Banco de dados de assinatura de IDP
O IDP baseado em assinatura monitora pacotes na rede e compara com padrões de ataque pré-configurados e predeterminados, conhecidos como assinaturas.
O gerenciamento do banco de dados de assinaturas do sistema de Detecção e Prevenção de Invasões (IDP) é crucial para manter uma segurança de rede robusta. Ao habilitar o download e a instalação de atualizações regulares, você garante que sua rede esteja protegida contra as ameaças mais recentes. Você pode configurar objetos e grupos de ataque personalizados para adaptar as medidas de segurança às suas necessidades específicas, aumentando a flexibilidade e a eficácia do sistema. A funcionalidade básica do IDP é habilitada por padrão sem exigir uma licença, mas para receber atualizações diárias, é necessária a instalação de uma chave de licença IDP signature-database-update. Isso garante proteção contínua, mantendo o banco de dados de ataques atualizado com vulnerabilidades emergentes. Para obter detalhes sobre a licença, consulte Chaves de licença do recurso do Junos OS.
Você pode executar as seguintes tarefas para gerenciar o banco de dados de assinatura IDP:
Atualize o banco de dados de assinaturas baixando as atualizações do banco de dados de ataque do site da Juniper Networks. Novos ataques surgem diariamente, portanto, mantenha seu banco de dados atualizado.
Verifique a versão do banco de dados de assinatura usando a CLI, pois cada versão tem um número exclusivo, sendo a mais recente a mais alta.
Atualize o mecanismo do detector de protocolo junto com o banco de dados de assinaturas. O detector de protocolo IDP inclui decodificadores de protocolo de Camada de aplicativo e atualizações com a política de IDP. É necessário para atualizações de política, mesmo que inalteradas.
Agende atualizações automáticas para o banco de dados de assinatura no dispositivo habilitado para IDP em intervalos definidos.
Benefícios do gerenciamento de banco de dados de assinatura IDP
-
Garante proteção atualizada contra ameaças emergentes, permitindo downloads regulares das atualizações de assinatura mais recentes.
-
Fornece flexibilidade na definição de parâmetros de segurança específicos, permitindo que você crie objetos e grupos de ataque personalizados para ambientes de rede individuais.
Pacote de assinatura IDP do Junos OS por meio de um servidor proxy explícito
Juniper Networks atualiza regularmente o banco de dados de ataque predefinido e o disponibiliza como um pacote de segurança no site da Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi. Esse banco de dados inclui grupos de objetos e objetos de ataque que podem ser usados em políticas de IDP para comparar o tráfego com ataques conhecidos.
Você precisa criar um perfil de proxy e usá-lo para baixar o pacote de assinatura IDP por meio de um servidor proxy explícito:
Configure um servidor proxy da Web em seu dispositivo para lidar com sessões HTTP(S) de saída e autenticação. Configure o perfil de proxy com os detalhes do host e da porta do servidor proxy.
user@host# set services proxy profile profile-name protocol http host x.x.x.x port xxxx
Opcionalmente, configure a autenticação de proxy no perfil de proxy. Ao definir um nome de usuário e uma senha, você pode garantir o acesso seguro a feeds e serviços externos.
[edit] user@host# set services proxy profile profile-name protocol http username <username> user@host# set services proxy profile profile-name protocol http password <password>
-
Aplique o perfil de proxy. O suporte do servidor proxy da Web do IDP depende da configuração do perfil de proxy no nível do sistema.
[edit] user@host# set security idp security-package proxy-profile proxy1
Quando um perfil de proxy é aplicado na [security idp security-package] hierarquia, o processo idpd se conecta ao host proxy em vez do servidor de download do pacote de assinaturas. Em seguida, o host proxy se comunica com o servidor de download e fornece a resposta de volta ao processo idpd. O processo idpd recebe uma notificação sempre que ocorrem alterações na [edit services proxy] hierarquia.
Após a conclusão da instalação do pacote de segurança, todos os objetos de ataque e grupos de ataque do IDP baixados e instalados estarão disponíveis para serem configurados em uma política ou políticas de IDP. Esses objetos de ataque e objeto de ataque são então utilizados nas regras de segurança na set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name hierarquia.
Você cria uma política e especifica a nova política como a política ativa. Você pode baixar apenas as atualizações que a Juniper Networks carregou recentemente e, em seguida, atualizar o banco de dados de ataques, a política em execução e o detector com essas atualizações.
Você pode desativar o servidor proxy para download de assinatura IDP usando o comando delete security idp security-package proxy-profile proxy-profile
Exemplo: Baixe o pacote de assinatura IDP do Junos OS por meio de um servidor proxy explícito
Neste exemplo, o firewall da Série SRX baixa e instala o pacote de segurança IDP, com a tabela completa de objetos de ataque e grupos de objetos de ataque que está disponível em um servidor externo, utilizando o perfil de proxy configurado.
- Visão geral
- Requerimentos
- Configuração rápida da CLI
- Verificação
- Verificar o download da assinatura do IDP por meio do servidor proxy
- Verificar o status de download da assinatura do IDP
Visão geral
Para baixar o pacote de assinatura IDP usando um servidor proxy, você precisa configurar o perfil proxy para conexões HTTP.
A Tabela 1 fornece os detalhes dos parâmetros usados neste exemplo.
| Parâmetro |
Nome |
|---|---|
| Nome do perfil |
test_idp_proxy1 |
| Endereço IP do servidor proxy |
10.255.255.254 |
| Número da porta do servidor proxy |
3128 |
Requerimentos
Este exemplo usa os seguintes componentes de hardware e software:
-
Este exemplo de configuração foi testado no firewall da Série SRX com o Junos OS versão 18.3R1 ou posterior.
