Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Políticas de IDP

A política de detecção e prevenção de intrusões do Junos OS (IDP) permite que você aplique seletivamente várias técnicas de detecção e prevenção de ataques no tráfego de rede que passa por um dispositivo habilitado para IDP. Ele permite que você defina regras de política para combinar uma seção de tráfego com base em uma zona, rede e aplicativo e, em seguida, tomar ações preventivas ativas ou passivas nesse tráfego.

Para obter mais informações, veja os seguintes tópicos:

Visão geral das políticas de IDP

Uma política de IDP define como seu dispositivo lida com o tráfego de rede. Ele permite que você aplique várias técnicas de detecção e prevenção de ataques no tráfego que atravessa sua rede.

Uma política é composta de, e cada base de rule basesregras contém um conjunto de rules. Você define parâmetros de regras, como condições de correspondência de tráfego, ação e requisitos de registro, e depois adiciona as regras às bases de regras. Depois de criar uma Política de IDP adicionando regras em uma ou mais bases de regras, você pode selecionar essa política para ser a política ativa em seu dispositivo.

O Junos OS permite configurar e aplicar várias políticas de IDP. Começando pelo Junos OS Release 15.1X49-D20 e o Junos OS Release 17.3R1, a validação das configurações é feita para a política de IDP configurada como uma política ativa. Você pode instalar a mesma política de IDP em vários dispositivos ou instalar uma política de IDP exclusiva em cada dispositivo em sua rede. Uma única política pode conter apenas uma instância de qualquer tipo de base de regras.

Nota:

O recurso IDP é habilitado por padrão. Nenhuma licença é necessária. Ataques personalizados e grupos de ataque personalizados em políticas de IDP também podem ser configurados e instalados mesmo quando uma licença válida e um banco de dados de assinatura não são instalados no dispositivo.

A partir do Junos OS Release 18.4R1, quando uma nova política de IDP é carregada, as sessões existentes são inspecionadas usando a política recém-carregada e as sessões existentes não são ignoradas para processamento de IDP.

A lista a seguir descreveu as mudanças de inspeção do IDP para as sessões existentes após a carga de uma nova política:

  • Assinaturas baseadas em pacotes — a inspeção de IDP continua para ataques baseados em pacotes com a nova política de IDP.

  • Assinaturas baseadas em fluxo — a inspeção de IDP continua para ataques baseados em fluxo a partir da nova política de IDP com o número de compensação final menor do que o número de bytes passados para esse fluxo.

  • Assinaturas baseadas em contexto — A inspeção de IDP continua para ataques baseados em contexto criados pelo detector após a carga de uma nova política de IDP, com exceção de que a nova política está carregada com o novo detector.

As seguintes políticas de IDP são suportadas:

  • DMZ_Services

  • DNS_Services

  • File_Server

  • Getting_Started

  • IDP_Default

  • Recomendado

  • Web_Server

Você pode realizar as seguintes tarefas para gerenciar políticas de IDP:

  • Crie novas políticas de IDP a partir do zero. Veja exemplo: definindo regras para uma base de regras IDP IPS.

  • Crie uma política de IDP a partir de um dos modelos predefinidos fornecidos pela Juniper Networks (consulte Understanding Predefined IDP Policy Templates).

  • Adicione ou exclua regras dentro de uma base de regras. Você pode usar qualquer um dos seguintes objetos IDP para criar regras:

    • Zona

      Nota:

      Você pode configurar endereços de origem e de origem, exceto quando da zona é qualquer, e da mesma forma ter endereços de destino e destino, exceto quando a zona é qualquer.

    • Objetos de rede disponíveis no sistema base

    • Objetos de serviço predefinidos fornecidos pela Juniper Networks

    • Objetos de aplicação personalizados

    • Objetos de ataque predefinidos fornecidos pela Juniper Networks

  • Crie objetos de ataque personalizados (veja exemplo: configuração de ataques baseados em assinatura IDP ).

  • Atualize o banco de dados de assinaturas fornecido pela Juniper Networks. Este banco de dados contém todos os objetos predefinidos.

  • Mantenha várias políticas de IDP. Qualquer uma das políticas pode ser aplicada ao dispositivo.

As políticas de IDP para cada sistema lógico do usuário são compiladas e armazenadas na memória do plano de dados. Para estimar a memória adequada do plano de dados para uma configuração, considere esses dois fatores:

  • As políticas de IDP aplicadas a cada sistema lógico do usuário são consideradas instâncias únicas porque o ID e as zonas para cada sistema lógico de usuário são diferentes. As estimativas precisam considerar os requisitos de memória combinados para todos os sistemas lógicos do usuário.

