Habilitando NGRules

Vamos iniciar a configuração do seu NGRules, importante salientar que a ordem das configurações não é linear, mas não se preocupe com isso, você será direcionado(a) a cada passo.

Siga o caminho "Services > NGrules Integration > General".

Enable: Inicialmente vamos marcar essa opção para ativar a ferramenta.

Listen Interface(s): Agora marque as interfaces que serão filtradas pela ferramenta, apenas marque as opções onde a conexão é originada:

Exemplo: LAN

Schedule frequency: Define o tempo em horas para que os processos do NGRules sejam reiniciados, Isso evita o uso excessivo de memória do aplicativo e travamentos.

Por padrão mantemos em 1 hora.

Monitor Mode: Aqui será ajustado o modo de operação do NGRules. Esta escolha influencia diretamente na maneira como a ferramenta monitora as conexões analisadas:

  • Defaulf: Selecione para ambientes com tráfego moderado

  • High traffic server: Quando o seu ambiente ocorrer um tráfico mais intenso e existe um número considerável de dispositivos simultâneos

  • Low traffic server: Essa opção serve para ambientes menores, onde existe poucos dispositivos e o tráfego na rede é baixo.

Por padrão mantemos em Default.

License info: Este campo apresenta a informação da licença.

Check Alias Settings:

Check Alias: Essa opção é a frequência que os aliases serão alimentados e verificados sobre novas atualizações.

Check frequency: Tempo em minutos que será feita a atualização acima.

Advanced Features

OpenAppID: Serve para habilitar a integração do snort OPenAPPID.

Quic protocol: o NGRules já faz o bloqueio do tráfego do protocolo Quic(UDP 80 e 443) de forma automatizada, garantindo assim, que certos serviços respeitem as regras impostas futuramente, por padrão deixamos essa opção ativa.

Promiscuous Mode: Deixe esta opção marcada para detectar o tráfego no modo promíscuo.

O padrão recomendado é manter como está sendo exibido na imagem abaixo.

Additional Ports:

Toda a inteligência de descoberta de redes IPs das aplicações e sites na Internet no NGRules está alicerçada sob análise das requisições DNS (além de verificações em nível de certificado digital - SSL e TLS). Em outras palavras, a porta lógica mais importante para que o NGRules faça seu trabalho é a UDP/53 (porta default que não necessita de configuração adicional neste campo).

A opção de listar portas adicionais só deve ser utilizada em casos muito específicos como filtrar conexões do aplicativo WhatsApp, por exemplo. O WhatsApp utiliza tráfego NÃO traduzível por DNS/SSL para envio de mensagens e mídias entre usuários e, portanto, faz-se necessário configurar o NGRules para auditar um intervalo de portas adicionais como: TCP/5222-5228.

IMPORTANTE : Jamais utilize esta opção de forma aleatória como filtrar conexões HTTPS (TCP/443). Isso além de ser INEFICIENTE no trabalho realizado pelo NGRules, potencialmente fará com que seu servidor tenha problemas com o consumo de memória e CPU.

Check Certificates:

Checar informações de certificado dos destinatários

Esta é uma feature avançada do NGRules que verifica os certificados SSL/TLS dos destinatários (servidores na Internet), em conexões HTTPS/SSL, e atualiza dinamicamente as regras com base nas informações encontradas. Você pode definir o comportamento do NGRules quando ele encontra certificados inválidos, auto-assinados e válidos.

Quando o firewall munido do NGRules percebe a tentativa de comunicação SSL/TLS, ele acessa o alvo e verifica o seu certificado. A partir disso, o pacote é capaz de identificar o destino (sua categoria) e alimentar os respectivos aliases.

IMPORTANTE: Este é um recurso atualmente em fase experimental. Eventuais falsos-positivos ou falsos-negativos podem acontecer. Contudo, por se tratar de uma "camada adicional" de checagem, a sua NÃO ATIVAÇÃO não impacta negativamente na funcionalidade do NGRules.

Onde:

  • Disabled (default): Recurso de checagem avançada de certificado SSL/TLS desativado;

  • Update rules only on data from trusted certificates: Atualiza as regras somente com os destinos cujos certificados sejam válidos;

  • Update on any cert, except self signed certificates: Atualiza as regras com todos os destinos, exceto os que possuem certificados auto-assinados;

  • Update on any cert, including self signed certificates: Atualiza as regras com todos os destinos (incluindo certificados inválidos ou auto-assinados.

Check ip updates:

DNS memcache time: Nesse campo você define o tempo em segundos para manter o tráfego de resolução DNS recente na memória, isso melhora o desempenho e a precisão.

Memcache memory limit: Define o limite de memória para o memcache.

log cname matches: Esta opção serve para registrar correspondências/resoluções de cname.

Limpeza de cache

Esta opção, como o próprio nome sugere, executa uma limpeza em todos os arquivos de cache e temporários gerados pelo NGRules. Ela pode ser utilizada sempre que você desejar reiniciar os algoritmos de identificação e registro das redes IPs das aplicações identificadas sem restartar o serviço do NGRules.

CUIDADO : Ao limpar todo o cache do NGRules, você reinicia o processo de descoberta das redes das aplicações na Internet. Isso pode fazer com que seja necessário esperar novamente o tempo mínimo de reconhecimento para obter os resultados desejados em relação aos bloqueios ou liberações executados nas respectivas regras de firewall.

PreviousConfiguração PadrãoNextCriando Regras Automatizadas

Last updated