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI na edit hierarquia e, em seguida, entre commit no modo de configuração.
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.255.255.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
Procedimento passo a passo
Para criar um perfil de proxy e fazer download do pacote de assinatura IDP por meio do servidor proxy:
-
Especifique o endereço IP do host proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.255.255.254 Especifique o número da porta usada pelo servidor proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128Especifique o perfil de proxy que deve ser referenciado para o download do pacote de segurança.
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
Comprometa a configuração.
[edit] user@host# commit
Mude para o modo operacional.
[edit] user@host# exit
Baixe o pacote de segurança IDP.
user@host> request security idp security-package download full-update
A opção de realizar um download e instalação de um pacote de assinatura IDP offline a partir do site da Juniper ainda está disponível. Para fazer download e instalar o pacote de assinatura do IDP offline, execute o
request security idp security-package offline-downloadcomando CLI. O processo de instalação permanece o mesmo para ambos os comandos de download.
Verificação
Verificar o download da assinatura do IDP por meio do servidor proxy
Finalidade
Exiba os detalhes do download do pacote de assinatura IDP por meio de um servidor proxy.
Ação
Do modo operacional, insira o comando para visualizar os detalhes do proxy específico do show security idp security-package proxy-profile IDP.
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.255.255.254 Port of proxy server :3128
Significado
Na saída, você pode encontrar os detalhes do perfil de proxy específico do IDP em Proxy Profile e Proxy Address campos.
Verificar o status de download da assinatura do IDP
Finalidade
Verifique o status de download do pacote de assinatura do IDP.
Ação
Verifique o status do download do pacote de segurança.
Do modo operacional, insira o request security idp security-package download status comando.
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
Significado
A saída exibe o status de download do pacote de assinatura IDP.
Exemplo: baixar e instalar os pacotes de Segurança IDP no modo de cluster de chassi
Este exemplo mostra como baixar e instalar o banco de dados de assinatura IDP em um dispositivo que opera no modo de cluster de chassi.
Requerimentos
Antes de começar, defina o ID do nó do cluster do chassi e o ID do cluster. Veja Exemplo: Definir o ID do nó e o ID do cluster para dispositivos de Segurança em um cluster de chassi .
Visão geral
Quando você baixa o pacote de segurança IDP em um dispositivo que opera no modo de cluster de chassi, o pacote de segurança é baixado para o nó primário e depois sincronizado com o nó secundário. Essa sincronização ajuda a manter a mesma versão do pacote de segurança no nó primário e no nó secundário. Consulte Banco de Dados de Assinatura IDP.
Nos firewalls da Série SRX, se a utilização de memória do dispositivo for alta no plano de controle, carregar uma política de IDP grande pode fazer com que o dispositivo fique sem memória. Isso pode acionar uma reinicialização do sistema durante a atualização do pacote de segurança do IDP.
Tramitação processual
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.
Especifique a URL do pacote de segurança.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Mude para o modo operacional.
[edit] user@host# exit
Baixe o pacote de segurança IDP para o nó primário (downloads na var/db/idpd/sec-download pasta.
{primary:node0}[edit] user@host> request security idp security-package downloadA mensagem a seguir é exibida.
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
Verifique o status do download do pacote de segurança.
{primary:node0}[edit] user@host> request security idp security-package download statusEm um download bem-sucedido, a seguinte mensagem é exibida.
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
Atualize o banco de dados de ataque usando o
installcomando.user@host> request security idp security-package install
Verifique o status de atualização do banco de dados de ataque. A saída do comando exibe informações sobre as versões baixadas e instaladas do banco de dados de ataque.
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.Você deve baixar o pacote de assinatura IDP no nó primário. Dessa forma, o pacote de segurança é sincronizado no nó secundário.
Versão do banco de dados de assinatura do IDP
Novos objetos de ataque são adicionados ao servidor de banco de dados de assinatura com frequência; Baixar essas atualizações e instalá-las regularmente em seus dispositivos gerenciados garante que sua rede esteja efetivamente protegida contra as ameaças mais recentes. À medida que novos objetos de ataque são adicionados ao servidor de banco de dados de assinatura, o número da versão do banco de dados é atualizado com o número da versão mais recente do banco de dados. Cada banco de dados de assinatura tem um número de versão diferente, com o banco de dados mais recente tendo o número mais alto.
Ao atualizar o banco de dados de assinaturas, o cliente de atualização do banco de dados de assinaturas se conecta ao site da Juniper Networks e obtém a atualização usando uma conexão HTTPS. A atualização calcula a diferença entre os bancos de dados de assinatura existentes e mais recentes usando seu número de versão. Depois de baixar as atualizações, as informações atualizadas são mescladas com o banco de dados de assinatura existente e o número da versão é definido como o do banco de dados de assinatura mais recente.
Veja também
Verificar a versão do banco de dados de assinatura do IDP
Finalidade
Exibir a versão do banco de dados de assinatura.
Ação
No modo operacional da CLI, insira show security idp security-package-version.
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
Significado
A saída exibe os números de versão do banco de dados de assinaturas, do detector de protocolo e do modelo de política no dispositivo habilitado para IDP. Verifique as seguintes informações:
Attack database version— Em 16 de abril de 2008, a versão do banco de dados de assinaturas ativa no dispositivo é31.Detector version— Exibe o número da versão do detector de protocolo IDP atualmente em execução no dispositivo.Policy template version— Exibe a versão do modelo de política que é instalada no/var/db/scripts/commitdiretório quando você executa arequest security idp security-package install policy-templatesdeclaração de configuração na CLI.
Para obter uma descrição completa da saída, consulte a descrição show security idp security-package-version .
Veja também
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.