  • Conforme o banco de dados do aplicativo aumenta, as políticas compiladas exigem mais memória. O uso da memória deve ser mantido abaixo da memória do plano de dados disponível para permitir aumentos no banco de dados.

Entender o suporte a políticas de IDP para políticas unificadas

Com o suporte da política de IDP dentro da política de segurança unificada:

  • A política de IDP é ativada usando o set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy <idp-policy-name> comando.

  • Com a política de IDP sendo disponibilizada dentro da política de segurança unificada, todas as correspondências de IDP serão tratadas dentro da política unificada, a menos que seja definida uma origem, destino ou aplicativo explícito (política tradicional).

  • Além disso, você pode configurar condições de correspondência no IDP para obter granularidade de inspeção adicional.

  • Configurar endereço de origem ou destino, origem e destino, exceto de e para zona, ou aplicativo não é necessário com política unificada, pois a correspondência acontece na própria política de segurança.

  • A aplicação de Camada 7 pode ser alterada durante a vida útil da sessão e essa mudança de aplicativo pode levar à desativação do serviço IDP para a sessão.

  • A correspondência inicial da política de segurança pode resultar em correspondências de políticas individuais ou múltiplas. Como parte da verificação de juros da sessão, o IDP será habilitado se a política de IDP estiver presente em alguma das regras combinadas.

Se você tiver configurado uma política de segurança tradicional (com condições de correspondência de 5 tuples ou aplicativos dinâmicos configurados como nenhum) e uma política unificada (com condições de correspondência de 6 tuple), a política de segurança tradicional combina o tráfego primeiro, antes da política unificada.

Quando você configura uma política unificada com um aplicativo dinâmico como uma das condições de correspondência, a configuração elimina as etapas adicionais envolvidas na configuração da política de IDP. Todas as configurações de política de IDP são tratadas dentro da política de segurança unificada e simplifica a tarefa de configurar a política de IDP para detectar qualquer ataque ou invasões para uma determinada sessão.

Entender múltiplas políticas de IDP para políticas unificadas

Quando os dispositivos de segurança são configurados com políticas unificadas, você pode configurar várias políticas de IDP e definir uma dessas políticas como a política de IDP padrão

Se várias políticas de IDP forem configuradas para uma sessão e quando ocorrer um conflito de políticas, o dispositivo aplica a política de IDP padrão para essa sessão e, assim, resolve quaisquer conflitos políticos.

Nota:

Se você configurou duas ou mais políticas de IDP em uma política de segurança unificada, então você deve configurar a política de IDP padrão.

Para configurar a política de IDP como a política padrão, use o set security idp default-policy policy-name comando.

A fase inicial de busca da política de segurança, que ocorre antes da identificação de um aplicativo dinâmico, pode resultar em várias combinações de políticas em potencial. O IDP é habilitado na sessão se pelo menos uma das políticas de segurança combinadas tiver uma política de IDP configurada.

Se apenas uma política de IDP estiver configurada na lista de políticas em potencial, essa política de IDP será aplicada para a sessão.

Se houver várias políticas de IDP configuradas para uma sessão na lista de políticas em potencial, o dispositivo aplicará a política de IDP configurada como padrão da política de IDP.

Após a identificação de aplicativos dinâmicos para uma sessão, se a política final combinada tiver as polícias de IDP configuradas que sejam diferentes da política de IDP padrão, a relookup da política é executada e a política de IDP configurada para a política final combinada é aplicada.

Se a política de segurança combinada final tiver a mesma política de IDP configurada durante a pesquisa inicial da política de segurança, essa política de IDP será aplicada para a sessão.

Se a política de segurança combinada final não tiver uma política de IDP configurada, o processamento do IDP será desativado para a sessão.

Benefícios de várias políticas de IDP e configuração padrão de políticas de IDP para políticas unificadas

  • Oferece flexibilidade para manter e usar várias políticas de IDP.

  • Lida com conflitos de políticas usando a configuração padrão de política de IDP.

Seleção de políticas de IDP para políticas unificadas

Este tópico fornece detalhes sobre a seleção de políticas de IDP para políticas unificadas.

Seleção de políticas de IDP com uma única política de IDP

Quando uma política de segurança é processada para uma sessão, a correspondência inicial da política de segurança pode resultar em correspondências de políticas individuais ou múltiplas. Se o cache do aplicativo estiver presente, a correspondência da política resultará em uma única correspondência de política.

