FirePower 的AMP 防護(hù)之道

■河南 郭建偉

創(chuàng)建AMP 防護(hù)策略

FirePower 的AMP 其實(shí)包含兩個(gè)部分，一是利用FirePower 內(nèi)建的引擎或公有云技術(shù)，對(duì)病毒和惡意軟件進(jìn)行分析，其主要對(duì)穿越防火墻的流量進(jìn)行安全檢測(cè)；二是利用AMP 私有云技術(shù)來(lái)防御外部威脅，即在客戶端上安裝相應(yīng)的安全軟件，并注冊(cè)到AMP 私有云上，為客戶端進(jìn)行殺毒。

兩者可以獨(dú)立運(yùn)作，也可以進(jìn)行聯(lián)動(dòng)。當(dāng)然，這些都可以關(guān)聯(lián)到FMC 上來(lái)進(jìn)行統(tǒng)一的配置。

對(duì)于硬件FirePower 設(shè)備來(lái)說(shuō)，也可以激活其自身的設(shè)備管理功能，并進(jìn)行圖形化管理。但是，這種管理方式同F(xiàn)MC 統(tǒng)一管理相比存在很多不足，F(xiàn)MC 可以在各個(gè)設(shè)備上統(tǒng)一監(jiān)控和配置，統(tǒng)一收集各種信息，F(xiàn)MC 可以對(duì)于內(nèi)網(wǎng)的設(shè)備進(jìn)行滲透測(cè)試，實(shí)現(xiàn)高級(jí)的自動(dòng)化管理。

在內(nèi)網(wǎng)中的客戶機(jī)上打開(kāi)瀏覽器，訪問(wèn)“https：//x.x.x.x”地址，其中的“x.x.x.x”為FMC的地址。在FMC 登錄界面中輸入賬戶名和密碼，進(jìn)入FMC 網(wǎng)管中心界面。

然后依次點(diǎn)擊工具欄上的“Policies”→“Access Control”→“Malware&File”項(xiàng)，在右側(cè)點(diǎn)擊“New File Policy”按鈕，輸入策略的名稱（例如“Fpolicy1”）和描述信息，點(diǎn)擊“Save”按鈕，保存該策略。在“Rules”面板中點(diǎn)擊“Add Rule”按鈕，在新建規(guī)則窗口中的“Action”列表中提供了檢測(cè)文件、阻止文件、使用公有云檢測(cè)、阻止惡意軟件等，對(duì)于前兩項(xiàng)來(lái)說(shuō)，是不使用AMP功能的，而對(duì)于后兩項(xiàng)來(lái)說(shuō)，則需要依靠AMP 技術(shù)。

如果選擇“Block Files”項(xiàng)，表示僅僅阻止文件。在這里選擇“Block Malware”項(xiàng)，可以攔截病毒和惡意軟件。在其下選擇“Spera Analysis for MSEXE”、“Dynamic Analysis”、“Capacity Handling”、“Local Malware Analysis”等項(xiàng)目，啟用對(duì)應(yīng)的分析引擎。

之后在“Application Protocol”列表中選擇應(yīng)用協(xié)議，包括所有HTTP、SMTP、IMAP、POP3、FTP、SMB 等。在“Direction of Transfer”列表中選擇傳輸?shù)姆较?，包括所有上傳和下載等。在“File Type Categories”欄中選擇文件類型，包括文檔、可執(zhí)行文件、壓縮文件、系統(tǒng)文件和PDF等。

在“File Type”欄中選擇“All types in selected categories”項(xiàng)，允許處理該類型的所有文件。點(diǎn)擊“Add”按鈕，將其添加到選擇列表中。

緊接著，選擇“Reset Connection”項(xiàng)，表示踢掉與之關(guān)聯(lián)的網(wǎng)絡(luò)連接。在“Store files”欄中選擇“Malware”項(xiàng)，可以存儲(chǔ)可疑文件。點(diǎn)擊“Save”按鈕，保存該策略。

