Configuração do sensor IDP
A Configuração do sensor IDP permite que os administradores definam configurações para otimizar o desempenho do IDP em dispositivos de segurança. Ele explica como limitar o uso de memória e sessão, controlar quedas de tráfego quando os recursos são excedidos e configurar o IDP Intelligent Bypass para gerenciar a alta utilização da CPU. Ele também abrange condições de manuseio durante failovers.
Não é possível criar assinaturas de aplicativos com o banco de dados de assinaturas IDP. No entanto, você pode definir as configurações do sensor para limitar as sessões e o uso de memória para a Identificação de Aplicativos (AppID).
Visão geral da configuração do sensor IDP
As opções de configuração do sensor são usadas para:
As condições de execução de log à medida que a capacidade da sessão IDP e os limites de memória são abordados.
Analise o tráfego descartado pelo IDP e a identificação de aplicativos quando os limites forem excedidos.
Você pode configurar a quantidade máxima de bytes de memória que podem ser usados para salvar pacotes para identificação de aplicativos para uma sessão TCP ou UDP. Você também pode configurar um limite para o uso global de memória para identificação de aplicativos. O AppID é desabilitado para uma sessão depois que o sistema atinge o limite de memória especificado para a sessão. No entanto, o IDP continua a corresponder aos padrões. O aplicativo correspondente é salvo em cache para que a próxima sessão possa usá-lo. Isso protege o sistema contra invasores que tentam ignorar o AppID enviando propositalmente grandes pacotes de cliente para servidor.
Embora não seja possível criar assinaturas de aplicativo com o banco de dados de assinatura IDP, você pode definir as seguintes configurações do sensor para limitar o número de sessões que executam a identificação do aplicativo e também para limitar o uso de memória para identificação do aplicativo:
max-tcp-session-packet-memory— Para configurar limites de memória e sessão para serviços IDP AppID, execute o set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 comando.
memory-limit-percent— Para definir a porcentagem de limite de memória para o plano de dados disponível no sistema, que pode ser usado para alocação de IDP, execute o set security idp sensor-configuration global memory-limit-percent comando. O valor percentual suportado é de 10 a 90.
drop-if-no-policy-loaded— Na inicialização, o tráfego é ignorado pelo IDP por padrão se a política de IDP ainda não estiver carregada. A
drop-if-no-policy-loadedopção altera esse comportamento para que todas as sessões sejam descartadas antes que a política de IDP seja carregada.O seguinte contador para a saída do comando analisa
show security idp counters flowo tráfego descartado devido àdrop-if-no-policy-loadedopção:Sessions dropped due to no policy 0
drop-on-failover— Por padrão, o IDP ignora as sessões de failover em uma implantação de cluster de chassi. A
drop-on-failoveropção altera esse comportamento e descarta automaticamente as sessões que estão em processo de inspeção no nó primário quando ocorre um failover para o nó secundário.O seguinte contador para a saída do comando analisa o
show security idp counters flowtráfego de failover descartado devido àdrop-on-failoveropção:Fail-over sessions dropped 0
drop-on-limit— Por padrão, as sessões não são descartadas se o limite de sessão do IDP ou os limites de recursos forem excedidos. Nesse caso, o IDP e outras sessões são descartados somente quando a capacidade ou os recursos da sessão do dispositivo se esgotam. A
drop-on-limitopção altera esse comportamento e descarta as sessões quando os limites de recursos são excedidos.Os seguintes contadores para a saída do comando analisam o
show security idp counters flowtráfego IDP descartado devido àdrop-on-limitopção:SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 SM Sessions dropped 0 Both directions flows ignored 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0
Os seguintes contadores para a saída do comando analisam o
show security idp counters application-identificationtráfego descartado do AppID devido àdrop-on-limitopção:AI-session dropped due to malloc failure before session create 0 AI-Sessions dropped due to malloc failure after create 0 AI-Packets received on sessions marked for drop due to malloc failure 0
As opções a seguir são usadas para disparar mensagens de log informativas sobre as condições de execução atuais. Quando definidas, as mensagens de log são acionadas independentemente de a
drop-on-limitopção estar definida ou não.max-sessions-offset— A
max-sessions-offsetopção define um deslocamento para o limite máximo de sessão do IDP. Quando o número de sessões IDP excede o limite máximo de sessão, um aviso é registrado de que existem condições em que as sessões IDP podem ser descartadas. Quando o número de sessões de IDP cai abaixo do limite máximo de sessão de IDP menos o valor de deslocamento, uma mensagem é registrada informando que as condições voltaram ao normal.Jul 19 04:38:13 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374233893, FPC 4 PIC 1 IDP total sessions pass through high mark 100000. IDP may drop new sessions. Total sessions dropped 0. Jul 19 04:38:21 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374233901, FPC 4 PIC 1 IDP total sessions drop below low mark 99000. IDP working in normal mode. Total sessions dropped 24373.
