Uso efectivo de CheckPoint IPS Blade para minimizar los ataques DDOS a una red
Los ciberataques se están convirtiendo en un problema común en estos días. La mayor parte de nuestras infraestructuras son vulnerables a este tipo de situaciones, aunque pensemos que estamos en un lugar seguro con las mejores tecnologías en el mundo. Una cosa que solemos olvidar es que todos estos productos tecnológicos de alta gama no tienen ningún valor si no son configurados correctamente. Estudiaremos algunas de las configuraciones disponibles de los equipos de red más importantes y destacados del mercado que tenemos en nuestras infraestructuras.
En este artículo vamos a hablar acerca del CheckPoint Firewall-1 (CheckPoint VPN-1) y su configuración IPS Blade para evitar ataques DDOS. Especialmente, nos centraremos en las funciones de geoprotección del IPS Blade. Algunos podríais plantearos si es posible bloquear un ataque DDOS de 100 Gbps solo mediante configuraciones en el firewall o el IPS. ¿Cómo puede un firewall lidiar, con sus limitadas CPU y memoria con cientos y miles de conexiones abiertas por atacantes de todo el mundo al mismo tiempo? Podríamos estar de acuerdo en que es muy complicado, aunque como siempre, una buena preparación nos dará más tiempo para analizar los vectores de tráfico y poder así desplegar las reglas de bloqueo adecuadas o dejar caer el tráfico en un router tipo agujero negro.
Como los niveles de severidad de Check Point IPS están altamente ligados con los niveles de rendimiento de la puerta de enlace, en la primera etapa se pueden utilizar las siguientes configuraciones. Las configuraciones de directivas se han propuesto basándose en los métodos de ataque recientes más destacados y en los ataques que pudieran aparecer en un futuro próximo.
Por otro lado, las configuraciones de directivas propuestas hacen uso de la siguiente información obtenida de Kaspersky Lab para minimizar los problemas de rendimiento y aumentar al máximo los niveles de seguridad de las puertas de enlace:
Por lo tanto , las configuraciones de directivas se centrarán en los siguientes vectores de ataque:
- HTTP Flood
- UDP Flood
- TCP SYN Flood
- ICMP Flood
- DNS Flood
- TCP Full Connect
- TCP ACK / FIN / RST Flood
- Non TCP , UDP & ICMP Flood
Sobre este artículo
En este artículo vamos a revisar la configuración de geoprotección que nos ofrece el CheckPoint Firewall-1 + IPS Blade, centrándonos en un defecto que lo hace especialmente vulnerable a ataques de denegación de servicio distribuidos (DDOS) organizados por atacantes que conocen esta vulnerabilidad, consistente en la rigidez de la lista de países disponible, y especialmente en la no inclusión de Korea del Norte en la lista de países quedando todo su rango de IPs asignadas fuera del alcance de la geoprotección que ofrece el IPS Blade.
Paso 1: Configurar el bypass bajo carga
Para minimizar los problemas de integración que pudieran surgir cuando se configura el IPS, la activación de la función de Bypass bajo carga (Bypass Under Load) desactivará las actividades de IPS. Por tanto, el IPS permitirá que el tráfico pase a través del gateway sin inspección .
- En la ficha IPS , seleccionar Enforcing Gateways.
- Seleccionar una puerta de enlace con carga crítica o el gateway que activa las licencias IPS y hacer clic en Editar.
- Seleccionar Bypass SmartDefense cuando la puerta de enlace se encuentra bajo carga de trabajo alta, o seleccionar un método de seguimiento para registrar la actividad, mientras que la inspección IPS está apagada.
- Para configurar la definición de la carga alta, hacer clic en Avanzado .
- Especificar a qué umbral de carga se desea que la inspección IPS sea excluida . Aquí hay que configurar el gateway para pasar por alto todo el tráfico sin ningún tipo de inspecciones.
- Especificar cuándo reanudar la inspección IPS.
- Haga clic en Aceptar .
Paso 2: Configurar la Geoprotección
La siguiente sección muestra la configuración de las características de geoprotección del CheckPoint IPS. Durante los últimos 6 meses, 201 países de todo el mundo han registrado y monitorizado gran cantidad de ataques DDOS. Sin embargo, estos ataques provenían principalmente de solo 23 países.
Por lo tanto, la configuración de la geoprotección debe tener en cuenta esta información y centrarse en bloquear ataques viniendo de estos países, teniendo en consideración los requisitos e intereses particulares de cada corporación con cada uno de estos países.
Limitaciones encontradas durante la configuración del IPS Blade
- Los propios Firewalls deben descargarse actualizaciones regularmente, conectados directamente a Internet o mediante un proxy.
- Si la geoprotección está configurada para bloquear tráfico de un país, pero el Mobile Access está configurado para permitir tráfico de una aplicación o sitio de ese país, no sé podrá evitar tráfico proviniendo de dicho país.
- No se puede modificar la lista de países que viene en el sistema de geoprotección del IPS Blade (Nota: pero se puede descargar la lista de países desde su base de datos y revisarla para buscar los rangos de IPs y la tabla con los países, para posibles bloqueos).