按照上述方法，可以創(chuàng)建更多的策略。在“Advanced”面板中選擇“Inspect Archives”項(xiàng)，可以檢測(cè)壓縮文件。選擇“Block Uninspectable Archives”項(xiàng)，可以阻止無(wú)法解壓的文件。選擇“Block Encrypted Archives”項(xiàng)，可以阻止加密文件。在“Max Archive Depth”項(xiàng)，可以設(shè)置解壓縮的層級(jí)。

僅僅創(chuàng)建了策略是不夠的，還需要到訪問(wèn)控制策略中進(jìn)行進(jìn)行調(diào)用。

依次點(diǎn)擊工具欄上的“Policies”→“Access Control”→“Access Control”項(xiàng)，選擇對(duì)應(yīng)的訪問(wèn)控制項(xiàng)目，并在其右側(cè)點(diǎn)擊“編輯”按鈕，在打開(kāi)編輯窗口中的“Inspection”面板中的“File Policy”列表中選擇上述“Fpolicy1”項(xiàng)，然后點(diǎn)擊“Save”按鈕保存配置信息。點(diǎn)擊工具欄上的“Deploy”按鈕，將其部署到FirePower防火墻上。

這樣，當(dāng)流量穿越防火墻時(shí)，就可以對(duì)其中的特定的文件進(jìn)行檢測(cè)和控制了。依次點(diǎn)擊工具欄上的“Analysis”→“Files”→“File Events”項(xiàng)，可以查看惡意文件檢測(cè)日志信息。而點(diǎn)擊工具欄上的“Analysis”→“Files”→“Malware Events”項(xiàng)，則可以查看病毒和惡意軟件處理信息。

利用SSL策略，檢測(cè)加密流量

對(duì)于采用HTTPS加密流量來(lái)說(shuō)，默認(rèn)使用FirePower實(shí)際是無(wú)法進(jìn)行檢測(cè)的。而利用SSL Policy策略可以很好的解決該問(wèn)題。

對(duì)于加密流量的檢測(cè)，F(xiàn)irePower有兩種處理方式。

一是內(nèi)部架設(shè)的HTTPS服務(wù)器，這需要將其上的證書(shū)和私鑰信息導(dǎo)入到防火墻中，當(dāng)外部用戶訪問(wèn)內(nèi)網(wǎng)中的HTTPS服務(wù)器時(shí)，F(xiàn)irePower就可以扮演代理服務(wù)器的角色，和外部用戶進(jìn)行交互。

因?yàn)閾碛辛俗C書(shū)和私鑰，F(xiàn)irePower可以對(duì)加密流量進(jìn)行解密，檢測(cè)其中的內(nèi)容是否合規(guī)，對(duì)于合法的請(qǐng)求，F(xiàn)irePower可以和內(nèi)網(wǎng)的HTTPS服務(wù)器進(jìn)行通訊，之后將HTTPS的響應(yīng)信息返回給外網(wǎng)客戶。對(duì)于該方式來(lái)說(shuō)，F(xiàn)irePower擁有內(nèi)網(wǎng)服務(wù)器的私鑰，自然可以解密發(fā)送給內(nèi)網(wǎng)服務(wù)器的SSL流量。

二是對(duì)于內(nèi)部和外網(wǎng)HTTPS服務(wù)器之間的流量進(jìn)行檢測(cè)，對(duì)于內(nèi)網(wǎng)用戶來(lái)說(shuō)，當(dāng)前訪問(wèn)外網(wǎng)的HTTPS站點(diǎn)時(shí)，交互的流量處于加密狀態(tài)，F(xiàn)irePower對(duì)該加密流量進(jìn)行檢測(cè)，就可以攔截隱藏在其中的病毒等惡意數(shù)據(jù)。

