NSX Security – DFW use case – Malicious IP

Az elosztott tűzfal működését már korábbi cikkekben megmutattam, tényleg nagyon egyszerűen felkonfigurálható, ugyanakkor ezzel szemben igen látványos képességekkel vértezi fel a környezetet. Alapjában véve az, hogy nem feltétlen kell overlay hálózattal foglalkozni csak azért, hogy mikroszegmentálni lehessen, már önmagában eladja a terméket.

A szabályokban használható – nem csak distributed firewall szabályokban – csoportok összeállítása igen sok módon lehetséges és akár egy csoporton belül is tovább keverhető. Az NSX telepítése után létrejön négy ilyen csoport és ezeket módosítani és törölni sem lehetséges.

Jelen esetben a “DefaultMaliciousIpGroup” csoportot szeretném tárgyalni. Ezt a csoportot az NSX automatikusan frissíti, az 4.X-en történt telepítések esetén automatikusan, a korábbi rendszerek esetében – amelyek 3.X verzióról frissítéssel jutottak el a 4.X-re – esetében manuálisan frissül alapértelmezetten. A frissítés, függetlenül attól automatikus vagy manuális, azt igényli, hogy az NSX Manager(ek) elérjék a api.nsx-sec-prod.com FQDN-t, TCP/443-on. Enélkül a csoportban listázott IP-címek nem frissülnek. A következő helyen található az automatikus frissítés kapcsolója és indítható manuális frissítés is.

A csoporton alapulva elő van készítve két szabály a distributed firewall konfigurációjában, annak is az “Infrastructure” szekciójában. (Máshol ez a csoport nem használható, szóval meg sem jelenik. Például gateway firewall szabálynál sem választható ki.) Az első sor az ilyen kártékony/gyanús IP-kről, a teljes DFW által védett célokra, a második sor pedig pont ennek fordítottja, azaz a DFW által kezelt gépek, kártékony/gyanús IP-kkel történő forgalmazását engedi vagy tiltja. Alább az látható, hogy mindkettő enabled, azaz aktív mindkét szabály.

De van-e rajta találat? A labor egy tiszta állapot, nincs benne semmi extra dolog, pár Windows VM-en és egy pár Rubrik Appliance-on kívül. A distributed firewall naplózását is mutattam már, itt már előre be van írva nekünk a log label, hogy ne kelljen sokat gépelni, a toogle átállításán kívül.

Volt-e ilyen forgalom? Ha a naplózás beállításra kerül, akkor nyilván a syslog-ból is kiderül, de egy eléggé egyszerű nézetet és statisztikát az NSX GUI is tud mutatni. A top 5-öt mutatja mindenből.

Kattintva kicsit többet árul el, mikor volt forgalom, mi a cél IP, melyek azok a VM-ek amelyek forgalmaztak, mennyi engedélyezett – nyilván nincs kivétel jelenleg – mennyi tiltott. A kivételeket a legegyszerűbben az utolsó oszlopban történő kattintással lehet megtenni.

Ha a második sorra kattintok – mert érdekel mi ez a 626 blokkolt forgalom – annak a VM részére, akkor fel is adja azon VM-ek listáját, amelyek érintettek.

De mi ez az IP? Több forrással is ellenőriztem és úgy tűnik valamilyen Microsoft saját IP, amivel a Microsoft Windows operációs rendszerek szeretnek beszélgetni. A Malicious IP csoport úgy tűnik tartalmazza ezt az IP-t és a fenti DFW szabályok értelmében az ilyen kommunikációt nem fogja engedni.

Amennyiben azonban mégis szeretnénk ezt engedélyezni, akkor csak simán rá kell kattintani a kis pajzsra az “Add as Exception” oszlopban és a megnyíló ablakban vagy a Default csoporthoz vagy saját csoporthoz hozzá is lehet adni. Ettől a ponttól az ilyen forgalmat nem fogja majd zargatni.

Kell-e ezért fizetni? Az NSX licenszek árán felül nem kell semmit sem rádobni.

Hogy mennyire hasznos? Ezt jelenleg nem tudom megválaszolni, főleg mert nem teljesen transzparens hogy a listába milyen IP-k kerülnek, mármint mi alapján kerülnek rá elemek.

A VMware dokumentációja sem igazán beszédes erről:

The system downloads these IPs from NTICS cloud service and creates a malicious IP group with them. You can also create custom malicious IP groups to specify IPs and IP addresses only groups that should be treated as exceptions and must not be blocked. To block access to malicious IPs, configure firewall rules containing malicious IP groups. You can also monitor the system for any exceptions and if required exclude IPs from getting blocked.

https://docs.vmware.com/en/VMware-NSX/4.1/administration/GUID-471BA79D-C594-405D-912E-833206D1702C.html

A lista tartalma egyébként a GUI-n egyáltalán nem kinyerhető és én API-n sem tudtam belőle kiszedni semmit. Ennek ellenére ad némi dinamikát a védelemnek, hiszen nem manuálisan kell valamit kiszűrni, például egy új fenyegetést, hanem megtörténik automatikusan. Ha a kivételeket beállítottuk, akkor szerintem kockázat nélkül használható.