Regras de política de IDP e bases de regras do IDP
As políticas de detecção e prevenção de invasões (IDP) são coleções de regras e bases de regras.
Para obter mais informações, veja os seguintes tópicos:
Entendendo as bases de regras de políticas de IDP
Uma base de regras é um conjunto ordenado de regras que usam um método de detecção específico para identificar e prevenir ataques.
As regras são instruções que fornecem contexto aos mecanismos de detecção especificando qual parte do tráfego de rede o sistema IDP deve procurar para encontrar ataques. Quando uma regra é combinada, significa que um ataque foi detectado no tráfego da rede, desencadeando a ação para essa regra. O sistema IDP realiza a ação especificada e protege sua rede contra esse ataque.
Cada base de regras pode ter várias regras — você determina a sequência em que as regras são aplicadas ao tráfego de rede, colocando-as na ordem desejada. Cada base de regras no sistema IDP usa métodos de detecção específicos para identificar e prevenir ataques. O Junos OS oferece suporte a dois tipos de bases de regra — a base de regras do sistema de prevenção de intrusões (IPS) e a base de regras isenta.
Entendendo as regras da política de IDP
Cada instrução em uma política de detecção e prevenção de intrusões (IDP) é chamada de regra. As regras são criadas em bases de regras.
As bases de regras são um conjunto de regras que se combinam para definir uma política de IDP. As regras fornecem contexto aos mecanismos de detecção especificando qual parte do tráfego de rede o sistema IDP deve examinar para encontrar ataques. Quando uma regra é combinada, significa que um ataque foi detectado no tráfego da rede, desencadeando a ação para essa regra. O sistema IDP realiza a ação especificada e protege sua rede contra esse ataque.
As regras da política de IDP são compostas pelos seguintes componentes:
- Entendendo as condições de correspondência de regras do IDP
- Entender objetos de regra do IDP
- Entendendo as ações de regras do IDP
- Entendendo as ações IP de regra do IDP
- Entendendo as notificações de regras do IDP
Entendendo as condições de correspondência de regras do IDP
As condições de correspondência especificam o tipo de tráfego de rede que você deseja que o IDP monitore para ataques.
As condições de correspondência usam as seguintes características para especificar o tipo de tráfego de rede a ser monitorado:
From-zoneeto-zone— Todo tráfego flui de uma fonte para uma zona de destino. Você pode selecionar qualquer zona para a origem ou destino. Você também pode usar exceções de zona para especificar zonas exclusivas de e para cada dispositivo. Especifiqueanypara monitorar o tráfego de rede originário de e para qualquer zona. O valor padrão éany.Nota:Você pode especificar
source-addressesource-exceptendereços quandofrom-zoneforany. Da mesma forma, quandoto-zoneéany, você pode especificardestination-addressedestination-exceptendereços.Source IP address— Especifique o endereço IP de origem do qual o tráfego de rede se origina. Você pode especificaranypara monitorar o tráfego de rede originário de qualquer endereço IP. Você também pode especificarsource-exceptpara especificar todas as fontes, exceto os endereços especificados. O valor padrão éany.Destination IP address— Especifique o endereço IP de destino ao qual o tráfego de rede é enviado. Você pode definir isso paraanymonitorar o tráfego de rede enviado a qualquer endereço IP. Você também pode especificardestination-exceptpara especificar todos os destinos, exceto os endereços especificados. O valor padrão éany.-
Application— Especifique os protocolos de camada de aplicativo suportados pelo endereço IP de destino. Você pode especificaranypara todos os aplicativos ou especificar um aplicativo, por exemplojunos-bgp. Você pode especificardefaultpara o aplicativo configurado no objeto de ataque para que a regra corresponda ao padrão e detecte automaticamente as portas com os aplicativos implícitos nos objetos de ataque.
Entender objetos de regra do IDP
Objetos são entidades lógicas reutilizáveis que você pode aplicar às regras. Cada objeto que você cria é adicionado a um banco de dados para o tipo de objeto.
Você pode configurar os seguintes tipos de objetos para regras de IDP.
- Objetos de zona
- Objetos de endereço ou rede
- Objetos de aplicativo ou serviço
- Objetos de ataque
- Grupos de objetos de ataque
Objetos de zona
Uma zona ou zona de segurança é uma coleção de uma ou mais interfaces de rede. O IDP usa objetos de zona configurados no sistema base.
Objetos de endereço ou rede
Objetos de endereço representam componentes de sua rede, como máquinas de host, servidores e sub-redes. Você usa objetos de endereço nas regras da política de IDP para especificar os componentes de rede que deseja proteger.