min-objcache-limit-lt— A
min-objcache-limit-ltopção define um limite inferior para a memória cache disponível. O valor limite é expresso como uma porcentagem da memória cache IDP disponível. Se a memória cache disponível cair abaixo do nível de limite inferior, uma mensagem será registrada informando que existem condições em que as sessões IDP podem ser descartadas devido a falhas de alocação de memória. Por exemplo, a mensagem a seguir mostra que a memória cache do IDP caiu abaixo do limite inferior e que várias sessões foram descartadas:Jul 19 04:07:33 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374232053, FPC 4 PIC 1 IDP total available objcache(used 4253368304, limit 7247757312) drops below low mark 3986266515. IDP may drop new sessions. Total sessions dropped 1002593.
min-objcache-limit-ut— A
min-objcache-limit-utopção define um limite superior para a memória cache disponível. O valor limite é expresso como uma porcentagem da memória cache IDP disponível. Se a memória cache IDP disponível retornar ao nível de limite superior, uma mensagem será registrada informando que a memória cache disponível voltou ao normal. Por exemplo, a mensagem a seguir mostra que a memória cache IDP disponível aumentou acima do limite superior e está funcionando normalmente:Jul 19 04:13:47 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374232428, FPC 4 PIC 1 IDP total available objcache(used 2782950560, limit 7247757312) increases above high mark 4348654380. IDP working in normal mode. Total sessions dropped 13424632.
A mensagem é disparada somente quando a memória disponível fica abaixo do limite inferior e, em seguida, ultrapassa o limite superior. Flutuações de memória acima do limite inferior não disparam a mensagem.
Na configuração padrão do IDP Intelligent Bypass, o IDP tenta inspecionar sessões novas e existentes, independentemente da utilização da CPU. Isso pode levar a pacotes descartados, latência e instabilidade em todo o sistema durante eventos de alta utilização da CPU. Para superar o comportamento imprevisível de processamento de pacotes IDP, você pode habilitar o recurso IDP Intelligent Bypass. Esse recurso oferece a flexibilidade de ignorar o IDP ou descartar os pacotes quando a utilização da CPU do sistema atingir um alto nível, também conhecido como "Falha aberta" (permitir pacotes) ou "Falha fechada" (descartar pacotes). Por padrão, o recurso IDP Intelligent Bypass não está ativado. As opções a seguir são usadas para configurar o recurso IDP Intelligent Bypass.
idp-bypass-cpu-usage-overload— Por padrão, o IDP pode consumir 100% da CPU disponível e pode começar a descartar pacotes para todas as sessões inadvertidamente. Para lidar com o comportamento de processamento de pacotes IDP quando a utilização da CPU do sistema atinge um valor de limite alto, você pode habilitar o recurso IDP Intelligent Bypass. Para ativar o recurso IDP Intelligent Bypass, emita o
set security idp sensor-configuration flow idp-bypass-cpu-overloadcomando. Por padrão, o recurso IDP Intelligent Bypass não está ativado.idp-bypass-cpu-threshold— o IDP para de inspecionar novas sessões quando a utilização da CPU atinge o valor limite definido. O valor de utilização da CPU do limite padrão é de 85%. Quando a utilização da CPU atinge o valor limite, o IDP continua ignorando novas sessões até que a utilização da CPU caia abaixo do valor limite inferior. Como alternativa, se você definir o , em que o
drop-on-limitIDP descarta uma nova sessão até que a utilização da CPU caia abaixo do valor limite inferior. Para configurar o valor limite, emitaset security idp sensor-configuration flow idp-bypass-cpu-thresholdo comando. Você pode definir um valor limite no intervalo de 0 a 99. Este valor-limite é expresso em percentagem.idp-bypass-cpu-tolerance— Para configurar o valor de tolerância, emita o
set security idp sensor-configuration flow idp-bypass-cpu-tolerancecomando. Você pode definir um valor de tolerância no intervalo de 1 a 99. O valor de tolerância padrão é 5. Esse valor de tolerância é expresso como uma porcentagem.
Você pode calcular os valores de limite superior e inferior da CPU usando as seguintes equações:
Valor do limite superior da CPU = limite da CPU + valor de tolerância da CPU.