Como parte da verificação de juros da sessão, o IDP é habilitado se uma política de IDP estiver presente em alguma das regras combinadas.

Após a identificação dinâmica de aplicativos, a relookup da política é realizada pela política de segurança. Os serviços de aplicação de Camada 7 (IDP) são informados para desabilitarem-se, caso o IDP não esteja configurado na política final combinada. Com a política de IDP sendo disponibilizada dentro da política de segurança unificada, todas as correspondências de IDP são tratadas dentro da política unificada, a menos que seja definida a origem, o destino ou o aplicativo explícitos (política tradicional). Configurar endereço de origem ou destino, origem e destino, exceto de e para zona, ou aplicativo não é necessário com política unificada, porque a correspondência acontece na própria política de segurança. A Tabela 1 fornece um exemplo da seleção de políticas de IDP dentro de uma política de segurança.

A Figura 1 e a Figura 2 fornecem os detalhes do fluxo de trabalho para uma seleção única e múltipla de políticas de IDP para políticas unificadas.

destino Políticas de serviço
Tabela 1: Exemplo de seleção de políticas dentro de uma política de segurança
Política de segurança Zona de origem Zona de destino Endereço de destino Endereço dede aplicativos dinâmicos

P1

Em

10.1.1.1

Fora

Qualquer

HTTP

IDP

Recomendado

P2

Em

10.1.1.1

Fora

Qualquer

GMAIL

UTM

utm_policy_1

Figura 1: processamento de IDP para o caminho do fluxo em primeiro lugar IDP Processing for Flow First Path
Figura 2: processamento de IDP após a busca IDP Processing After Final Policy Lookup da política final

Seleção de políticas de IDP com várias políticas de IDP

Se houver várias políticas presentes na lista de políticas potenciais com diferentes políticas de IDP, o dispositivo aplica a política de IDP configurada como política de IDP padrão.

Após a identificação de aplicativos dinâmicos, se a política final combinada tiver as polícias de IDP configuradas diferentes da política de IDP padrão, então a reexame da política é realizada e a política de IDP configurada para a política final combinada é aplicada.

Se a política de segurança combinada final não tiver uma política de IDP configurada, o processamento do IDP será desativado para a sessão.

de serviço de
Tabela 2: Exemplo de seleção de políticas dentro de uma política de segurança
Política zona de origem Endereço de destino Zona de destino Endereço políticasaplicativo dinâmico

P1

Em

10.1.1.1

Fora

Qualquer

HTTP

IDP

Recomendado

P2

Em

10.1.1.1

Fora

Qualquer

GMAIL

UTM

utm_policy_1

P3

Em

Qualquer

Fora

Qualquer

GMAIL

IDP

idpengine

Considerando o exemplo de políticas de segurança configuradas para uma sessão:

  • If security policy P1 and policy P3 match for a session

    Observa-se conflito de política de IDP. Assim, a política de IDP configurada como política de IDP padrão é aplicada neste caso.

    Após a correspondência final da política de segurança, a releitificação da política de IDP é realizada com base em políticas de IDP combinadas. Se a política de segurança combinada final for a política P1, então a política de IDP indicada é recomendada para a sessão.

  • If security policy P1 and policy P2 match for a session

    Como há apenas uma política de IDP configurada nas políticas de segurança combinadas, a política de IDP indicada como recomendada é aplicada para a sessão.

    Se a política de segurança combinada final for a política P1, a inspeção da sessão continua a aplicar a política de IDP indicada como recomendada. Se a política de segurança combinada final for a política P2, o IDP será desativado e ignorará a sessão.

Exemplo: configurar várias políticas de IDP e uma política de IDP padrão para políticas de segurança unificadas

Para que o tráfego de trânsito passe pela inspeção de IDP, você configura uma política de segurança e habilita serviços de aplicativos IDP em todo o tráfego que deseja inspecionar.

Este exemplo mostra como configurar uma política de segurança para habilitar serviços IDP pela primeira vez no fluxo de tráfego no dispositivo.

Requisitos

Antes de começar, instale ou verifique uma licença de recurso IDP.

Este exemplo usa os seguintes componentes de hardware e software:

  • Um firewall da Série SRX.

  • Junos OS Versão 18.3R1 e posterior.

Nota:

Este exemplo de configuração foi testado usando um dispositivo SRX1500 que executa o Junos OS Release 18.3R1. No entanto, você pode usar a mesma configuração na linha SRX300, SRX550M, SRX4100, SRX4200 e dispositivos de linha SRX5000 usando as versões mais recentes do Junos OS.