Objetos de aplicativo ou serviço
Os objetos de serviço representam serviços de rede que usam protocolos de Camada de transporte, como TCP, UDP, RPC e ICMP. Você usa objetos de serviço em regras para especificar o serviço que um ataque usa para acessar sua rede. A Juniper Networks fornece objetos de serviço predefinidos, um banco de dados de objetos de serviço baseados em serviços padrão do setor. Se você precisar adicionar objetos de serviço que não estão incluídos nos objetos de serviço predefinidos, você pode criar objetos de serviço personalizados. O IDP oferece suporte aos seguintes tipos de objetos de serviço:
Any— permite que o IDP corresponda a todos os protocolos da Camada de Transporte.TCP— especifica uma porta TCP ou uma faixa de porta para combinar serviços de rede com portas TCP especificadas. Você pode especificarjunos-tcp-anypara combinar serviços para todas as portas TCP.UDP— especifica uma porta UDP ou uma faixa de porta para combinar serviços de rede com portas UDP especificadas. Você pode especificarjunos-udp-anypara combinar serviços para todas as portas UDP.RPC— especifica um número de programa de chamada de procedimento remoto (RPC da Sun Microsystems) ou uma faixa de número de programa. O IDP usa essas informações para identificar sessões de RPC.ICMP— especifica um tipo e um código que faz parte de um pacote ICMP. Você pode especificarjunos-icmp-allpara combinar com todos os serviços de ICMP.default— permite que o IDP corresponda ao padrão e detecte protocolos automaticamente aos aplicativos implícitos nos objetos de ataque.
Objetos de ataque
Os objetos de ataque IDP representam ataques conhecidos e desconhecidos. O IDP inclui um banco de dados de objetos de ataque predefinido que é atualizado periodicamente pela Juniper Networks. Objetos de ataque são especificados em regras para identificar atividades maliciosas. Cada ataque é definido como um objeto de ataque, o que representa um padrão de ataque conhecido. Sempre que esse padrão de ataque conhecido é encontrado no tráfego de rede monitorado, o objeto de ataque é combinado. Os três tipos principais de objetos de ataque são descritos na Tabela 1:
Objetos de ataque |
Descrição |
|---|---|
Objetos de ataque de assinatura |
Objetos de ataque assinatura detectam ataques conhecidos usando assinaturas de ataque stateful. Uma assinatura de ataque é um padrão que sempre existe dentro de um ataque; se o ataque estiver presente, a assinatura do ataque também está. Com assinaturas stateful, o IDP pode procurar o protocolo ou serviço específico usado para perpetrar o ataque, a direção e o fluxo do ataque, e o contexto em que o ataque ocorre. Assinaturas stateful produzem poucos falsos positivos porque o contexto do ataque é definido, eliminando enormes seções de tráfego de rede em que o ataque não ocorreria. |
Objetos de ataque de anomalias de protocolo |
Objetos de ataque de anomalias de protocolo identificam atividade incomum na rede. Eles detectam mensagens anormais ou ambíguas dentro de uma conexão de acordo com o conjunto de regras para o protocolo em particular que está sendo usado. A detecção de anomalias de protocolo funciona encontrando desvios dos padrões de protocolo, mais frequentemente definidos por RFCs e extensões RFC comuns. A maioria do tráfego legítimo adere aos protocolos estabelecidos. O tráfego que não produz, produz uma anomalia, que pode ser criada por invasores para fins específicos, como evitar um sistema de prevenção contra invasões (IPS). |
Objetos de ataque compostos |
Um objeto de ataque composto combina várias assinaturas e/ou anomalias de protocolo em um único objeto. O tráfego deve combinar todas as assinaturas combinadas e/ou anomalias de protocolo para combinar com o objeto de ataque composto; você pode especificar a ordem em que assinaturas ou anomalias devem combinar. Use objetos de ataque composto para refinar suas regras de política de IDP, reduzir falsos positivos e aumentar a precisão da detecção. Um objeto de ataque composto permite que você seja muito específico sobre os eventos que precisam ocorrer antes que o IDP identifique o tráfego como um ataque. Você pode usar |
Grupos de objetos de ataque
O IDP contém um grande número de objetos de ataque predefinidos. Para ajudar a manter as políticas de IDP organizadas e gerenciáveis, objetos de ataque podem ser agrupados. Um grupo de objetos de ataque pode conter um ou mais objetos de ataque de diferentes tipos. O Junos OS oferece suporte aos seguintes três tipos de grupos de ataque:
Grupos predefinidos de objetos de ataque — contêm objetos presentes no banco de dados de assinatura. Os grupos de objetos de ataque predefinidos são dinâmicos de natureza. Por exemplo, FTP: Grupo menor seleciona todos os ataques de aplicativo- FTP e gravidade- Menor. Se um novo ataque FTP de gravidade menor for introduzido no banco de dados de segurança, ele será adicionado ao FTP: grupo menor por padrão.
Grupos de ataque dinâmicos — contêm objetos de ataque com base em determinados critérios de correspondência. Por exemplo, um grupo dinâmico pode conter todos os ataques relacionados a um aplicativo. Durante a atualização da assinatura, a assinatura dinâmica do grupo é atualizada automaticamente com base nos critérios de correspondência para esse grupo.