Valor do limite inferior da CPU = limite da CPU - valor de tolerância da CPU.
alto
Quando a utilização da CPU do sistema excede o valor limite, o IDP para de inspecionar novas sessões, mas continua a inspecionar as sessões existentes. Nesse estado, se estiver definido, o drop-on-limit IDP começará a descartar novas sessões. As mensagens de log são acionadas para indicar que novas sessões foram descartadas. Por exemplo, a mensagem a seguir informa que a utilização da CPU do IDP ultrapassou o valor limite e o IDP pode descartar novas sessões:
FPC 0 PIC 1 IDP CPU usage 86 crossed threshold value 85. IDP may drop new sessions. Total sessions dropped 2
Quando a utilização da CPU do sistema excede o valor do limite superior, o IDP para de inspecionar os pacotes de sessões existentes e novas sessões. Nesse estado, nenhum pacote pode passar pela inspeção IDP. Se drop-on-limit estiver definido, o IDP descartará todas as sessões. As mensagens de log são acionadas para indicar que todas as sessões foram descartadas. Por exemplo, a mensagem a seguir indica que a utilização da CPU do IDP ultrapassou o valor do limite superior e o IDP para de inspecionar os pacotes das sessões existentes e das novas sessões:
FPC 0 PIC 1 IDP CPU usage 92 crossed upper threshold value 90. IDP may drop packets of existing sessions as well as new sessions. Total sessions dropped 21
Quando a utilização da CPU do sistema cai abaixo do valor limite inferior, o IDP inicia a inspeção de uma nova sessão e retorna ao modo normal. O IDP não inspecionará as sessões descartadas existentes. As mensagens de log são acionadas para indicar que o IDP começa a inspecionar uma nova sessão e retorna ao modo normal. Por exemplo, a mensagem a seguir indica que a utilização da CPU do IDP fica abaixo do valor limite inferior e o IDP retorna ao modo normal:
FPC 0 PIC 1 IDP CPU usage 75 dropped below lower threshold value 80. IDP working in normal mode. Total sessions dropped 25
Modos de proteção IDP
Os modos de proteção IDP ajustam os parâmetros de inspeção para uma inspeção eficiente do tráfego no dispositivo. Para ativar os modos de proteção do IDP, emita o security-configuration protection-mode mode comando no nível da [edit security idp sensor-configuration] hierarquia.
user@host#set security-configuration protection-mode mode
Existem quatro modos de proteção IDP:
Todos os modos de proteção IDP inspecionam o tráfego CTS (Client To Server).
Modo |
Descrição |
|---|---|
Perímetro completo |
Inspeciona todo o tráfego STC (Server To Client). Processa erros de TCP sem qualquer otimização. Este é o modo padrão. |
Perímetro |
Inspeciona todo o tráfego STC. Processa erros de TCP com otimização. Para pacotes TCP, se SYN for recebido em uma janela e tiver um sinalizador de erro TCP definido, processe o erro TCP e tome as medidas apropriadas. Descarte o pacote atual e ignore a inspeção em toda a sessão. |
Datacenter completo |
Desativa todas as inspeções de tráfego STC. Processa erros de TCP sem qualquer otimização. O Datacenter-Full pode ser usado em situações em que o dispositivo de segurança é responsável apenas por proteger servidores cujo tráfego de resposta não é considerado interessante para análise. O Datacenter-Full não deve ser usado nos casos em que o dispositivo de segurança é responsável por proteger os clientes. |
Data center |
Desativa todas as inspeções de tráfego STC. Processa erros de TCP com otimização. Para pacotes TCP, se SYN for recebido em uma janela e tiver um sinalizador de erro TCP definido, processe o erro TCP e tome as medidas apropriadas. Descarte o pacote atual e ignore a inspeção em toda a sessão. A configuração do datacenter é otimizada para fornecer proteção e desempenho equilibrados. |
Veja também
Exemplo: melhorar o registro em log e a análise de tráfego com opções de configuração do sensor IDP
Este exemplo mostra como melhorar o registro em log e a análise de tráfego configurando as opções de configuração do sensor IDP. Além disso, você pode usar essas opções para registrar condições de execução à medida que a capacidade da sessão do IDP e os limites de memória são abordados, e para analisar o tráfego descartado pelo IDP e pela identificação do aplicativo ao exceder essas limitações.
Requerimentos
Antes de começar:
Configure as interfaces de rede.
Baixe o banco de dados de assinaturas. Consulte Atualizando o Banco de Dados de Assinatura IDP Manualmente. As assinaturas de aplicativos estão disponíveis como parte do pacote de segurança fornecido pela Juniper Networks. Você baixa assinaturas de aplicativos predefinidas junto com as atualizações do pacote de segurança.
