Forescout NAC Kurulumu

13 min readJul 8, 2021

Forescout 2000 yılında NAC üzerine geliştirme yapmak üzere kurulmuş olan Amerika menşeili bir üründür.

NAC (Network Access Control) Nedir?

İç networkten ya da dışardan bir cihazın networke dahil olmasını kontrol eden cihaz diyebiliriz. Peki Forescout NAC ile neler yapabiliriz?

Dinamik Varlık Envanteri
Yetkilendirme
Kimlik Doğrulama
Görünürlük
Uyumluluk Kontrolü (Cihazda AV var mı üzerinde x uygulaması var mı gibi)
Tehdit Analizi (İçerde atak tespiti yapabiliyor. Arp spoofing , ip taraması gibi, bunu mirror interface üzerinden tüm network dinlemesi sayesinde anomali tespiti ile yapıyor)

Forescout’un diğer NAC ürünlerine göre öne çıkan bir özelliği ise ajansız izleme yapabilmesi. Tüm cihazları izleyip ajansız aksiyon almasını sağlayabiliyor. (Ajani le kullanmak isteyenler için de ajanlı kullanım seçeneği de mevcut)

Gerçek Zamanlı varlık tespit özelliği ile networke ip alan herhangi bir cihaz bağlandığı anda bunu Forescout üzerinde görebiliyoruz. (Marka , model vb…)

Bağlantı sonrası sürekli izleme ile yaptığımız ilk kontrollerden geçti ve networke bağlandıktan sonra cihaza herhangi bir zararlı bulaşması gibi bir durum ortaya çıkarsa bunu tespit ederek networkten izole edilmesini sağlayabiliyor.

Gerçek zamanlı politika aracı ile belirlenen tüm politikalar tıpkı bir firewall’da olduğpu gibi yukarıdan aşağıya doğru uygulanıyor ve bunu anlık olarak görüntüleyebiliyoruz.

Çift yönlü bilgi paylaşımı ve çalışma otomasyonu kısmı ile son kullanıcı ve forescout arasında sürekli bilgi paylaşımı yapılmaktadır. Örn; Benim politikalarımda proxy uygulaması kullanımı engellendiyse ve kullanıcı bilgisayarına birt proxy yazılımı yüklediyse bunu tespit edip kullanıcıya bilgilendirme mesajı gönderme ya da slime gibi işlemleri hem ajanlı hem de ajansız yapabiliyoruz. Bunun ajansız çalışması için Domain Admin yetkilerinin kullanılması gerekiyor.(Her bilgisayara local admin tanımlaması yaptırılarak bir çözüm üretilebilir.) Tabii bir de Remote Registry servislerinin çalışıyor olması gerekmektedir.

Üretici ve Entegrasyon Desteği ile firewall’a kural yazdırabiliyoruz. SIEM gibi ürünlerle entegrasyonu mevcut. Bu kısmı daha detaylı araştırma ile incelemeniz faydalı olacaktır.

Kolay kurulum, kullanım ve konfigürasyon özelliği ile yine kurumun ölçeğine bağlı olmakla birlikte ortalama 1 gün içinde çalışır hale getirilebiliyor.

Indicator of Compromise (IoC)

Forescout Count ACT appliance kurulumu için 3 adet network kablosuna ihtiyacımız vardır.

Management Interface : Varsa Yönetim switch’ine (ya da vlan’a) takılması önerilir.

Monitoring Interface : Mirror alınmak istenen vlanların olduğu backbone ya da core switch üzerine takılmalıdır.

Response Interface : Trafiği izlenecek olan Vlan’lara erişimi backbone ya da core switch üzerine takılması gerekir.

Switch üzerinden bilgi toplamak, port block, vlan ataması yapabilmek için SNMP write hakkı olan bir snmp community string gereksinimi vardır.

Counteract Ürün Modelleri ve Lisanslama Modeli

https://www.forescout.com/licensing/
adresinden de lisanslama ile ilgili güncel bilgilere ulaşılabilir.

Örneğin; CT1000 1000 tane cihaz anlamına gelir. Forescout IP başına lisanslama modelini kullanıyor. Yani sizin networkünüzde 2000 cihaz varsa 2000 lisans destekleyen modeli almanız gerekir. Burada dikkat edilmesi gereken bu cihazların bağlı olduğu yönetilen cihaz (switch) sayısı ile birlikte değerlendirilmesi gerektiğidir.

Sanal ortam desteği ise aşağıdaki gibidir.