Para um grupo de ataque dinâmico que usa o filtro de direção, a expressão deve ser usada nos valores de exclusão
and. Como acontece com todos os filtros, a expressão padrão éor. No entanto, há uma opção deandno caso do filtro de direção.Por exemplo, se você quiser escolher todos os ataques com a direção cliente-servidor, configure o filtro de direção usando
set security idp dynamic-attack-group dyn1 filters direction values client-to-servercomandoNo caso de ataques em cadeia, cada um dos vários membros tem sua própria direção. Se uma política incluir ataques em cadeia, um filtro de cliente para servidor seleciona todos os ataques em cadeia que tenham qualquer membro com o cliente até o servidor como direção. Isso significa ataques em cadeia que incluem membros com servidor para cliente ou ANY conforme a direção é selecionada se a cadeia tiver pelo menos um membro com o cliente-para-servidor como direção.
Você pode ver os objetos de ataque que estão presentes em um determinado grupo de objetos de ataque (grupos de ataque predefinidos, dinâmicos e personalizados) e o grupo ao qual um objeto de ataque predefinido pertence usando os seguintes comandos:
show security idp attack attack-list attack-group group-nameshow security idp attack group-list attack-name
Use o
show security idp attack attack-list attack-group group-namecomando para:Veja a lista de todos os ataques presentes no grupo de ataque especificado, como grupos personalizados, dinâmicos e predefinidos.
Especifique os nomes do grupo, como < nome de grupo predefinido> ou nome dinâmico de grupo <dinâmico> ou nome de grupo personalizado <custom-grupo> para exibir a lista de ataques nesse grupo.
Use o
show security idp attack group-listcomando para ver a lista de grupos de ataque aos quais o ataque predefinido pertence.Nota:No caso de grupos de ataque predefinidos que não tenham um filtro definido, tais grupos não são exibidos como membros para um ataque.
Use o
show security idp attack attack-list policy policy-namecomando para visualizar os ataques disponíveis em uma política de IDP configurada. Se uma política de IDP estiver configurada para conter um ataque específico pertencente a vários grupos de ataque, então os nomes de ataque redundantes serão exibidos como parte do ataque em uma saída de comando de política IDP.Anteriormente, as atualizações de assinatura de IDP suportavam apenas nove tags sob filtros. As sete tags são categoria, direção, falsos positivos, desempenho, produto, recomendado, serviço, gravidade e fornecedor. As atualizações de assinatura IDP agora oferecem suporte a quatro novas etiquetas adicionais sob filtros para criar grupos dinâmicos mais sofisticados, além das nove tags existentes.
As etiquetas adicionais são:
Sistema comum de pontuação de vulnerabilidades (CVSS) (medido em termos de números numéricos entre 0 a 10. O valor é um número real, incluindo valores decimais. Assim, o valor do número, como 5,5, também é uma pontuação CVSS válida.)
Idade de ataque (em termos de anos e a raiva entre (0 a 100 anos). Por exemplo: maior do que ou menor do que no prazo de anos)
Tipo de arquivo (por exemplo: MPEG, MP4, PPT, *.doc etc)
Tipo de vulnerabilidade (por exemplo: estouro de buffer, injeção, uso após gratuito, scripts entre sites (XSS), execução remota de código (RCE) e assim por diante.
Além disso, a interface CLI para configurar as tags existentes de Produto e Fornecedor é tornada mais fácil de usar, com possíveis conclusões disponíveis para configuração.
Fornecedor (por exemplo: Microsoft, Apple, Red Hat, Google, Juniper, Cisco, Oracle etc.)
Produto (por exemplo: Office, Database, Firefox, Chrome, Flash, DirectX, Java, Kerberos etc.)
Para evitar que esses ataques em cadeia sejam adicionados à política, configure o grupo dinâmico da seguinte forma:
set security idp dynamic-attack-group dyn1 filters direction expression andset security idp dynamic-attack-group dyn1 filters direction values client-to-serverset security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-clientset security idp dynamic-attack-group dyn1 filters direction values exclude-any
Grupos de ataque personalizados — contêm grupos de ataque definidos pelo cliente e podem ser configurados através da CLI. Eles podem conter ataques predefinidos específicos, ataques personalizados, grupos de ataque predefinidos ou grupos de ataque dinâmicos. Eles são de natureza estática, porque os ataques são especificados no grupo. Portanto, os grupos de ataque não mudam quando o banco de dados de segurança é atualizado.
Iniciando a versão Junos 21.2R3, você pode ver a Política IPS em ataques predefinidos e grupos de ataque sob a regra IPS/Isenta em modos de locatário e sistema lógico. Use os comandos show security idp attack attack-group-entriesshow security idp attack attack-liste show security idp attack group-list veja as políticas de IPS em modos lógicos de sistema e locatário.
Entendendo as ações de regras do IDP
Actions especifique as ações que deseja que o IDP tome quando o tráfego monitorado corresponde aos objetos de ataque especificados nas regras.
A Tabela 2 mostra as ações que você pode especificar para as regras do IDP:
Prazo |
Definição |
|---|---|
No Action |
Nenhuma ação foi tomada. Use esta ação quando quiser apenas gerar logs para algum tráfego. |
Ignore Connection |
Para de digitalizar o tráfego para o resto da conexão se uma correspondência de ataque for encontrada. O IDP desativa a base de regras para a conexão específica.