Visão geral

Neste exemplo, você configura duas políticas de segurança para permitir que serviços IDP em um dispositivo SRX1500 inspecionem todo o tráfego da zona de confiança até a zona não confiável.

Como primeiro passo, você deve baixar e instalar o banco de dados de assinaturas no site da Juniper Networks. Em seguida, baixe e instale os modelos de política de IDP predefinidos e ative a política predefinida "Recomendada" como a política ativa.

Na versão abaixo do SRX 18.2, apenas um nome de política de IDP pode ser usado para todas as regras de firewall e a política ativa funciona em todas as versões do Security Director.

A partir do Junos SRX 18.2, o estilo de política tradicional de usar apenas um nome de política IDP ativo para todas as regras de firewall foi set security idp active-policy preterido.

Em vez disso, o estilo de configuração usa o mesmo para políticas tradicionais como a das políticas unificadas, referindo-se à política de IDP que é tratada no comando de políticas de set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy idp-policy-name segurança.

Em seguida, você deve criar duas políticas de segurança da zona de confiança até a zona não confiável e especificar ações a serem tomadas no tráfego que corresponda às condições especificadas nas políticas.

Configuração

Procedimento

Configuração rápida da CLI

A configuração rápida da CLI não está disponível para este exemplo, porque a intervenção manual é necessária durante a configuração.

Procedimento passo a passo
  1. Crie duas políticas de segurança para o tráfego da zona de confiança até a zona não confiável.

    Nota:

    Observe os seguintes pontos:

    • A ordem das políticas de segurança no firewall da Série SRX é importante porque o Junos OS realiza uma pesquisa de políticas a partir do topo da lista, e quando o dispositivo encontra uma correspondência para o tráfego recebido, ele interrompe a pesquisa de políticas.

    • O firewall da Série SRX permite que você habilite o processamento de IDP em uma política de segurança de forma regra por regra, em vez de ativar a inspeção de IDP em todo o dispositivo.

    • Uma política de segurança identifica qual tráfego deve ser enviado para o mecanismo IDP e, em seguida, o mecanismo de IDP aplica inspeção com base no conteúdo desse tráfego. O tráfego que corresponde a uma política de segurança na qual o IDP não está habilitado ignora completamente o processamento de IDP. O tráfego que corresponde a uma política de segurança marcada para processamento de IDP permite a política de IDP configurada nessa política de segurança específica.

    Crie uma política de segurança P1 com uma aplicação dinâmica como critério de correspondência.

    Crie uma política de segurança P2 com uma aplicação dinâmica como critério de correspondência.

  2. Defina as políticas de IDP que você deseja configurar em políticas de segurança.

  3. Configure as políticas de IDP de acordo com as etapas das Regras de Política de IDP e bases de regras do IDP e configure uma das políticas de IDP (Recomendada) como a política de IDP padrão.

  4. Confirme a política padrão configurada em seu dispositivo.

  5. Especifique as medidas a serem tomadas no tráfego que correspondam às condições especificadas na política de segurança. A ação da política de segurança deve ser para permitir o fluxo.

Nas versões SRX 18.3 e superiores, as políticas de segurança podem usar uma política de IDP diferente, permitindo o processamento exclusivo de regras de IDP para cada política de segurança. Quando várias regras de IDP são usadas em políticas de segurança, é necessário configurar uma política padrão de IDP.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração do IDP

Propósito

Verifique se a configuração do IDP está funcionando corretamente.

Ação

Do modo operacional, entre no show security idp status comando.

Significado

A saída de amostra mostra a política de IDP predefinida recomendada como a política ativa.

Exemplo: habilitar o IDP em uma política de segurança tradicional

A partir do Junos SRX 18.2, o estilo de política tradicional de usar apenas um nome de política IDP ativo para todas as regras de firewall foi set security idp active-policy preterido.

Em vez disso, o estilo de configuração usa o mesmo para políticas tradicionais como a das políticas unificadas, referindo-se à política de IDP que é tratada no comando de políticas de set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy idp-policy-name segurança.

Este exemplo mostra como configurar duas políticas de segurança para habilitar serviços IDP em todo o tráfego HTTP e HTTPS que fluem em ambas as direções em um dispositivo de segurança. Esse tipo de configuração pode ser usada para monitorar o tráfego de e para uma área segura de uma rede interna como uma medida de segurança adicional para comunicações confidenciais.

Nota:

Neste exemplo, Zone2 faz parte da rede interna.

