tragen Sie bei Source Networks und Destination NetworksAny ein.
    2. Im Abschnitt Conditions:
      • Aktivieren Sie Layer 4 Protocol mit dem entsprechenden Schiebeschalter.
      • Geben Sie im Eingabefeld Transmission Control (6 TCP) ein.

https://s3.amazonaws.com/cdn.freshdesk.com/data/helpdesk/attachments/production/33031764506/original/xjZDfMGMXzWcijNoy6MpalYI_TfbnP3R4g.png?1570798838

Abb. 4: Der Datenverkehr wird nach Layer-4-Protokoll gefiltert.

  • Im Abschnitt Actions:
    • Aktivieren Sie Add to Event Tracking Table mit dem Schiebeschalter. Diese Aktion steht nur für Regeln innerhalb von Korrelationsszenarien zur Verfügung
    • Unter Event Tracking Table wählen Sie die im Szenario erstellte ETT aus.
    • Unter Primary Attribute of Event wählen Sie Client Address.
  1. Unter Secondary Attribute of Event wählen Sie Server Layer 4 port.

https://s3.amazonaws.com/cdn.freshdesk.com/data/helpdesk/attachments/production/33031764606/original/yDpMJfXQPSn2LvAZCK5hQrAQIrQku5vrQw.png?1570798972

Abb. 5: Nachverfolgung von Traffic-Attributen in der ETT.

 

6. Speichern Sie die erste Regel mit SAVE.

 

 

Erstellen Sie die beiden übrigen Regeln auf ähnliche Weise.

Die folgende Tabelle zeigt die nötigen Einstellungen für alle drei Regeln:

 

 

Regel

Quelle

Ziele

Bedingung

Aktionen

1

Any

Any

Layer 4 Protocol
 Protocols: Transmission Control (6 TCP)

Add to Event Tracking Table
 Event Tracking Table: Ports per host
 Primary Attribute: Client Address
 Secondary Attribute: Server Layer 4 port

2

Any

Any

Advanced Correlation Condition:
Number of Similar Events in Event Tracking Table
 Event Tracking Table: Ports per host
 Count entries equal to: Client Address
 Minimum number of entries: 40

Dynamic Network Object Operation: Add
 Host Identifier: IP Address
 Who: Client
 Target Dynamic Network Object: D: Hosts to block

3

D: Hosts to block

Any


LogNotice
Final Action: Drop Traffic and Stop Processing

 

Aktivieren Sie die Konfigurationsänderungen mit APPLY CHANGES.

 

Tipp:

Es gibt einen Unterschied zwischen den Aktionen "Drop" und "Reject". Beim "Drop" wird der Absender des Datenverkehrs nicht berücksichtigt. Die Pakete werden deshalb still verworfen.
 Beim "Reject" werden dagegen alle Parteien durch ein TCP-Reset (wenn möglich) benachrichtigt, dass die Pakete verworfen werden.


Ergebnis

Der Datenverkehr von allen Hosts, die mehr als 100 TCP-Verbindungen pro Minute zu verschiednen Ports aufbauen, werden 5 Minuten lang blockiert. Portscans durch diese Hosts werden gestoppt. Wenn das Timeout abläuft, werden die Hosts automatisch aus dem dynamischen Netzwerkobjekt entfernt und können neue Verbindungen mit dem Netzwerk aufbauen.


https://s3.amazonaws.com/cdn.freshdesk.com/data/helpdesk/attachments/production/33031765408/original/c7dO1MKL_SasTCYh9_HLTxqxWKMMrMhobA.png?1570799818

Abb. 6: Regelsatz des Korrelationsszenarios.