- Korea del Norte no está en la lista de países en versiones anteriores a la actual del IPS Blade (existen workarounds: leer a continuación).
Uso creativo del IPS Blade y otros recursos
- Existe un pequeño workaround para modificar la lista de IPs manualmente, que permite usar uno de los países existentes —uno pequeño, como Reunión (isla de Reunión, departamento de Francia)—, modificando su lista de IPs asignadas.
- Para este propósito podemos utilizar el CIDR (base de datos de países desarrollada por Maxmind, o la de CheckPoint, bajo licencias open source.
- Podéis echar un ojo también a cómo habilitar las funcionalidades DShield/Storm Center de CehckPoint, sobre cómo restringir IPs de las listas de bloqueo de IPs.
Habilitando la Geoprotección
Para poder utilizar correctamente la geoprotección del IPS Blade, es necesario:
- Disponer de un contrato válido de IPS.
- Una licencia de software Blade para cada una de las puertas de enlace en las que desea activar la geoprotección, y otra para el Security Management Server.
Nota 1: Este tipo de protección solo está disponible en versiones R70.20 y posteriores.
Nota 2: El control de conexiones de CheckPoint (tales como las conexiones entre los Security Gateways y el Security Management Server) están siempre activas, independientemente de las directivas de la geoprotección.
Configuración de la Geoprotección (bloquear/permitir/monitorizar)
- En la pestaña SmartDashboard IPS, ir a Geo Protection desde el árbol de navegación.
- En la página de Geo Protection, elegir un perfil de IPS.
- Nota: las configuraciones de geoprotección son dependientes de cada perfil. Debe configurarse esta protección en el perfil utilizado por cada puerta de enlace.
- Marcar la acción Detect temporalmente (Prevent/Detect/Inactive) para este tipo de protección. Hay que tener en cuenta que cuando la protección está en modo Detect, todo el tráfico está permitido (incluso para las reglas donde la acción está puesta para bloquear), pero el tráfico que no pasa los filtros es loggeado. Cuando está marcada como Prevent, las reglas aplican tal y como se han configurado, como es esperado.
- Definir una directiva para países específicos. Para configurar una directiva para un país diferente de la del resto de países:
- Hacer click en Add. La ventana de geoprotección se abre.
- En la ventana de geoprotección, elegir un país. Escribiendo un par de letras en el campo que aparece, la herramienta busca patrones de países coincidentes.
- Elegir:
- Dirección. Bien desde país hacia el gateway, o bien hacia país desde el gateway, o bien desde y hacia país. Si cualquiera de las dos primeras opciones es marcada, las conexiones en la dirección opuesta se regirán según las directivas marcadas en Other Countries.
- Acción: Bloquear o permitir.
- Track: cualquier configuración diferente de None genera un log para cada conexión que está monitorizada por esta protección. Si un patrón es coincidente con dos o más reglas, solo la primera coincidente es loggeada.
- Hacer click en OK.
- Configurar las directivas para Other Countries (otros países). Estas directivas aplican para cualquier conexión/país que no esté incluido en las directivas para países específicos. Al igual que antes, hay que configurar para permitir, bloquear, o monitorizar.
- Si fuera necesario, se pueden aplicar Excepciones (a través de la configuración de las Network Exceptions). Las excepciones se evalúan antes que cualquier otra regla en la cadena de filtros.
- Aplicar las directivas a los firewalls. Para ver qué firewalls están afectados por las políticas recién creadas, comprobar la lista Enforcing Gateways.
- Comprobar los logs (el SmartView Tracker y el SmartEvent Intro), y la vista de rendimiento (SmartView Monitor).
- Asegurarse de que las actualizaciones diarias están funcionando ($FWDIR/tmp/geo_location_tmp/updates/ en los gateways).
- Utilizar el SmartEvent Intro para ver todas las alertas de IPS por país de procedencia, y añadir nuevos países a las listas de bloqueo si fuera necesario y acorde con los requerimientos de negocio.
- Una vez se ha comprobado bien todo (es decir, se ha comprobado que no se está bloqueando tráfico legítimo), actualizar en las directivas anteriores la acción desde Detect a Prevent, y aplicar los cambios a los firewalls (push policies to the firewalls).
Comprobaciones tras los cambios de configuración
- Examinar el mapa en Policy Preview. Los países en rojo están configurados para bloquear tráfico; los verdes para permitirlo.
- Dejar un tiempo operar al sistema de protección y posteriormente revisar los logs.
- Para revisar los Geo Logs, hay que ir a la página de geoprotección del IPS, y hacer click en View Logs. Los logs que aparecen son tanto para las acciones para países específicos, como para las acciones para otros países.
Bloqueando países que no están en la lista
Dado que Korea del Norte no está en la lista de países del IPS Blade (al igual que puede ocurrir con otros países, o zonas en disputa), y ya que de esto precisamente se aprovechan muchos atacantes, una manera sencilla para estar protegidos usando el IPS Blade de CheckPoint es mediante la creación de un firewall object para la pequeña red asignada a Korea del Norte (175.45.176.0/22 [máscara 255.255.252.0], o el rango 175.45.176.0-175.45.179.255), y luego añadir una regla para bloquear el tráfico procedente de este rango.
Gracias por la información