{"id":434,"date":"2020-11-10T20:14:30","date_gmt":"2020-11-10T23:14:30","guid":{"rendered":"http:\/\/vbrain.com.br\/?p=434"},"modified":"2020-11-10T22:52:50","modified_gmt":"2020-11-11T01:52:50","slug":"bloqueando-ataques-com-o-ips-do-nsx-t","status":"publish","type":"post","link":"http:\/\/vbrain.com.br\/index.php\/2020\/11\/10\/bloqueando-ataques-com-o-ips-do-nsx-t\/","title":{"rendered":"Bloqueando ataques com o IPS\/IDS do NSX-T"},"content":{"rendered":"

Bom pessoal,<\/p>\n

No \u00faltimo post<\/a> falamos um pouco da feature <\/em>de IPS\/IDS que surgiu no NSX-T 3.0.<\/p>\n

Pois bem, como p\u00f4de ser visto, n\u00e3o realizamos nenhum bloqueio do tr\u00e1fego, fun\u00e7\u00e3o essa desempenhada pelo IPS, fizemos apenas a identifica\u00e7\u00e3o do tr\u00e1fego indesejado passando atrav\u00e9s da fun\u00e7\u00e3o de IDS.<\/p>\n

Quando comecei a escrever aquele post, o NSX-T mais atual de fato era a vers\u00e3o 3.0, por\u00e9m, no final do m\u00eas de Outubro a VMware lan\u00e7ou a vers\u00e3o 3.1 com mais uma s\u00e9rie de melhorias, e uma delas foi a implanta\u00e7\u00e3o do IPS\/IDS distribu\u00eddo (D-IDPS), conforme j\u00e1 hav\u00edamos comentado no post passado:<\/p>\n

 <\/p>\n

\"\"<\/p>\n

 <\/p>\n

No \u00faltimo post fizemos um teste de portscan com o Kali Linux, nesse post faremos de forma diferente, utilizaremos uma maquina virtual rodando o DVWA (Damn Vulnerable Web App).<\/strong><\/p>\n

DVWA \u2013 Damn Vulnerable Web Application \u00e9 uma ferramenta desenvolvida em PHP\/MySQL que pode ser facilmente instalada em uma maquina virtual, a maioria das vulnerabilidades s\u00e3o classificadas como Top 10 vulnerabilidades encontradas pelo OWASP, essa ferramenta possui diversos tipos de vulnerabilidades Web e \u00e9 muito utilizada para aprendizado em cursos de pentest, e tamb\u00e9m para testes de ferramentas do tipo IPS, WAF, etc.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

IMPORTANTE:<\/span> o objetivo deste post n\u00e3o \u00e9 focar no pentest em si, e sim, visualizar como bloquear vulnerabilidades no IPS do NSX-T, desta forma, n\u00e3o espere nada detalhado quanto aos testes<\/strong><\/p>\n

Podemos ainda utilizar o Legion do Kali para observar portas e vulnerabilidades encontradas no DVWA, como pode ser visto na imagem a seguir, a quantidade de vulnerabilidades \u00e9 grande:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Logo ao entrar no DVWA, o menu apresentar\u00e1 algumas op\u00e7\u00f5es de explora\u00e7\u00e3o que podem ser utilizadas, utilizarei como exemplo SQL Injection.<\/strong><\/p>\n