這里主要針對(duì)后者來(lái)進(jìn)行說(shuō)明，在該場(chǎng)景中，F(xiàn)irePower 需要充當(dāng)證書(shū)服務(wù)器的角色。當(dāng)內(nèi)部用戶訪問(wèn)外網(wǎng)的任意一個(gè)HTTPS 網(wǎng)站時(shí)，F(xiàn)irePower 會(huì)單獨(dú)為該網(wǎng)站產(chǎn)生一個(gè)證書(shū)，內(nèi)網(wǎng)客戶所看到的不是外網(wǎng)網(wǎng)站的證書(shū)，而是FirePower 針對(duì)該外部網(wǎng)站產(chǎn)生的證書(shū)，當(dāng)然，內(nèi)網(wǎng)用戶必須信任該證書(shū)。

即客戶連接的不是真正的外部網(wǎng)站，而是FirePower防火墻，F(xiàn)irePower“假扮”該外部HTTPS 網(wǎng)站，就可以解密客戶端發(fā)給防火墻的加密流量。

這樣，不管內(nèi)網(wǎng)用戶訪問(wèn)Internet 上的任何HTTPS站點(diǎn)，F(xiàn)irePower 就會(huì)針對(duì)該網(wǎng)站簽發(fā)相應(yīng)的證書(shū)。之后FirePower 再和外部的HTTPS 網(wǎng)站進(jìn)行通訊，并以內(nèi)網(wǎng)客戶端的身份和目標(biāo)網(wǎng)站進(jìn)行交互，這樣就可以解密該網(wǎng)站的加密流量，以便于對(duì)其中的數(shù)據(jù)進(jìn)行安全檢測(cè)。

而對(duì)于該流量解密方式來(lái)說(shuō)，內(nèi)網(wǎng)用戶訪問(wèn)Internet 的SSL 流量，需要進(jìn)行解密并重簽名處理。

將FMC 加入到域環(huán)境

為了實(shí)現(xiàn)上述功能，首先需要將FMC 添加到域環(huán)境。

在FMC 管理界面的工具欄上，依次點(diǎn)擊“System”→“Itegration”項(xiàng)，然后在“Realms”面板中右側(cè)點(diǎn)擊“New realm”按鈕，在打開(kāi)窗口中輸入合適的名稱，在“AD Primary Domain”欄中輸入域名，之后在“AD Join Username”欄中輸入域管理員名稱，在“AD Join Password”欄中輸入其密碼，在“Directory Username”和“Directory Password”欄中輸入用于查詢的賬戶名和密碼，其可以是權(quán)限較低的賬戶。

在“Base DN”和“Group DN”欄中輸入“dc=xxx.dc=com”，用來(lái)指定查詢的起始位置。然后點(diǎn)擊“OK”按鈕，在添加目錄窗口中輸入域名，之后將其加入到域環(huán)境中。

對(duì)應(yīng)域名項(xiàng)右側(cè)點(diǎn)擊“Edit directory”按鈕，選擇“Download user and groups”項(xiàng)，列出域中所有的賬戶信息。訪問(wèn)“https：//server1.xxx.com/certsrv”地址，其中的“server1.xxx.com”表示證書(shū)服務(wù)器名稱，在證書(shū)申請(qǐng)頁(yè)面中點(diǎn)擊“下載CA 證書(shū)，證書(shū)鏈或CRL”鏈接。選擇“Base 64”項(xiàng)，點(diǎn)擊“下載CA 證書(shū)”鏈接，得到根證書(shū)（例如“root.cer”）。在FMC工具欄上選擇“Object”→“Object Management”項(xiàng)，在左側(cè)選擇“PKI”→“Trusted CAs”項(xiàng)，在右側(cè)點(diǎn)擊“Add Trusted CA”按鈕，輸入其名稱，點(diǎn)擊“Brower”按鈕，選擇上述“root.cer”證書(shū)文件，點(diǎn)擊“Save”按鈕，加載根證書(shū)來(lái)加載根證書(shū)。

AMP 私有云的功能

對(duì)于Cisco AMP 私有云來(lái)說(shuō)，既可以是硬件產(chǎn)品，也可以是虛擬化產(chǎn)品。其支持FirePower 等防火墻和各種終端設(shè)備（例如Windows 和Linux 主機(jī)、安卓設(shè)備、虛擬機(jī)等）。