Requisitos

Antes de começar:

Visão geral

Para que o tráfego de trânsito passe pela inspeção de IDP, você configura uma política de segurança e habilita serviços de aplicativos IDP em todo o tráfego que deseja inspecionar. As políticas de segurança contêm regras que definem os tipos de tráfego permitidos na rede e a maneira como o tráfego é tratado dentro da rede. Habilitar o IDP em uma política de segurança direciona o tráfego que corresponde aos critérios especificados a serem verificados nas bases de regras do IDP.

Nota:

O IDP é habilitado por padrão. Nenhuma licença é necessária. Ataques personalizados e grupos de ataque personalizados em políticas de IDP podem ser configurados e instalados mesmo quando uma licença válida e um banco de dados de assinatura não são instalados no dispositivo.

Para permitir que o tráfego de trânsito passe sem inspeção de IDP, especifique uma permit ação para a regra sem habilitar os serviços de aplicativos IDP. O tráfego correspondente às condições nesta regra passa pelo dispositivo sem inspeção de IDP.

Este exemplo mostra como configurar duas políticas, idp-app-policy-1 e idp-app-policy-2, para habilitar serviços IDP em todo o tráfego HTTP e HTTPS que fluem em ambas as direções do dispositivo. A política idp-app-policy-1 direciona todo o tráfego HTTP e HTTPS que flui da Zona1 até a Zona2 previamente configurada para ser verificado em relação às bases de regras do IDP. A política idp-app-policy-2 direciona todo o tráfego HTTP e HTTPS que flui da Zona2 até a Zona1 para ser verificado em bases de regras do IDP.

Nota:

A ação definida na ação da política de segurança deve ser permit. Você não pode habilitar o IDP para tráfego que o dispositivo nega ou rejeita.

Se você tiver configurado uma política de segurança tradicional (com condições de correspondência de 5 tuples ou aplicativo dinâmico configurado como nenhum) e uma política unificada (com condições de correspondência de 6 tuple), a política de segurança tradicional combina o tráfego primeiro, antes da política unificada.

Quando você configura uma política unificada com um aplicativo dinâmico como uma das condições de correspondência, a configuração elimina as etapas adicionais de configuração, origem e endereço de destino, destino de origem, exceto de e para zonas ou aplicativo. Todas as configurações de política de IDP são tratadas dentro da política de segurança unificada e simplifica a tarefa de configurar a política de IDP para detectar qualquer ataque ou invasões para uma determinada sessão. Configurar endereço de origem ou destino, origem e destino, exceto de e para zona, ou aplicativo não é necessário com política unificada, pois a correspondência acontece na própria política de segurança.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para habilitar serviços IDP em todo o tráfego HTTP e HTTPS que fluem em ambas as direções do dispositivo:

  1. Crie uma política de segurança para o tráfego que flui da Zona1 até a Zona2 que foi identificada como tráfego de aplicativos junos-https ou junos-https.

  2. Especifique as medidas a serem tomadas no tráfego da Zona1 à Zona2 que corresponda às condições especificadas na política.

  3. Crie outra política de segurança para o tráfego que flui na direção oposta que foi identificada como tráfego de aplicativos junos-http ou junos-https.

  4. Especifique as medidas a serem tomadas no tráfego que correspondam às condições especificadas nesta política.

  5. Configure a política ativa.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar se a configuração está funcionando corretamente, execute esta tarefa:

Verificando a configuração

Propósito

Verifique se a configuração da política de segurança está correta.

Ação

Do modo operacional, entre no show security policies comando.

Verificando a compilação e o status da carga da política do IDP

Propósito

Exibir os arquivos de log IDP para verificar a carga e o status da compilação da política de IDP. Ao ativar uma política de IDP, você pode visualizar os logs do IDP e verificar se a política é carregada e compilada com sucesso.

Ação

Para acompanhar o progresso de carga e compilação de uma política de IDP, configure um ou ambos os seguintes na CLI:

  • Você pode configurar um arquivo de log, que estará localizado e /var/log/definir bandeiras de opção de rastreamento para registrar essas operações:

  • Você pode configurar seu dispositivo para registrar mensagens de log do sistema em um arquivo no /var/log diretório:

Depois de comprometer a configuração na CLI, insira qualquer um dos seguintes comandos a partir do prompt shell na shell de nível UNIX:

Saída de amostra

nome de comando

Saída de amostra

nome de comando

Significado

Exibe mensagens de registro mostrando os procedimentos que são executados em segundo plano após você comprometer o set security idp active-policy comando. Esta saída de amostra mostra que a compilação de políticas, configuração de sensores e carga de políticas são bem-sucedidas.