Безопасность : Cisco Firepower Management Center

Определение состояния по умолчанию для Sourcefire предоставило правило в политике проникновения

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Эта статья обсуждает, как Исследовательская группа уязвимости (VRT) определяет состояние правила в политике Проникновения по умолчанию, и как делает устройство Sourcefire, определяют соответствующее состояние по умолчанию для нового правила.

Внесенный Нэзмулом Рэджибом и Стивеном Схауэрсом, специалистами службы технической поддержки Cisco.

Определение управляет государством в политике по умолчанию

Каждое правило имеет поле метаданных с нолем или большими значениями политики. В настоящее время существует шесть возможных значений политики:

  1. отбрасывание ips безопасности
  2. предупреждение ips безопасности
  3. отбрасывание сбалансированного ips
  4. предупреждение сбалансированного ips
  5. отбрасывание ips подключения
  6. предупреждение ips подключения

Если политика IPS происходит от, скажем, предоставленной Sourcefire Сбалансированной Безопасности и Политики подключений, управляемое устройство находится во встроенном режиме, и правило имеет значение политики метаданных отбрасывания сбалансированного ips, правило будет установлено, чтобы отбросить и генерировать события в политике IPS. Если правило будет иметь значение политики только отбрасывания ips безопасности, то оно будет отключено в политике.

Примечание: Если правилу задали значения несколька правил, например: отбрасывание ips безопасности политики, отбрасывание сбалансированного ips политики, это появляется в обеих политике. Если никакое значение политики не задано для данного правила, это не появляется ни в какой политике по умолчанию.

Если управляемое устройство установлено в пассивный режим, и политика собирается понизиться, это не имеет никакого эффекта. Устройство просто генерирует предупреждения. Если устройство находится на встроенном режиме, и значение политики собирается понизиться, пакеты отбрасываний правила по умолчанию. Если его значение политики собирается предупредить, это только генерирует события без отбрасывания.

Наконец, в большинстве случаев, если пакет отброшен, предупреждение генерируется. Это истинно, пока подавление предупреждений независимо не настроено для данного правила.

Как делает Sourcefire, определяют соответствующее состояние по умолчанию, для нового правила

Состояние по умолчанию правила основывается на многих факторах. Например: :

Влияние

Что следует учесть

Как, вероятно, он, который попытки будут предприняты для использования этой уязвимости, и какой процент от наших пользователей (и клиенты Sourcefire и более широкое сообщество Фырканья), вероятно, будет уязвим для этой уязвимости?

Вещи помнить

Уязвимость Internet Explorer с известными методами атаки в дикой местности оказывает намного более высокое влияние, чем, скажем, функция базы данных SAP, которая может использоваться злонамеренно, когда разрешения неправильно настроены, или сложная атака отказ в обслуживании в неясном модуле Ядра Linux. VRT делает суждение влияния начиная со счета CVSS уязвимости, отрегулировав его по мере необходимости с любыми дополнительными сведениями, которыми мы можем обладать. Это - самая важная метрика всех, потому что мы будем иногда включать правило, в противном случае не включить / не, собираются понизиться, если влияние достаточно высоко.

Производительность

Что следует учесть

Мы ожидаем это правило быть быстрыми или медленными в "средней" сети?

Вещи помнить

В то время как скорость правила полностью зависит от трафика, который она осматривает, который делает производительность трудной измериться, у нас есть общее представление того, что составляет стандартную сеть, и как данное правило выполняет на той стандартной сети. Мы также знаем, что правило с, например, одиночное соответствие содержания, которое относительно длинно (6 или больше байтов, как правило,) и относительно уникально (т.е. "obscureJavaScriptFunction ()", и не "|00 00 00 00 |" или "GET / HTTP/1.1") оценит быстрее, чем правило со сложным PCRE, серией byte_test и/или byte_jump пунктов, и т.д. С этим знанием, которое мы можем определить, будет ли правило быстро или замедлит и примет это во внимание.

Уверенность

Что следует учесть

Как, вероятно, это правило состоит в том, чтобы генерировать ошибочные допуски?

Вещи помнить

Некоторые уязвимости требуют очень определенный, легко обнаруженные условия присутствовать, чтобы быть использованными, когда мы можем быть очень уверены, что любое время cвязанные огни правила, оперативное использование происходит. Например, если существует переполнение буфера в протоколе, который имеет уникальную волшебную строку в фиксированной позиции, и затем указанную длину, которая является неподвижным расстоянием далеко от той волшебной строки, мы можем быть уверены в нашей возможности найти волшебную строку и проверить его против известного значения для проблем. В других случаях проблемы намного менее четко определены; например, определенные, некоторый атаки отравления кэшем DNS могут быть обозначены неправильно большим числом ответов NXDOMAIN, прибывающих из сервера в определенный период времени. В таком случае простое присутствие ответа NXDOMAIN не находится в и себя индикатор использования; это - присутствие очень большого числа таких ответов в скором времени, которое указывает на проблему. Так как то количество будет другим для других сетей, VRT вынужден выбрать значение, которое должно работать для большинства сетей и выпуска это; однако, мы не можем быть на 100% уверены, что, когда правило стреляет, происходят фактические нежелательные действия.

Наконец, но не в последнюю очередь, в то время как другие факторы можно время от времени рассматривать как релевантные, влияние является королем в конце дня - проверка, что наши клиенты защищены против угроз, которые они, наиболее вероятно, будут видеть в дикой местности, наше основное предприятие.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.