\"\"<\/p>\n

 <\/p>\n

Antes de mais nada, voltando nas configura\u00e7\u00f5es de IPS\/IDS do NSX-T realizadas no ultimo post, repare que agora em Rules temos tamb\u00e9m a op\u00e7\u00e3o “Detect & Prevent”, na vers\u00e3o 3.0 t\u00ednhamos somente “Detect”.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Em Profiles, observe tamb\u00e9m que existem novas configura\u00e7\u00f5es dispon\u00edveis, como Filtros de assinaturas dispon\u00edveis, exemplo, filtrar assinaturas por CVS, vulnerabilidades WEB etc.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Voltando ao DVWA, em “SQL Injection”, realizei uma tentativa de inser\u00e7\u00e3o de comandos SQL diretamente na aplica\u00e7\u00e3o, novamente, o objetivo do post n\u00e3o \u00e9 a explora\u00e7\u00e3o em si, e sim as formas de defesa, sendo assim, no campo de SQL Injection eu poderia inserir qualquer informa\u00e7\u00e3o que possivelmente o IPS\/IDS alertaria.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Veja que \u00e9 poss\u00edvel no DVWA verificar o source de cada vulnerabilidade explorada, o que ajuda muito nos estudos e elabora\u00e7\u00e3o de novos testes.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Observe agora na aba EVENTS que temos v\u00e1rios eventos relacionados \u00e0 VM em quest\u00e3o (alguns testes feitos com Kali e diretamente no DVWA), um deles est\u00e1 relacionado exatamente ao teste que fizemos, SQL Injection Attempt SELECT FROM<\/strong>, no qual podemos ver na imagem \u00e0 seguir.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Apesar da Rule estar configurada como “Detect e Prevent<\/strong>“, algumas assinaturas s\u00e3o pr\u00e9configuradas apenas para alertar, e outras tem como a\u00e7\u00e3o Drop<\/em> ou Reject. <\/em>Neste exemplo, foi feito apenas um alerta e n\u00e3o bloqueio.<\/p>\n

Para alterar a a\u00e7\u00e3o default de determinada assinatura , v\u00e1 at\u00e9 a aba Profile novamente e ent\u00e3o em “Manage – change actions and….”, conforme imagem a seguir:<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

No exemplo do nosso teste, o ID da assinatura alertada foi o “2006445”, realize um filtro pelo ID ou pela description <\/em>da vulnerabilidade desejada e ent\u00e3o altere a a\u00e7\u00e3o para esta assinatura, conforme meu exemplo:<\/p>\n

\"\"<\/p>\n

No meu exemplo, alterei a a\u00e7\u00e3o default de Alert para Drop, repare que quando alteramos a a\u00e7\u00e3o manualmente, o simbolo \"\" \u00e9 anexado \u00e0 essa assinatura facilitando na visualiza\u00e7\u00e3o das altera\u00e7\u00f5es aplicadas.<\/p>\n

Ap\u00f3s as altera\u00e7\u00f5es terem sido publicadas, realizei o teste novamente na aplica\u00e7\u00e3o e agora foi poss\u00edvel validar o Drop (Prevented) sendo realizado:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Em Security Overview tamb\u00e9m \u00e9 poss\u00edvel ter uma ideia de tudo que esta sendo analisado e bloqueado pelas features <\/em>de firewall e IPS\/IDS<\/p>\n

\"\"<\/p>\n

 <\/p>\n

 <\/p>\n

\u00c9 isso pessoal, no pr\u00f3ximo post vamos realizar a configura\u00e7\u00e3o para que esses eventos sejam enviados para uma Syslog\/SIEM externo, no nosso caso, o QRadar da IBM.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bom pessoal, No \u00faltimo post falamos um pouco da feature de IPS\/IDS que surgiu no NSX-T 3.0. Pois bem, como p\u00f4de ser visto, n\u00e3o realizamos nenhum bloqueio do tr\u00e1fego, fun\u00e7\u00e3o…<\/p>\n","protected":false},"author":1,"featured_media":451,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[8],"tags":[],"class_list":["post-434","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vmware"],"jetpack_featured_media_url":"http:\/\/vbrain.com.br\/wp-content\/uploads\/2020\/11\/ips2.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/434","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=434"}],"version-history":[{"count":9,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/434\/revisions"}],"predecessor-version":[{"id":460,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/434\/revisions\/460"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/media\/451"}],"wp:attachment":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=434"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=434"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=434"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}