Benzer şekilde cihaz (IP) sayısı ve Switch sayısına göre lisanslama yapılmaktadır.

Enterprise Manager genelde sanal ortama kurulmaktadır.

Counteract Fiziksel Donanım Sürümleri

Counteract Sanal Yazılım Sürümleri

Forescout Arayüzü

Yönetim arayüzüne bağlanmak için bir console uygulaması kullanılıyor. Forescout Cihazı üzerinden indirilip kurulduktan sonra Forescout’a bağlanıldığında aşağıdaki gibi bir arayüz ile bizi karşılaşıyoruz.

Tüm ayarlar bu arayüzden yapılabiliyor. Hemen hemen ayarların %90'ı bu arayüzden yapılabildiği için cli nadiren kullanılacaktır.

Sınıflandırmaları aşağıdaki ekran görüntüsündeki gibi yapabilmektedir.

Switch ve Wifi Seviyesinde Erişim Kontrol Yöntemleri

Bunların hemen hemen hepsi switch üzerinde yapılabiliyor. Sadece 802.1x için basit bir windows sunucusu ile aktif hale getirilebilir.

Örneğin; Networkümüzde bir NAC cihazı yok ise bir kullanıcının aldığı ip ve mac adresi basit arp sorgularıyla ya da araçlarla tespit edilebilir. ARP Spoofing oldukça basit ve hemen hemen herkesin çok rahat yapabileceği bir olaydır. Ancak ortamda Forescout var ise ve arp spoofing yaparsanız size doğru bilgi dönmeyecektir. Doğru bilgi dönmemesinden kasıt ise , arp tablosunu birkaç defa sorguladığımızda veya mac adresi değiştirmeye çalıştığımızda Forescout networkü dinlediği için tespit edecek ve zararlı olarak algılayacaktır. Bu aktiveteden dolayı da bizi bloklayacaktır. Bunun için bir kural oluşturulmasına gerek duyulmamaktadır çünkü bu forescout’ın bir özelliğidir. (Bu özellik kapatılıp açılabilir)

Sadece arp spoofing değil ip taraması yaptığınızda da doğru bir çıktı almamızı engelleyecektir. Açık portları da bize vermeyecek random portlar açıkmış gibi bize dönüş olmasını sağlayacaktır.

Forescout, switch, router, wireless ap/controller, ngfw (palo alto, checkpoint vb…), 802.1x & Radius ile entegre olabilmektedir.

802.1x

IEEE (Institute of Electrical and Electronics Engineers) tarafından geliştirildi.

EAP (Extensible Authentication Protocol)
EAP over LAN (EAPoL) ve EAP over Wireless (EAPoW)

Radius (Remote Authentication Dial-In User Service)

1991 yılında Livingston Enterprises tarafından geliştirildi.

Internet Engineering Task Force (IETF) ye devredildi ve standart oldu.
RFC2865, RFC2866
AAA (Authentication, Authorization, Accounting)
UDP/1645 (UDP/1812) Authentication & Authorization
UDP/1646 (UDP/1813) Accounting

Burada her bir kodun bir anlamı bulunmaktadır. Örneğin; 13 EAP-TLS ‘e karşılıkk gelir. Bunu Forescout tarafında bilmeye gerek yok.

802.1x dediğimiz protokol RADIUS ile birlikte çalışır. RADIUS kimlik doğrulamayı sağlıyor. 802.1x protokolü ise switch’te bulunuyor ve Radius bunun sayesinde port açma kapama, vlan değiştirme gibi özellikleri sağlıyor.

802.1x networke bir bilgisayar bağladığımızda kontroller gerçekleştirmeyi sağlayan bir protokoldür. Direk switch ile entegre çalışır.

Radius ise Windows ya da GNU/Linux sunuculara kurulabilir.

Radius Çalışma Mantığı

Forescout Konumlandırma

SPAN / RSPAN / ERSPAN / TAP / TA

TAP cihazı kullanarak ya da TAPcihazı kullanmadan konumlandırabiliriz.

Gigamon, ixia gibi ürünlerle network trafiğininin başla bir yere yönlendirebilir ya da kopyasını başka bir yere aktarabiliriz.

Forescout’ta mirror kullanıldığı için TAP cihazı önem taşıyor. Switch ya da direk backbone üzerinden mirror almak ekstra bir yük getirdiği için genelde TAP cihazı üzerinden trafiği Forescout’a gönderiliyor. Eğer TAP cihazı olmadan kurulum yapılırsa Tehdit Analizi kısmı kullanılamayacaktır. Diğer özelliklerin ise tamamını kullanabiliriz.