例如，F(xiàn)irePower 的AMP如果啟用動(dòng)態(tài)分析的話，默認(rèn)是送到公有云進(jìn)行分析。也可以指定到私有云上進(jìn)行分析，用來(lái)實(shí)現(xiàn)更強(qiáng)大的處理功能。

AMP 私有云最主要的功能是連續(xù)的監(jiān)控所有文件的活動(dòng)，并將監(jiān)控信息保存起來(lái)。這樣，可以實(shí)現(xiàn)跟蹤惡意軟件軌跡變動(dòng)功能，甚至可以在目標(biāo)主機(jī)內(nèi)部實(shí)現(xiàn)進(jìn)程的追蹤。

如果要對(duì)文件進(jìn)行沙盒分析的話，需要Threat Grid設(shè)備的支持。

例如，對(duì)于FirePower 防火墻、終端設(shè)備，以及Threat Grid 等設(shè)備來(lái)說(shuō)，都需要關(guān)聯(lián)到私有云，當(dāng)FirePower需要分析一個(gè)文件時(shí)，就會(huì)將該文件發(fā)送到私有云，私有云會(huì)對(duì)其進(jìn)行SHA-256 編碼計(jì)算，然后將數(shù)據(jù)提交給公有云，如果公有云判斷其是惡意文件，就會(huì)將檢測(cè)信息返回給私有云，然后私有云會(huì)通知FirePower 將其進(jìn)行清除。

如果需要對(duì)文件進(jìn)行深度分析，私有云會(huì)將文件發(fā)送給Threat Grid，對(duì)文件進(jìn)行沙盒分析。

AMP 私有云能夠?qū)ξ募?jí)、網(wǎng)絡(luò)級(jí)和進(jìn)程級(jí)的操作進(jìn)行記錄，并通過(guò)本地的大數(shù)據(jù)進(jìn)行查詢，如果發(fā)現(xiàn)可疑的未知文件，通過(guò)其SHA-256 的散列值發(fā)送給公有云進(jìn)行分析，并將公有云的判斷結(jié)果保存到本地。

AMP 私有云可以通過(guò)獨(dú)立的虛擬機(jī)進(jìn)行部署，能夠提供網(wǎng)絡(luò)和端點(diǎn)的的保護(hù)，包含大部分的公有云功能，具有很強(qiáng)大的擴(kuò)展性。

AMP 私有云的運(yùn)行模式

AMP 私有云支持兩種安裝模式，一是云代理模式（Cloud Proxy Mode），即充當(dāng)公有云的代理，該模式需要連接Internet，客戶端將掃描特征碼發(fā)送給私有云，私有云將威脅特征碼傳送給公有云進(jìn)行掃描，使用SHA-256 編碼會(huì)保證可疑文件的唯一性，避免出現(xiàn)掃描錯(cuò)誤的情況。

之后消息和更新會(huì)同步到AMP 私有云，保證私有云軟件處于不斷更新?tīng)顟B(tài)。

二是氣隙模式（Air Gap Mode），其特點(diǎn)是無(wú)需連接Internet 即可完成威脅查詢等操作，所有的查詢流量?jī)H存在于Endpoint 和私有云之間，不會(huì)產(chǎn)生巨大的外部流量。

處理和查詢都由私有云完成，因此私有云需要關(guān)聯(lián)額外的保護(hù)數(shù)據(jù)庫(kù)，該庫(kù)中包含所有威脅文件的特征碼，并且需要定期和公有云進(jìn)行同步更新。

配置和管理AMP 私有云

FireAMP 設(shè)備提供了管理口和數(shù)據(jù)口，當(dāng)加電并完成底層安裝后，在主菜單窗口中會(huì)顯示URL、MAC 地址和密碼信息。選擇“CONFIG_NETWORK”項(xiàng)，按照提示不啟用DHCP 功能，設(shè)置所需的IP、掩碼和網(wǎng)關(guān)地址。