Nota:
Essa ação não significa ignorar um ataque. |
Diffserv Marking |
Atribui o valor indicado do ponto de código de serviços diferenciados (DSCP) ao pacote em um ataque e depois passa o pacote normalmente. Observe que o valor do DSCP não é aplicado ao primeiro pacote que é detectado como um ataque, mas é aplicado a pacotes subsequentes. |
Drop Packet |
Derruba um pacote correspondente antes que ele possa chegar ao seu destino, mas não fecha a conexão. Use essa ação para soltar pacotes para ataques no tráfego que são propensos a spoofing, como tráfego UDP. Deixar cair uma conexão para esse tráfego pode resultar em uma negação de serviço que impede que você receba tráfego de um endereço IP de origem legítimo.
Nota:
Quando uma política de IDP é configurada usando um contexto não-pacote definido em uma assinatura personalizada para qualquer aplicativo e tem o pacote de queda de ação, quando o IDP identifica um ataque, o decodificador promoverá drop_packet para drop_connection. Com um ataque de protocolo de DNS, este não é o caso. O decodificador DNS não promoverá drop_packet para drop_connection quando um ataque for identificado. Isso garantirá que apenas o tráfego de ataque DNS será descartado e as solicitações de DNS válidas continuarão a ser processadas. Isso também evitará a retransmissão de TCP para as solicitações de DNS TCP válidas. |
Drop Connection |
Derruba todos os pacotes associados à conexão, impedindo que o tráfego para a conexão chegue ao seu destino. Use essa ação para soltar conexões para tráfego que não são propensas a spoofing. |
Close Client |
Fecha a conexão e envia um pacote RST para o cliente, mas não para o servidor. |
Close Server |
Fecha a conexão e envia um pacote RST para o servidor, mas não para o cliente. |
Close Client and Server |
Fecha a conexão e envia um pacote RST para o cliente e para o servidor. |
Recommended |
Todos os objetos de ataque predefinidos têm uma ação padrão associada a eles. Esta é a ação que a Juniper Networks recomenda quando esse ataque é detectado.
Nota:
Essa ação é suportada apenas para bases de regras IPS. Recomendado — Uma lista de todos os objetos de ataque que a Juniper Networks considera ameaças graves, organizadas em categorias.
|
Entendendo as ações IP de regra do IDP
Ações de IP são ações que se aplicam em conexões futuras que usam os mesmos atributos de ação IP. Por exemplo, você pode configurar uma ação ip na regra para bloquear todas as sessões HTTP futuras entre dois hosts se um ataque for detectado em uma sessão entre os hosts. Ou você pode especificar um valor de tempo limite que define que a ação só deve ser aplicada se novas sessões forem iniciadas dentro desse valor de tempo limite especificado. O valor de tempo limite padrão para ações de IP é 0, o que significa que as ações de IP nunca são cronometradas.
Ações de IP são semelhantes a outras ações; direcionam o IDP para derrubar ou fechar a conexão. No entanto, como agora você também tem o endereço IP do invasor, você pode optar por bloquear o invasor por um tempo especificado. Se os invasores não conseguirem recuperar imediatamente uma conexão com sua rede, eles podem tentar atacar alvos mais fáceis. Use ações de IP em conjunto com ações e registro para proteger sua rede.
Os atributos de ação IP são uma combinação dos seguintes campos:
Endereço IP de origem
Endereço IP de destino
Porta de destino
Da zona
Protocolo
A Tabela 3 resume os tipos de ações IP apoiadas pelas regras do IDP:
Prazo |
Definição |
|---|---|
Notify |
Não toma nenhuma ação contra tráfego futuro, mas registra o evento. Esse é o padrão. |
Drop/Block Session |
Todos os pacotes de qualquer sessão que correspondam à regra de ação ip são descartados silenciosamente. |
Close Session |
Quaisquer novas sessões que correspondam a essa regra de ação de IP são fechadas enviando pacotes RST para o cliente e o servidor. |
Quando o tráfego corresponde a várias regras, a ação IP mais severa de todas as regras combinadas é aplicada. A ação de IP mais severa é a ação Close Session, a próxima gravidade é a ação de Sessão de Quedas/Blocos e, em seguida, a ação Notificar.
Após melhorias no ponto central, o sistema tem as seguintes limitações:
O número máximo de modo
ip-actionativo para cada SPU é limitado a 600000 entradas. Quando esse limite é atingido, você não pode criar uma nova entrada de modoip-actionativo na SPU.O número máximo de todos os modos (modo ativo e modo passivo)
ip-actionpara cada SPU é limitado a 120000 entradas. Quando esse limite é atingido, você não pode criar uma nova entrada de modoip-actionativo na SPU.Quando você executa o
clear ip-actioncomando, asip-actionentradas são excluídas por meio de mensagens em anel. Quando o uso da CPU é alto, as mensagens de anel excluídas são descartadas e ressentidas pelo modoip-actionativo. Como o processo de exclusão leva tempo, você pode ver poucasip-actionentradas quando executa oshow ip-actioncomando.