Visão geral
O sensor IDP monitora a rede e detecta tráfego de rede suspeito e anômalo com base em regras específicas definidas nas bases de regras do IDP. Ele aplica objetos de ataque ao tráfego com base em protocolos ou aplicativos. As assinaturas de aplicativos permitem que o sensor identifique aplicativos conhecidos e desconhecidos em execução em portas fora do padrão e aplique os objetos de ataque corretos.
O comportamento padrão do IDP é ignorar as sessões quando:
A política de IDP não está configurada no dispositivo
Os limites de recursos (memória ou sessões ativas) foram atingidos
No caso de cluster de chassi, para sessões de failover
Se a disponibilidade de tráfego for considerada mais importante do que a segurança, é recomendável continuar a usar o comportamento padrão do IDP mencionado acima. No entanto, se a segurança for considerada mais importante do que a disponibilidade, é recomendável alterar o comportamento padrão com a configuração fornecida neste exemplo.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 set security idp sensor-configuration flow drop-if-no-policy-loaded set security idp sensor-configuration flow drop-on-failover set security idp sensor-configuration flow drop-on-limit set security idp sensor-configuration flow max-sessions-offset 5 set security idp sensor-configuration flow min-objcache-limit-lt 21 set security idp sensor-configuration flow min-objcache-limit-ut 56
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.
Para definir as opções de configuração do sensor IDP:
Especifique os limites de memória para identificação do aplicativo.
[edit security idp sensor-configuration] user@host# set application-identification max-tcp-session-packet-memory 5000
Especifique que o tráfego será descartado antes que a política de IDP seja carregada.
[edit security idp sensor-configuration flow] user@host# set drop-if-no-policy-loaded
Especifique que as sessões de failover em uma implantação de cluster de chassi sejam descartadas.
[edit security idp sensor-configuration flow] user@host# set drop-on-failover
Especifique que as sessões serão descartadas quando os limites de recursos forem excedidos.
[edit security idp sensor-configuration flow] user@host# set drop-on-limit
Execute o
delete drop-on-limitcomando para evitar quedas de sessões quando os limites de recursos forem excedidos.Configure um valor de deslocamento para o limite máximo de sessão do IDP.
[edit ssecurity idp sensor-configuration flow] user@host# set max-sessions-offset 5
Defina um limite inferior para a memória cache disponível.
[edit security idp sensor-configuration flow] user@host# set min-objcache-limit-lt 21
Defina um limite superior para a memória cache disponível.
[edit security idp sensor-configuration flow] user@host# set min-objcache-limit-ut 56
Resultados
No modo de configuração, confirme sua configuração digitando o show security idp comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security idp
sensor-configuration {
application-identification {
max-tcp-session-packet-memory 5000;
}
flow {
drop-on-limit;
drop-on-failover;
drop-if-no-policy-loaded;
max-sessions-offset 5;
min-objcache-limit-lt 21;
min-objcache-limit-ut 56;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificar as definições de configuração do sensor IDP
Finalidade
Verifique as definições de configuração do sensor IDP.
Ação
Do modo operacional, insira o show security idp sensor-configuration comando.
user@host> show security idp sensor-configuration
application-identification {
max-tcp-session-packet-memory 5000;
}
flow {
drop-on-limit;
drop-on-failover;
drop-if-no-policy-loaded;
max-sessions-offset 5;
min-objcache-limit-lt 21;
min-objcache-limit-ut 56;
}
}
Significado
O show security idp sensor-configuration comando exibe todas as opções de configuração do sensor que são definidas com determinados valores.
Verificar contadores de IDP
Finalidade
Verifique os contadores do IDP.
Ação
Do modo operacional, insira o show security idp counters flow comando.
Saída de amostra
IDP counters: IDP counter type Value Fast-path packets 0 Slow-path packets 0 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 0 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 0 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 0 Policy init failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 0 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 0 SM Sessions not interested 749 SM Sessions interest error 0 Sessions destructed 0 SM Session Create 0 SM Packet Process 0 SM ftp data session ignored by idp 0 SM Session close 0 SM Client-to-server packets 0 SM Server-to-client packets 0 SM Client-to-server L7 bytes 0 SM Server-to-client L7 bytes 0 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Both directions flows ignored 0 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 AI-session dropped due to malloc failure before session create 0 AI-Sessions dropped due to malloc failure after create 0 AI-Packets received on sessions marked for drop due to malloc failure 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 0 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0
Significado
O show security idp counters flow comando exibe todos os contadores usados para analisar o tráfego de failover descartado, o tráfego de IDP descartado e o tráfego de identificação de aplicativo descartado.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.