之后在客戶機(jī)上打開(kāi)瀏覽器，訪問(wèn)FireAMP 管理地址（例如“https：//x.x.x.x/login”），在登錄界面輸入上述密碼，并按提示更新密碼。當(dāng)接受許可協(xié)議后，在“Clean Installation”欄中點(diǎn)擊“Start”按鈕，執(zhí)行全新安裝操作。

之后選擇安裝模式，這里選擇“Cloud Proxy Mode”按鈕，在“Production”欄中點(diǎn)擊“Next”，并按提示選擇授權(quán)文件，輸入加密該授權(quán)文件的密碼。在“FireAPP Console Account”窗口中中輸入管理員賬號(hào)（即郵箱名稱）和密碼。之后執(zhí)行分區(qū)，設(shè)定網(wǎng)絡(luò)接口IP和DNS 信息，這些域名需要全部映射到FireAMP 的數(shù)據(jù)端口上。

在“Disposition Server”窗口中的“Server”列表中選擇公有云地址，在“Upstream Protocol”列表中選擇“TCP (port32173)”項(xiàng)，滿足上傳流量的加密需求。之后設(shè)置通告郵件、NTP服務(wù)器地址、下載和驗(yàn)證恢復(fù)文件等操作，點(diǎn)擊“Start Installation”按鈕，執(zhí)行具體安裝操作。

完畢后重啟，再次訪問(wèn)訪問(wèn)FireAMP 管理地址，輸入新的密碼后，登錄到管理平臺(tái)，可以進(jìn)行一些底層的配置。也可以訪問(wèn)數(shù)據(jù)口地址（例如“https：//console.xxx.com/users/login”），輸入上述管理員郵箱和密碼，進(jìn)入控制臺(tái)管理界面，可以進(jìn)行APP 的配置。

在控制臺(tái)中點(diǎn)擊工具欄上的“Integrations →Firepower Management Center”項(xiàng)，點(diǎn)擊“Download Firepower Management Center Link Certificate”，下載名為“Combined.fireamp”的證書(shū)文件。在FMC 管理界面中點(diǎn)擊工具欄上的“AMP →AMP Management”項(xiàng)，在右側(cè)點(diǎn)擊“Add AMP Cloud Connection”按鈕，在打開(kāi)窗口中輸入私有云的名稱及FireAMP 主機(jī)的數(shù)據(jù)口名稱，點(diǎn)擊“Browse”按鈕選擇上述證書(shū)。選擇“Use for AMP for Firepower”項(xiàng)，點(diǎn)擊“Register”按鈕進(jìn)行連接操作。之后自動(dòng)跳轉(zhuǎn)到私有云控制臺(tái)，選擇對(duì)應(yīng)的AMP事件，點(diǎn)擊“Allow”，將其導(dǎo)出到FMC 中。按照上述方法，創(chuàng)建一個(gè)文件過(guò)濾策略，并創(chuàng)建所需的規(guī)則。

在規(guī)則編輯窗口中選擇“Action →Block Malware”項(xiàng)，選擇所有的分析引擎，在“Store Files”欄中選擇“Malware”項(xiàng)，允許存儲(chǔ)惡意文件。設(shè)置合適的文件過(guò)濾條件后完成創(chuàng)建。

之后將該策略和特定的訪問(wèn)策略綁定起來(lái)。這樣，在防火墻處理可疑文件時(shí)，就會(huì)將其提交給私有云，私有云再將其特征碼提交給公有云分析。如果發(fā)現(xiàn)病毒和惡意軟件，防火墻可及時(shí)進(jìn)行攔截。

利用AMP 私有云保護(hù)客戶端

在客戶機(jī)上打開(kāi)瀏覽器，訪問(wèn)FireAMP 設(shè)備的數(shù)據(jù)端口，在控制臺(tái)工具欄上點(diǎn)擊“Management →Quick Start”項(xiàng)，然后點(diǎn)擊“Set up FireAMP Windows Computer”項(xiàng)，可以下載Windows 版的FireAMP 客戶端軟件。

