Block Known Threats Using F5's IP Intelligence Service
Sadly, one of my favorite things to do lately is sit in my home office and view IP Intelligence logs and charts. To see something so simple but so powerful in action is quite intriguing. If you are not familiar with F5's IP Intelligence capability, it is an add-on service that integrates with both the Advanced Firewall Manager and Application Security Manager. The service provides a database of threatening IP addresses and can be updated as frequently as 5 minutes in order to block sources of known bad IP addresses as well as identify and block communications with new threatening IP addresses. Below is a list of each of the protection categories. Now you might be asking how in the world does F5 get a list of known bad IP addresses? While F5 does have their own internal groups that do a lot of super secret stuff on the dark web for the greater good, this service is actually driven through a relationship with Brightcloud. Brightcloud's security platform scans billions of IP addresses and billions of URLs across millions of domains, in addition to millions of mobile apps, and leverages machine learning to classify and categorize each according to the threat it represents to your business. If you would like to read more info on Brightcloud, you can access their web page here. Now that we have discussed IPI at a high level, let's deploy it! Prerequisites F5 IP Intelligence Service add-on license Internet connectivity DNS configured *Advanced Firewall Manager licensed and provisioned *Application Security Manager licensed and provisioned Note: There are many ways to configured F5's IPI and we will review using iRules, AFM and ASM to block known bad traffic. While AFM and ASM are not required, they can ease the deployment process. Verify the IP Reputation Database is Current Log into the BIG-IP system command line. Run tmsh list sys db iprep.autoupdate. The IP reputation DB is configured to auto-update by default. If this is has been disabled, run the following command to enable the auto-update feature. Run tmsh modify sys db iprep.autoupdate value enable. Run tmsh show sys iprep-status. If the previous command provides no data then the IP reputation DB has not been downloaded. Validate internet connectivity and name resolution. If nslookup or a dig fails, validate you have configured a name server in the system configuration. Run tmsh modify sys db iprep.intervalmin value 5. The screenshot above shows the result of no IP reputation DB and upon resolving my DNS issue and modifying the interval to 1 minute a successful download occurs. Creating an iRule to reject requests with questionable IP addresses Navigate to Local Traffic >> iRules. Click Create. In the Definition field, copy and paste the following example iRule. when HTTP_REQUEST { set ip_reputation_categories [IP::reputation [IP::client_addr]] set is_reject 0 if {($ip_reputation_categories contains "Windows Exploits")} { set is_reject 1 } if {($ip_reputation_categories contains "Web Attacks")} { set is_reject 1 } if {($is_reject)} { log local0. "Attempted access from malicious IP address [IP::client_addr] ($ip_reputation_categories), request was rejected" HTTP::respond 200 content " The request was rejected. Attempted access from malicious IP address " } } Click Finished. Note: When the system receives traffic from an IP address that is included in the IP intelligence database, the system prints the IP Intelligence information in the /var/log/ltm log. Assign the iRule to a BIG-IP Virtual Server Navigate to Local Traffic >> Virtual Servers. Select the Resources tab. Select Manage from iRules. Move the iRule created in the previous step to Enabled. Click Finish. IP Intelligence for Advanced Firewall Manager Configure a Global IP Intelligence Policy Login into the Traffic Management User Interface (TMUI). Navigate to Security >> Network Firewall >> IP Intelligence >> Policies. From the Global Policy list, select the IP Intelligence policy to apply to all traffic on the BIG-IP system. Click Update. The IP Intelligence policy is now applied to all traffic. Assigning an IP Intelligence Policy to a Virtual Server You can assign an IP Intelligence policy to a virtual server, to apply blacklist and whitelist matching actions and logging to traffic on that virtual server only. Navigate to Local Traffic >> Virtual Servers . Click the name of the virtual server you want to modify. On the menu bar, from the Security menu, choose Policies. Next to IP Intelligence, select Enabled, then select the IP intelligence policy to apply to traffic on the virtual server. Click Update. The specified IP Intelligence policy is applied to traffic on the selected virtual server. Assigning an IP Intelligence policy to a route domain Navigate to Network >> Route Domains. In the Name column, click the name of the relevant route domain. From the IP Intelligence Policy list, select an IP Intelligence policy to enforce on this route domain. Click Update. The specified IP Intelligence policy is applied to traffic on the route domain. IP Intelligence for Application Security Manager Navigate to Security >> Application Security : IP Addresses : IP Intelligence. Place a check in enabled by clicking the box. Once enabled, you are presented with all IPI categories, you can select which category you would like to Alarm and/or Block. In this example I am configuring all Categories to Alarm and Block. Select Save. Apply Security Policy by clicking Apply Policy at the top of the screen. The specified IP Intelligence policy is applied to the ASM Security Policy. If the security policy has not been applied to a virtual server, do so at this time. View Traffic Blocked by the IPI Reputation Database Navigate to Security >> Reporting >>Application >> Charts. From the View By drop-down menu, select IP Intelligence. Navigate to Security >> Reporting >> Network >> IP Intelligence. You have now successfully deployed F5's IP Intelligence service and are blocking threats using iRules, Advanced Firewall Manager and Application Security Manager. Until next time!DDoS - Pourquoi chercher compliqué quand on peut faire simple ?