Em dispositivos onde os aprimoramentos dos pontos centrais não são feitos, existe apenas o modo ip-action ativo e o número máximo ip-action é limitado a 600000. Quando esse limite é atingido, você não pode criar uma nova entrada de modo ip-action ativo.
Entendendo as notificações de regras do IDP
A notificação define como as informações devem ser registradas quando uma ação é realizada. Quando os ataques são detectados, você pode optar por registrar um ataque e criar registros de log com informações de ataque e enviar essas informações para o servidor de log.
Ao usar notificações, você também pode configurar as seguintes opções que instruem o servidor de log a realizar ações específicas em logs gerados para cada regra:
Set Alerts— Especifique uma opção de alerta para uma regra na política de IDP. Quando a regra é combinada, o registro de log correspondente exibe um alerta na coluna de alerta do Log Viewer. Os administradores de segurança usam alertas para tomar conhecimento e reagir a eventos importantes de segurança.Set Severity Level— Definir níveis de gravidade no registro para oferecer suporte a uma melhor organização e apresentação de registros de log no servidor de log. Você pode usar as configurações de gravidade padrão dos objetos de ataque selecionados ou escolher uma gravidade específica para a sua regra. A gravidade que você configura nas regras substitui a gravidade do ataque herdado. Você pode definir o nível de gravidade para os seguintes níveis:Informações — 2
Aviso — 3
Menor — 4
Maior — 5
Crítico — 7
Exemplo: inserir uma regra na base de regras do IDP
Este exemplo mostra como inserir uma regra na base de regras do IDP.
Requisitos
Antes de começar:
Configure interfaces de rede.
Definir regras em uma base de regras. Veja exemplo: definindo regras para uma base de regras IDP IPS.
Visão geral
O algoritmo de correspondência de regras do IDP começa do topo da base de regras e verifica o tráfego contra todas as regras na base de regras que correspondem às condições de correspondência especificadas. Você determina a sequência em que as regras são aplicadas ao tráfego de rede, colocando-as na ordem desejada. Quando você adiciona uma regra à base de regras, ela é colocada no final da lista de regras existente. Para colocar uma regra em qualquer outro local que não seja no final da base de regras, você insert é a regra no local desejado na base de regras. Este exemplo coloca a regra R2 antes da regra R1 na base de regras de IDP IPS em uma política chamada política base.
Configuração
Procedimento
Procedimento passo a passo
Para inserir uma regra na base de regras:
Defina a posição da regra na base de regras com base na ordem em que você deseja que a regra seja avaliada.
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security idp status comando.
Exemplo: desativar e ativar regras em uma base de regras de IDP
Este exemplo mostra como desativar e ativar uma regra em uma base de regras.
Requisitos
Antes de começar:
Configure interfaces de rede.
Definir regras em uma base de regras. Veja exemplo: definindo regras para uma base de regras IDP IPS.
Visão geral
Em uma base de regras, você pode desabilitar e habilitar regras usando o e activate os deactivate comandos. O deactivate comando comenta a declaração especificada da configuração. As regras que foram desativadas não surtiram efeito quando você emite o commit comando. O activate comando adiciona a declaração especificada de volta à configuração. As regras que foram ativadas fazem efeito quando você emitir o comando em commit seguida. Este exemplo mostra como desativar e reativar a regra R2 em uma base de regras IDP IPS associada a uma política chamada política base.
Configuração
Procedimento
Procedimento passo a passo
Desativar e ativar uma regra em uma base de regras:
Especifique a regra que deseja desativar.
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
Ativar a regra.
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security idp status comando.
Entendendo as bases de regras de DDoS no nível de aplicativo IDP
A base de regras de DDoS no nível de aplicativo define parâmetros usados para proteger servidores, como DNS ou HTTP, contra ataques de negação de serviço distribuídos (DDoS) no nível de aplicativo. Você pode configurar métricas personalizadas de aplicativos com base em solicitações normais de atividade do servidor para determinar quando os clientes devem ser considerados um cliente de ataque. A base de regras de DDoS no nível de aplicativo é então usada para definir a condição de correspondência de origem para o tráfego que deve ser monitorado e então toma a ação definida: feche servidor, conexão de queda, pacote de quedas ou nenhuma ação. Ele também pode realizar uma ação ip: bloco ip, ip-close, ip-notify, limite de taxa de conexão ip ou tempo limite. A Tabela 4 resume as opções que você pode configurar nas regras da base de regras de DDoS no nível de aplicativo.