點(diǎn)擊“Set up FireAMP Mac Computer”項(xiàng)，可以下載Mac 版的FireAMP 客戶端軟件。這里選擇前者，點(diǎn)擊“Start”按鈕，會(huì)顯示常用的安全軟件列表，如果客戶端安裝了這些軟件的話，點(diǎn)擊“Add security product”按鈕，可以幫助用戶配置對(duì)應(yīng)的安全軟件防沖突策略。

之后提示客戶端是否使用代理服務(wù)器上網(wǎng)，接著讓用戶選擇所需的客戶端類型，依次包括僅審核策略、保護(hù)策略、診斷策略、服務(wù)器策略和域控策略等行類型。

如果需要對(duì)系統(tǒng)進(jìn)行正常保護(hù)，可以在“Protect”欄中點(diǎn)擊“Download”按鈕下載客戶端軟件。而如果需要保護(hù)服務(wù)器，則可以在“Server”欄中下載，如果需要保護(hù)域控，可以在“Domain Controller”欄中下載。如果客戶端已經(jīng)被病毒感染，可以在“Triage”欄中下載等。

這里在“Protect”欄點(diǎn)擊“Download”按鈕，下載名為“Protect_FireAMPSetup.exe”的客戶端軟件，可以將其分發(fā)給所有的客戶端，便于在客戶端上進(jìn)行安裝。

在客戶端上運(yùn)行該軟件，它會(huì)自動(dòng)連接到AMP 私有云，在主界面上點(diǎn)擊“Scan Now”按鈕，在打開(kāi)窗口中點(diǎn)擊“Flash Scan”按鈕，可以執(zhí)行快速掃描操作。點(diǎn)擊“Custom Scan”按鈕，可以進(jìn)行自定義掃描。點(diǎn)擊“Full Scan”按鈕，可以執(zhí)行全面掃描操作。

可以看到，它實(shí)際上是一個(gè)企業(yè)級(jí)的殺毒軟件，因此，在客戶端上是無(wú)法對(duì)其進(jìn)行設(shè)置的，所有的配置信息都是由管理端推送下來(lái)的。

在其主界面上點(diǎn)擊“Settings”按鈕，在設(shè)置窗口中點(diǎn)擊“Sync Policy”按鈕，執(zhí)行設(shè)置信息同步操作。在SourceFire 控制臺(tái)上點(diǎn)擊工具欄上的“Management →Deployment Summary”項(xiàng)，顯示部署了SourceFire 客戶端軟件的主機(jī)信息。點(diǎn)擊“Management →Computer”項(xiàng)，在對(duì)應(yīng)客戶機(jī)項(xiàng)目欄中點(diǎn)擊“Scan”按鈕，可以針對(duì)該機(jī)執(zhí)行遠(yuǎn)程掃描操作。

當(dāng)然，在客戶機(jī)上執(zhí)行的后臺(tái)掃描操作，點(diǎn)擊工具欄上的“Dashboard”項(xiàng)，在“Events”面板中顯示相關(guān)的事件信息。

這樣，當(dāng)內(nèi)網(wǎng)客戶端下載了包含病毒等惡意軟件的文件時(shí)，就會(huì)在Firepower 防火墻上和SourceFire 客戶端程序上同時(shí)被檢測(cè)到，將病毒及時(shí)隔離或者清除。

在SourceFire控制臺(tái)中打開(kāi)上述在“Events”面板，會(huì)顯示相關(guān)的檢測(cè)到病毒的提示信息。在對(duì)應(yīng)病毒檢測(cè)項(xiàng)目右側(cè)點(diǎn)擊文件路徑圖標(biāo)，會(huì)進(jìn)一步顯示該病毒文件在網(wǎng)絡(luò)中的活動(dòng)軌跡信息。

點(diǎn)擊進(jìn)程路徑信息，會(huì)進(jìn)一步顯示病毒在進(jìn)程中的活動(dòng)信息，例如，病毒是由哪個(gè)進(jìn)程（例如瀏覽器等）下載的等等。