Les médias, le e-commerce, les gouvernements, sont de plus en plus ciblés par des attaques DDoS très volumineuses. La dernière en date sur BBC a tout de même réussie à envoyer plus de 600 Gbps de traffic via 2 noeuds. Il existe pléthore de solutions sur le marché pour s'en protéger. Que cela soit une solution on-premises, dans le cloud ou via son opérateur. Et pourtant, il existe une solution extrêmement simple appelée "IP Réputation". Cette solution ne permet pas de nettoyer votre lien internet lors d'une attaque très volumineuse mais permettra de sécuriser, dès la première attaque, votre réseau interne. Ces bases d'IP Réputation sont mises à jour régulièrement (toutes les 5 minutes chez F5 Networks) afin de bénéficier d'une protection très rapidement. Toutes les solutions F5 Networks peuvent bénéficier de l'IP Réputation. Son nom : IP Intelligence. IP Intelligence categorise les IP en 10 catégories : Windows Exploits Web Attacks BotNets Scanners Denial of Service Infected Sources Phishing Proxies Anonymous Proxy Illegal Websites Cloud-based Services Que vous soyez équipés d'un BIGIP, d'un VIPRION ou d'une machine virtuelle, IP Intelligence peut être activé via une souscription à l'année. De plus, sur les modules ASM et AFM, cela est intégré dans l'interface graphique. Dans la vidéo ci-dessous, je présente la solution IP Intelligence via le module AFM. Donc n'attendez pas qu'une attaque arrive, et protégez-vous dès maintenant avec IP Intelligence.Comment se protéger des Ransomwares ?
Le problème des ransomwares se développe à grande vitesse. Ces derniers sont de plus en plus utilisés par les hackers car ceux-ci ont besoin de plus en plus d’argent et cela de plus en plus souvent. Si ceux-ci ne bloquent souvent que certains postes, l’ampleur du phénomène et sa récurrence pourrait en faire une menace plus importante que prévue. Un ransomware cryptographique est un outil malveillant chiffrant une partie des donnés d’un poste de travail. Pour cela, les hackers utilisent des mécanismes de clés publiques et clés privées (générées et téléchargées au moment de l’installation du ransomware). La clé privées étant en possession du hacker, ce dernier exigera de la victime attaquée le paiement d’une rançon, généralement en Bitcoin, afin de disposer de cette clé privée. Le ransomware cryptographique le plus connu s’appelait CryptoLocker. Il a été éradiqué suite à la dissolution du botnet Gameover Zeus en 2014. Mais un petit nouveau arrive sous le nom de Cryptowall (version 3.0). Il est très proche de CryptoLocker mais surtout apporte de nouveaux mécanisme de non-détection par les outils de protection. Ce matin, jeudi 28 janvier 2016, le record de rançon a été battu avec le ransomware "7ev3n" pour la modique somme de 13 bitcoins soit presque 5000$. Il est quasiment impossible pour une victime - particulier ou entreprise - de récupérer ses données une fois le ransomware installé - hormis payer et récupérer la clé privée. Toutefois, le paiement de la rançon ne garantit en aucun cas que les criminels fourniront à la victime la clé qui lui permettra de retrouver ses données. Il est donc très important de se protéger contre ce type d’outil malveillant. 1. Pour cela, il faut en tout premier lieu, former et sensibiliser les utilisateurs au bonnes pratiques : - Ne jamais ouvrir un document venant d’un émetteur inconnu - Vérifier l’émetteur et son adresse. Il est très facile de se faire passer pour quelqu’un lors de l’envoi d’un email. - Faire des sauvegardes régulières de ses données 2. Ensuite, il est très important de disposer d’outils de protection à jour : - Antivirus à jour - Système d’exploitation à jour - Navigateur internet à jour. Enormément d’entreprises sont encore dans des versions d’Internet Explorer non corrigées et disposant de failles de sécurité exploitées par les malwares. 3. Dernier point, pour que le ransomware puisse récupérer ses binaires et les clés de chiffrement, il devra accéder à Internet pour joindre son serveur. Il est donc important de disposer d’outil de filtrage internet à jour (liste de domains, d’URL et d’IP frauduleuses). Très souvent, les ransomware passent par le réseau Tor pour accéder à leur serveurs. Des outils de filtrages tels que les Passerelles Internet et les pare-feu permettent de contrôler l’accès à ce type de réseaux. F5 Networks dispose d’une solution de Passerelle Internet nommée Secure Web Gateway, disposant du moteur d’analyse et de catégorisation de Websense. Cette passerelle permet de contrôler l’accès aux sites distants pour chaque utilisateur et dispose d’outils d’analyse temps réels permettant de s’assurer qu’aucun appareil n’aille se connecter sur un réseau ou un site frauduleux. De plus, la Secure Web Gateway permet de contrôler le flux retour en cas de téléchargement d’un malware venant d’un site classé comme frauduleux.