Prazo |
Definição |
|---|---|
Match condition |
Especifique o tráfego de rede que você deseja que o dispositivo monitore para ataques. |
Action |
Especifique as ações que deseja que a detecção e a prevenção de intrusões (IDP) tomem quando o tráfego monitorado corresponde aos objetos de ddos de aplicativo especificados na regra DDoS no nível do aplicativo. |
IP Action |
Permite que você bloqueie implicitamente um endereço de origem para proteger a rede contra invasões futuras e, ao mesmo tempo, permitir o tráfego legítimo. Você pode configurar uma das seguintes opções de ação IP em DDoS no nível do aplicativo: bloco ip, ip-close, ip-notify e limite de taxa de conexão ip. |
Entendendo as bases de regras IDP IPS
A base de regras do sistema de prevenção contra invasões (IPS) protege sua rede contra ataques usando objetos de ataque para detectar ataques conhecidos e desconhecidos. Ele detecta ataques baseados em anomalias de assinatura e protocolo stateful. A Tabela 5 resume as opções que você pode configurar nas regras da base de regras de IPS.
Prazo |
Definição |
|---|---|
Match condition |
Especifique o tipo de tráfego de rede que você deseja que o dispositivo monitore para ataques. Para obter mais informações sobre condições de correspondência, consulte Entenda as regras de política do IDP. |
Attack objects/groups |
Especifique os ataques que deseja que o dispositivo corresponda no tráfego de rede monitorado. Cada ataque é definido como um objeto de ataque, o que representa um padrão de ataque conhecido. Para obter mais informações sobre objetos de ataque, consulte Entendendo as regras de política do IDP. |
Terminal flag |
Especifique uma regra terminal. O dispositivo impede a correspondência de regras para uma sessão quando uma regra terminal é combinada. Para obter mais informações sobre regras de terminal, consulte Entenda as regras do terminal IDP . |
Action |
Especifique a ação que deseja que o sistema tome quando o tráfego monitorado corresponde aos objetos de ataque especificados nas regras. Se um ataque desencadeia várias ações de regras, então a ação mais severa entre essas regras é executada. Para obter mais informações sobre ações, veja Entender as regras de política do IDP. |
IP Action |
Permite que você proteja a rede contra invasões futuras ao mesmo tempo em que permite o tráfego legítimo. Você pode configurar uma das seguintes opções de ação de IP na base de regras IPS — notificar, soltar ou fechar. Para obter mais informações sobre ações IP, consulte Entenda as regras da política do IDP. |
Notification |
Define como as informações devem ser registradas quando a ação é realizada. Você pode optar por registrar um ataque, criar registros de log com as informações de ataque e enviar informações para o servidor de log. Para obter mais informações, veja Entender as regras de política do IDP. |
Exemplo: definir regras para uma base de regras IDP IPS
Este exemplo mostra como definir regras para uma base de regras IDP IPS.
Requisitos
Antes de começar:
Configure interfaces de rede.
Crie zonas de segurança. Veja exemplo: criação de zonas de segurança.
Para usar a política personalizada de IDP com ataques pré-definidos, você precisa ter o banco de dados de Assinatura baixado no dispositivo.
Para obter mais detalhes, veja Exemplo: atualizando manualmente o banco de dados de assinaturaS IDP.
Visão geral
Cada regra é composta por condições de correspondência, objetos, ações e notificações. Quando você define uma regra de IDP, você deve especificar o tipo de tráfego de rede que deseja que o IDP monitore para ataques usando as seguintes características — zona de origem, zona de destino, endereço IP de origem, endereço IP de destino e o protocolo de Camada de Aplicativo suportado pelo endereço IP de destino. As regras são definidas em bases de regras, e as bases de regras estão associadas a políticas.
Este exemplo descreve como criar uma política chamada política de base, especificar uma base de regras para esta política e, em seguida, adicionar a regra R1 a essa base de regras. Neste exemplo, regra R1:
Especifica a condição de correspondência para incluir qualquer tráfego de uma zona configurada anteriormente chamada trust para outra zona previamente configurada chamada untrust. A condição da partida também inclui um grupo de ataque predefinido Critical - TELNET. A configuração do aplicativo na condição de correspondência é default e corresponde a qualquer aplicativo configurado no objeto de ataque.
Especifica uma ação para soltar a conexão para qualquer tráfego que corresponda aos critérios da regra R1.
Permite o registro de ataques e especifica que uma bandeira de alerta é adicionada ao log de ataque.
Especifica um nível de gravidade como critical.
Após a definição da regra, você especifica a política de base como a política ativa no dispositivo.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia e, em seguida, entre no [edit] commit modo de configuração.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para definir regras para uma base de regras IDP IPS:
Crie uma política atribuindo um nome significativo a ela.
[edit] user@host# edit security idp idp-policy base-policy
Associar uma base de regras à política.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
Adicione regras à base de regras.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
Definir os critérios de correspondência para a regra.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
Definir um ataque como critério de correspondência.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
Especifique uma ação para a regra.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
Especifique as opções de notificação e registro para a regra.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
Definir o nível de gravidade para a regra.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
Ativar a política.