Örneğin VPN bağlantısı yapan kullanıcının Active Directory hesabı varsa bunu eşleştirebiliriz. Kim VPN bağlantısı yapmış, Adı, Soyadı, Email adresi, Ünvanı, Grubu.

Burada Active Directory grubu da önem taşıyor. Eğer AD üzerinde gruplandırma mekanizması yapıldıysa ona göre dinamik vlan ataması yapılabiliyor. Mesela, Bilgi Güvenliği biriminde çalışan bir kullanıcıyı Bilgi Güvenliği birimi için oluşturulmuş özel bir vlan varsa o kullanıcı Active Directory grupları yardımıyla direk ilgili vlan’a atanabilir.

Kullanıcının işletim sistemi,mac adres, ip adresi, kullandığı tarayıcı, hangi portu ve protokolü kullanmış bu bilgileri çıkartabiliriz. (Corporate ve Guest Vlan için)

Hangi switch’e bağlı, bu switch’in hangi portunda ya da hangi SSID’ye bağlı gibi bilgileri elde edebiliriz.

Posture aşamasından sonra ise artık makineye erişerek, hangi uygulamaları kullanıyor, hangi servisler çalışıyor, yamalar geçilmiş mi, hangi AV’yi kullanıyor vb. bilgilere ulaşabiliriz. Burada mevcut uygulamanın güncel versiyonu varsa onunla ilgili bildirim (alarm) oluşturulmasını da sağlayabiliriz.

Bazı Temel Tanımlar

Plugin (Eklenti) : Temelde Forescout üzerinde yüklü olan uygulamalar
Channel (Kanal) : Mirror’lanan trafikte hangi vlan’da ne kadar veri akışı var. İzleyeceğimiz vlan’ları açıp kapatabiliriz.
Virtual Firewall (Sanal Güvenlik Duvarı) : Zararlı bir aktivite tespit ettiğinde tcp rst paketi döndürmesini sağlayabilir.
Segment (Kısım) : Burada yapılan sınıflandırmalar politika yazılırken kullanılabilir.
Organizational Unit (OU) : AD lokasyon bazlı bilgiler girildiyse OU bazlı politikalar yazılabilir.
Group (Grup) : Manuel oluşturulan grupların içine listeler eklenerek Grup bazlı politikalar yazılabilir.
List (Liste)

Plugin ve Moduller

Pluginler

Endpoint altında bulunan HPS Inspection Engine , AV güncel mi , x uygulaması var mı kontrol eden kısmı oluşturuyor.

Hardware Inventory: Donanımsal özellikleri tespit etmeyi sağlıyor. RAM , CPU, Disk vb…

Linux : Ortamda Linux tabanlı cihazlar var ise onları yönetmek için kullanılıyor.

Microsoft SMS/SCCM : Ortamda SCCM kullanılıyor ise SCCM ile entegrasyon için SCCM ayarlarının girildiği kısım.

OSX : Ortamda MAC cihazlar var ise onlar hakkında bilgi toplamak için kullanılıyor.

Network altında yer alan Centralized Network Controller : Buradan merkezdeki network cihazları eklenebiliyor.

Switch : Switch’lerin eklendiği kısım.

VPN : VPN ile ilgili kullanılan bir yazılım ya da cihaz var ise bu kısımdan ekleme yapılıyor.

Wireless : Wireless ile ilgili kullanılan cihazlar da bu kısımdan ekleniyor.Mesela : Aruba Wireless Controller

Core Extensions kısmında yer alan seçeneklerden bazılarını inceleyecek olursak;

Advanced Tool Plugin : Makinelerden daha fazla bilgi toplanmasını sağlar. Bu eklenti aktifleştirilmeden toplanan bilgi %70 ise aktifleştirildiğinde %100'e yakın diyebiliriz.

DNS Enforce : İçerde domainde olmayan ve stand-alone çalışan cihazların DNS bilgilerinin değiştirip Forescout dns’ini ekleyip karşısına http login sayfası gelmesini sağlar.

IOC Scanner : IOC bilgilerinin girilmesini ve networkte IOC taraması yapılmasını sağlar. (MD5, SHA256 vb..)

Reports : Raporlama modülü

Syslog : SIEM olmasa da farklı bir log toplama mekanizmasına logları iletebiliriz.

Genişletilmiş Moduller

Forescout kullanımını daha etkin hale getirmek için genişletilmiş modüller alınabilir. (Ek maliyet getirecektir.)