[edit] user@host# set security idp active-policy base-policy
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security idp comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups Critical-TELNET;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy base-policy;
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute esta tarefa:
Entendendo as bases de regras isentas de IDP
A base de regras isenta funciona em conjunto com a base de regras do sistema de prevenção de intrusões (IPS) para evitar que alarmes desnecessários sejam gerados. Você configura regras nesta base de regras para excluir falsos positivos conhecidos ou excluir uma fonte, destino ou par de origem/destino específicos de corresponder a uma regra IPS. Se o tráfego corresponder a uma regra na base de regras IPS, o sistema tenta combinar o tráfego com a base de regras isenta antes de realizar a ação especificada. Regras cuidadosamente escritas em uma base de regras isentas podem reduzir significativamente o número de falsos positivos gerados por uma base de regras IPS.
Configure uma base de regras isenta nas seguintes condições:
Quando uma regra de IDP usa um grupo de objetos de ataque que contém um ou mais objetos de ataque que produzem falsos positivos ou registros de log irrelevantes.
Quando você deseja excluir um par específico de origem, destino ou origem/destino de combinar com uma regra de IDP. Isso impede que o IDP gere alarmes desnecessários.
Certifique-se de configurar a base de regras IPS antes de configurar a base de regras isenta.
A Tabela 6 resume as opções que você pode configurar nas regras da base de regras isentas.
Prazo |
Definição |
|---|---|
Match condition |
Especifique o tipo de tráfego de rede que você deseja que o dispositivo monitore para ataques da mesma forma que na base de regras IPS. No entanto, na base de regras isentas, você não pode configurar um aplicativo; está sempre definido para |
Attack objects/groups |
Especifique os objetos de ataque que você not deseja que o dispositivo corresponda no tráfego de rede monitorado. |
Exemplo: definir regras para uma base de regras isenta de IDP
Este exemplo mostra como definir regras para uma base de regras IDP isenta.
Requisitos
Antes de começar, crie regras na base de regras IDP IPS. Veja exemplo: definindo regras para uma base de regras IDP IPS.
Visão geral
Ao criar uma regra isenta, você deve especificar o seguinte:
Fonte e destino para tráfego que você deseja isentar. Você pode definir a origem ou destino para
Anyisentar o tráfego de rede originário de qualquer fonte ou enviado para qualquer destino. Você também pode definirsource-exceptoudestination-exceptespecificar todas as fontes ou destinos, exceto os endereços de origem ou destino especificados.Nota:Agora você pode especificar
source-addressesource-exceptendereços quandofrom-zoneforany. Da mesma forma, quandoto-zoneéany, você pode especificardestination-addressedestination-exceptendereços.Os ataques que você deseja que o IDP isente para os endereços de origem/destino especificados. Você deve incluir pelo menos um objeto de ataque em uma regra isenta.
Este exemplo mostra que a política de IDP gera falsos positivos para o ataque FTP:USER:ROOT em uma rede interna. Você configura a regra para isentar a detecção de ataques para este ataque quando o IP de origem é de sua rede interna.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia e, em seguida, entre no [edit] commit modo de configuração.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para definir regras para uma base de regras IDP isenta:
Especifique a base de regras IDP IPS para a qual você deseja definir e isentar a base de regras.
[edit] user@host# edit security idp idp-policy base-policy
Associe a base de regras isenta com a política e as zonas e adicione uma regra à base de regras.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
Especifique os endereços de origem e destino para a base de regras.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
Especifique os ataques que deseja isentar da detecção de ataques.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
Ativar a política.
[edit] user@host# set security idp active-policy base-policy
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security idp comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-exempt {
rule R1 {
match {
from-zone trust;
source-address internal-devices;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
}
}
active-policy base-policy;
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute esta tarefa:
Entendendo as regras do terminal IDP
O algoritmo de detecção e prevenção de invasões (IDP) de correspondência de regras começa do topo da base de regras e verifica o tráfego contra todas as regras na base de regras que correspondem à origem, destino e serviço. No entanto, você pode configurar uma regra para ser terminal. Uma regra terminal é uma exceção a este algoritmo. Quando uma correspondência é descoberta em uma regra terminal para a origem, destino, zonas e aplicativo, o IDP não continua a verificar as regras subsequentes para a mesma origem, destino e aplicativo. Não importa se o tráfego corresponde ou não aos objetos de ataque na regra de correspondência.
Você pode usar uma regra terminal para as seguintes finalidades:
Definir ações diferentes para diferentes ataques para a mesma Fonte e Destino.
Ignorar o tráfego que se origina de uma fonte confiável conhecida. Normalmente, a ação é
Nonepara esse tipo de regra terminal.Ignorar o tráfego enviado a um servidor que é vulnerável apenas a um conjunto específico de ataques. Normalmente, a ação é
Drop Connectionpara esse tipo de regra terminal.
Tenha cuidado ao definir regras de terminal. Uma regra terminal inadequada pode deixar sua rede aberta a ataques. Lembre-se que o tráfego correspondente à origem, destino e aplicação de uma regra terminal não é comparado com as regras subsequentes, mesmo que o tráfego não corresponda a um objeto de ataque na regra terminal. Use uma regra terminal somente quando quiser examinar um determinado tipo de tráfego para um conjunto específico de objetos de ataque. Tenha cuidado especialmente com as regras terminais que usam any tanto para a origem quanto para o destino. As regras de terminal devem aparecer perto do topo da base de regras antes de outras regras que correspondam ao mesmo tráfego.