Örneğin; IBM Qradar, Splunk ya da Arcsight modulünü alıp entegrasyonu yapıldığında mevcutta syslog ile gönderdiği loglara göre zenginleştirilmiş ve daha anlamlı loglar alınıyor.

Cyberark ile yapılacak entegrasyon ile sunucu ve cihazlara erişim daha güvenli hale getirilebilir.

Mesela OIM (Open Integration Module) alındığında ;

SQL, Oracle ve LDAP sunucularından data alıp verebilir.
Web Servis üzerinden XML formatında data alıp verebilir.
Web Request yollayabilir.

Web API:

Varlıklar üzerindeki veriler API üzerinden elde edilebilir.

Ürünü konulandırdığımızda bu ürüne kim bakacak sorusu gündeme geliyor. IT birimi mi, Network birimi mi yoksa güvenlik birimi mi ürüne bakacak sorusuna yanıt aranıyor. Ancak ürünü konsept olarak değerlendirdiğimizde aslında son kullanıcı tarafından toplanan bilgiler ve SCCM entegrasyonları ile ilgili taraf için Sistem tarafı, Switch-Router-Wiresless Controller gibi ürünlerle etkileşimi açısından Network tarafı, saldırı tespit, IOC taraması gibi konularla ilgili de Güvenlik tarafının ürünle bağlantısı olması gerektiğini görebiliyorsunuz.

Güvenlik perspektifini oldukça iyi yansıtan bir ürün olduğunu bu yüzden düşünüyorum. Takım olmanın , atak yüzeylerini birlikte belirlemenin ve bir departmanın yaptığı için diğer departmana etkisini görmek açısından bu birlikte çalışma örneğini faydalı buluyorum.

Forescout CounterACT Kurulumu

Örnek Kurulum adımları aşağıda gösterilmiştir. OVF dosyasını içeri aktarmak oldukça basit bir işlem olduğu için sadece ekran görüntüsü bırakılarak o aşamada yapılanlara ekstradan değinilmemiştir.

“Configure Forescout Device” seçeneği ile yapılandırma işlemleri başlatılır.

İlk kez kurulumyapılacağı için “Standard Installation” seçiyoruz.

“Forescout Appliance” seçeneği ile devam eidlir.
Not : Ortamda birden fazla Forescout cihazı var ise Enterprise Manager ile yönetebilir.

Bu aşamada 1) Per Appliance licensing mode seçeneği ile devam edeceğiz

ancak gerçek ortamda 2) Flexx licensing mode ile kurulması önerilir.

Hostname’den bağımsız bir açıklama girilebilir.

Administrator parolası bu aşamada belirleniyor. (Burada belirlenen parola aynı zamanda cliadmin parolasıdır)

Burada bir ayrıntı vermek gerekirse cli ekranında cliadmin kullanıcısı ile oturum açıldığında gnu/linux bazlı komutları çalıştırmak için fstool komutu kullanılır.

Örneğin cliadmin parolasını değiştirmek için, fstool passwd gibi.

Yine aynı skranda shell’e geçişte yapılabilir. Tabii ki önce shell erişimi için parola ayarlamak gerekir.

shell set-password komutu ile shell erişim parolası belirlenebilir.

Parolanın unutulması durumunda ise centos parola sıfırlama adımları uygulanarak parola sıfırlama işlemi gerçekleştirilebilir.

Hostname yazılırken sadece isim girilmelidir. Burada fqdn kullanılmamalıdır.

Management interface kısmında ise cihaza bağlanırken kullanılacak interface bilgisi girilir. Burada tanımlanan ip adresi değişirse tekrar lisans doğrulaması gerekecektir.

Kurulum tamamlandıktan sonra https://forescoutip/install adresinden Console uygulaması indirilerek Forescout arayüzüne bağantı sağlanır.

Kurulum adımları standart next next işlemlerinden oluştuğu için sadece ekran görüntüsü bırakıyorum.

Forescout konsol uygulaması çalıştırıldıktan sonra ip adresi, kullanıcı adı ve parola girilerek sunucuya erişim sağlanır. Bu arada not olarak belirtmekte fayda var. Forescout konsole uygulaması Forescout sunucusuna bağlantı için 10003 portunu kullanıyor.

Karşılama ekranında “next” ile devam edilir.

Forescout Lisansı var ise Install License diyerek yüklenir, lisans yok ise Lisans Online olarak alınabilmektedir. “Next” ile devam edilir.

Sunucunun Time Zone ve NTP Server yapılandırması yapılmalıdır. Mevcutta kullanılan bir NTP Server var ise ona ait bilgileri girilebilir.

Forescout cihazının Zamanlanmış raporları, alarmları vb. İşlemleri e-posta atabilmesi için konfigurasyonları yapıyoruz. Admin E-mail e-postalarin hangi adrese gönderileceğidir. Sonraki ekranda konfigurasyon test gelmektedir. Yapılandırma doğru ve erişim var başarılı olacaktır.

Forescout cihazının bilgisayarlar üzerinden kullanıcı bilgilerini getirebilmesi için Active Directory ile entagrasyonu yapılır. Burada kullandığımız hesabın Active Directory’de yetkili olması gerekmektedir.

Forescout cihazının kullanıcı bilgisayarlarına bağlanıp bilgi toplayabilmesi için (Windows Güncelleme, Antivirus,Inventory vb) ve belli komutlar çalıştırarak iyileştirme yapabilmesi için bilgisayarlar üzerinde local administrator yetkisine sahip domain hesabı yazılmalıdır. Sonraki ekranda konfigurasyon test gelmektedir. Yapılandırma doğru ve erişim var başarılı olacaktır.

Yönetilecek network eklenir.

Enforcement Mode bölümünde “Full Enforcement” istenirse NAT detection’u aktif edilir. Böylece NAT’lanmış cihazları da bulup gösterebilir.

Channels bölümünde ise cihaza bağlı ethernetlerin mirror ve response portları eklenir. Birden fazla Vlan var ise Vlan’ları Vlan bölümünden aktif edilir.

Bu işlemin ardından ekranda No items to display yazan kısımda tüm Vlan’arın listelenmesi gerekir. Bu test kurulumu olduğu için o kısım boş olarak görünüyor.

Switch bölümünde ise networkteki yönetilebilen switchler eklenir. Bu switchlerin eklenebilmesi için SNMP Write yetkisine sahip kullanıcı gerekmektedir.

Genelde ilk kurulumda hiçbir şey eklenmeden geçilir. Örnek olması adına burada bir cihaz eklenmiştir.

Varsayılan olarak gelen politikalar istenirse aktifleştirilebilir.

Classfy devices ile networkümüzdeki cihazlar sınıflandırılır.

Guest detection ile ise networkte domainde olmayan bilgisayarların tespiti gerçekleştirilir.

Inventory bolumunde ise HPS modulu ile bilgisayarlardan hangi bilgilerinin toplanacağını seçilir.

Son aşamada ise bu noktaya kadar yapılan ayarların kontrol edileceği bir ekran ile karşılaşılır. Düzeltilmek istenen yapılandırma olup olmadığı bu kısımda son kez kontrol edilebilir.

Finish dedikten sonraki yapılandırma süreci yaklaşık olarak 20 dakika civarındadır.

Yapılandırma süreci tamamlandıktan sonra gelen ekranda yer alan haritanın espirisi dağıtık yapıda Forescout kurulumu yapıldığında hangi bölgede Forescout olduğunu görüntüleme imkanı sunması.

Kurulumun tamamlanmasının ardından servislerin durumunu görüntülemek amacı ile cli bağlantısı yapalım.

cliadmin@frsct>fstool service status

[sudo] password for cliadmin:

CounterACT Appliance is running without valid license

Connected clients: none.

EM connection status: N/A (standalone appliance)

Assigned hosts: 2

Engine status: Ready

Installed Plugins: Wireless, NBT Scanner, Operational Technology, Security Policy Templates, Centralized Network Controller, IOC Scanner, VMware NSX, Cloud Uploader, Technical Support, Switch Content, External Classifier, Data Publisher, Advanced Tools, DNS Enforce, Azure, IoT Posture Assessment Engine, CEF, Device Profile Library, Device Classification Engine, NIC Vendor DB, Microsoft SMS/SCCM, Web Client, Windows Applications, RADIUS, Flow Analyzer, Switch, Linux, Network Controller, OS X, Flow Collector, DNS Query Extension, IoT Posture Assessment Library, HPS Inspection Engine, DHCP Classifier, Windows Vulnerability DB, Rogue Device, Network Controller Content, HPS Agent Manager, VPN, Dashboards, AWS, Data Receiver, Reports, Packet Engine, VMware vSphere, Device Data Publisher, User Directory, Syslog, Hardware Inventory, DNS Client

cliadmin@frsct>