Exemplo: definir regras de terminal em bases de regras
Este exemplo mostra como configurar regras terminais.
Requisitos
Antes de começar:
Configure interfaces de rede.
Habilite serviços de aplicativos IDP em uma política de segurança.
Crie zonas de segurança. Veja exemplo: criação de zonas de segurança.
Definir regras. Veja exemplo: insira uma regra na base de regras do IDP .
Visão geral
Por padrão, as regras na base de regras do IDP não são terminais, o que significa que o IDP examina todas as regras da base de regras e executa todas as partidas. Você pode especificar que uma regra é terminal; ou seja, se o IDP encontrar uma correspondência para a origem, destino e serviço especificados em uma regra terminal, ele não examinará nenhuma regra subseqüente para essa conexão.
Este exemplo mostra como configurar regras terminais. Você define a regra R2 para encerrar o algoritmo de correspondência se o IP de origem do tráfego se originar de uma rede confiável conhecida em sua empresa. Se essa regra for compatível, o IDP ignora o tráfego da rede confiável e não monitora a sessão para obter dados maliciosos.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia e, em seguida, entre no [edit] commit modo de configuração.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, vejaUsando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar regras de terminal:
Crie uma política de IDP.
[edit] user@host# set security idp idp-policy base-policy
Defina uma regra e defina seus critérios de correspondência.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
Definir a bandeira terminal para a regra.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
Especifique os ataques que deseja isentar da detecção de ataques.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
Especifique uma ação para a regra.
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security idp comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R2 {
match {
source-address internal;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
recommended;
}
}
terminal;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Entendendo as regras do DSCP em políticas de IDP
O ponto de código de serviços diferenciados (DSCP) é um valor inteiro codificado no campo de 6 bits definido em cabeçalhos de pacotes IP. Ele é usado para aplicar distinções de classe de serviço (CoS). A CoS permite que você substitua o comportamento padrão de encaminhamento de pacotes e atribua níveis de serviço a fluxos de tráfego específicos.
Você pode configurar o valor do DSCP como uma ação em uma regra de política de IDP. Primeiro, você define o tráfego definindo condições de correspondência na política de IDP e depois associa uma ação de marcação DiffServ a ela. Com base no valor do DSCP, os classificadores agregados de comportamento definem a classe de encaminhamento e a prioridade de perda para o tráfego que decide o tratamento de encaminhamento que o tráfego recebe.
Todos os pacotes compatíveis com a regra da política de IDP têm o campo CoS em seu cabeçalho IP reescrito com o valor de DSCP especificado na política de correspondência. Se o tráfego combinar várias regras com valores DSCP diferentes, a primeira regra de IDP que corresponde entra em vigor e essa regra de IDP então se aplica a todo o tráfego para essa sessão.
Exemplo: configuração das regras do DSCP em uma política de IDP
Este exemplo mostra como configurar os valores de DSCP em uma política de IDP.
Requisitos
Antes de começar:
Configure interfaces de rede
Habilite serviços de aplicativos IDP em uma política de segurança
Crie zonas de segurança
Definir regras
Visão geral
A configuração dos valores de DSCP nas políticas de IDP fornece um método de associação de valores de CoS — portanto, diferentes níveis de confiabilidade — para diferentes tipos de tráfego na rede.
Este exemplo mostra como criar uma política chamada política1, especificar uma base de regras para esta política e, em seguida, adicionar a regra R1 a essa base de regras. Neste exemplo, regra R1:
Especifica a condição de correspondência para incluir qualquer tráfego de uma zona configurada anteriormente chamada confiança para outra zona previamente configurada chamada de não confiável. A condição da partida também inclui um grupo de ataque predefinido chamado HTTP - Critical. A configuração do aplicativo na condição de correspondência é especificada como padrão e corresponde a qualquer aplicativo configurado no objeto de ataque.
Especifica uma ação para reescrever o campo CoS no cabeçalho de IP com o valor de DSCP 50 para qualquer tráfego que corresponda aos critérios da regra R1.
Nota:Use o comando
show security idp attack attack-list recursive predefined-group "HTTP - Critical"para ver os detalhes do que está incluído no grupo pré-definido "HTTP - Crítico".
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia e, em seguida, entre no [edit] commit modo de configuração.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar os valores de DSCP em uma política de IDP:
Crie uma política atribuindo um nome significativo a ela.
[edit] user@host# edit security idp idp-policy base-policy
Associar uma base de regras à política.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
Adicione regras à base de regras.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
Definir os critérios de correspondência para a regra.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
Especifique uma ação para a regra.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
Continue especificando quaisquer opções de notificação ou registro para a regra, se necessário.
Ativar a política.
[edit] user@host# set security idp active-policy base-policy
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security idp comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security idp
idp-policy base-policy{
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups HTTP-Critical;
}
}
then {
action {
mark-diffserv {
50;
}
}
}
}
}
active-policy base-policy;
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.