NESTA PÁGINA
Atualização da visão geral do banco de dados de assinatura do IDP
Exemplo: atualizar automaticamente o banco de dados de assinatura
Exemplo: atualização manual do banco de dados de assinatura IDP
Exemplo: download e instalação dos pacotes de segurança IDP no modo cluster do chassi
Baixar o pacote de assinatura IDP do Junos OS por meio de um servidor proxy explícito
Visão geral do banco de dados de assinatura IDP
As assinaturas IDP são um componente importante da estrutura de segurança da Juniper Network, projetada para proteger as redes contra ameaças conhecidas, utilizando padrões de ataque predefinidos, conhecidos como assinaturas.
O IDP baseado em assinatura monitora pacotes na rede e se compara com padrões de ataque pré-configurados e pré-determinados conhecidos como assinaturas.
Para obter mais informações, veja os seguintes tópicos:
Entendendo o banco de dados de assinatura de IDP
O banco de dados de assinaturas é um dos principais componentes do sistema IDP. Ele contém definições de diferentes objetos — como objetos de ataque, objetos de assinatura de aplicativos e objetos de serviço — que são usados na definição de regras de política de IDP. Como resposta a novas vulnerabilidades, a Juniper Networks fornece periodicamente um arquivo contendo atualizações de banco de dados de ataque no site da Juniper. Você pode baixar este arquivo para proteger sua rede contra novas ameaças.
O recurso IDP é habilitado por padrão, nenhuma licença é necessária. Ataques personalizados e grupos de ataque personalizados em políticas de IDP também podem ser configurados e instalados mesmo quando uma licença válida e um banco de dados de assinatura não são instalados no dispositivo.
O banco de dados de assinatura IDP é armazenado no dispositivo habilitado para IDP e contém definições de objetos e grupos de ataque predefinidos. Esses objetos e grupos de ataque são projetados para detectar padrões de ataque conhecidos e anomalias de protocolo dentro do tráfego de rede. Você pode configurar objetos e grupos de ataque como condições de correspondência nas regras da política de IDP.
Você deve instalar a chave de licença de atualização de banco de dados de assinatura IDP em seu dispositivo para baixar e instalar atualizações diárias de banco de dados de assinatura fornecidas pela Juniper Networks. A chave de licença de assinatura IDP não oferece suporte para o período de carência. Para obter mais informações sobre a licença, veja as chaves de licença de recursos do Junos OS.
Você pode baixar o pacote de segurança IDP por meio de um servidor proxy explícito. Para baixar o pacote de segurança IDP que hospeda em um servidor externo, você precisa configurar um perfil de proxy e usar o host proxy e os detalhes de porta que estão configurados no perfil do proxy. Esse recurso permite que você use um servidor proxy Web implantado em seu dispositivo para acesso e autenticação para sessões de saída de HTTP(S) para sua solução de segurança geral.
Você pode realizar as seguintes tarefas para gerenciar o banco de dados de assinatura IDP:
Atualize o banco de dados de assinatura — Baixe as atualizações de banco de dados de ataque disponíveis no site da Juniper Networks. Novos ataques são descobertos diariamente, por isso é importante manter seu banco de dados de assinatura atualizado.
Verifique a versão do banco de dados de assinatura — cada banco de dados de assinatura tem um número de versão diferente, com o banco de dados mais recente tendo o número mais alto. Você pode usar a CLI para exibir o número da versão do banco de dados de assinatura.
Atualize o mecanismo do detector de protocolo — você pode baixar as atualizações do mecanismo do detector de protocolo, além de baixar o banco de dados de assinaturas. O detector de protocolo IDP contém decodificadores de protocolo de Camada de Aplicativo. O detector é associado à política de IDP e é atualizado em conjunto. É sempre necessário no momento da atualização da política, mesmo que não haja nenhuma mudança no detector.
Agende atualizações de banco de dados de assinatura — você pode configurar o dispositivo habilitado para IDP para atualizar automaticamente o banco de dados de assinatura após um intervalo definido.
Atualização da visão geral do banco de dados de assinatura do IDP
A Juniper Networks atualiza regularmente o banco de dados de ataque predefinido e o disponibiliza no site da Juniper Networks. Este banco de dados inclui grupos de objetos de ataque que você pode usar em políticas de IDP para combinar tráfego com ataques conhecidos. Embora você não possa criar, editar ou excluir objetos de ataque predefinidos, você pode usar a CLI para atualizar a lista de objetos de ataque que você pode usar em políticas de IDP.
Para atualizar o banco de dados de assinaturas, você baixa um pacote de segurança no site da Juniper Networks ou por meio de um servidor de proxy da Web explícito. O pacote de segurança consiste nos seguintes componentes IDP:
Objetos de ataque
Grupos de objetos de ataque
Objetos de aplicativo
Atualizações para o IDP Detector Engine
Modelos de política de IDP. Os modelos de políticas são baixados de forma independente. Veja como entender os modelos de políticas de IDP predefinidos.)
Por padrão, ao baixar o pacote de segurança, você baixa os seguintes componentes em uma pasta de Preparação em seu dispositivo: a versão mais recente da tabela completa de grupos de objetos de ataque, tabela de objetos de aplicativo e as atualizações para o IDP Detector Engine. Como a tabela de objetos de ataque é tipicamente de um grande tamanho, por padrão o sistema baixa apenas atualizações na tabela de objetos de ataque. No entanto, você pode baixar a tabela completa de objetos de ataque usando a opção full-update de configuração.
Após o download do pacote de segurança, você deve instalar o pacote para atualizar o banco de dados de segurança com as atualizações recém-baixadas da pasta Preparação em seu dispositivo.
Após a instalação de um pacote de segurança, quando você confirma a configuração, todas as políticas são verificadas para sua sintaxe (não apenas a política ativa). Essa verificação é a mesma que uma verificação de confirmação. Se um ataque configurado em alguma das políticas existentes for removido do novo banco de dados de assinatura que você baixa, a verificação de confirmação falha.
Ao atualizar o banco de dados de assinatura IDP, os ataques configurados nas políticas não são atualizados automaticamente. Por exemplo, suponha que você configure uma política para incluir um ataque FTP:USER:ROOT que está disponível no banco de dados de assinatura versão 1200 em seu sistema. Em seguida, você baixa o banco de dados de assinatura versão 1201, que não inclui mais o ataque FTP:USER:ROOT. Como um ataque configurado em sua política está ausente do banco de dados recém baixado, a verificação de confirmação na CLI falha. Para confirmar com sucesso sua configuração, você deve remover o ataque (FTP:USER:ROOT) da configuração de sua política.
As atualizações de assinatura de IDP podem falhar se uma nova carga de política de IDP falhar por qualquer motivo. Quando uma nova carga de política de IDP falha, a última boa política de IDP é carregada. Assim que o problema com a nova carga de política for resolvido, e a nova política válida estiver ativa, as atualizações de assinatura funcionarão corretamente.
Melhorias no pacote de assinatura IDP
Fizemos melhorias para reduzir os riscos de interrupção e controlar o efeito de problemas de integridade durante as atualizações do pacote de segurança.
O IDP sinaliza o AppID para instalar o pacote de aplicativos quando o pacote de segurança for instalado. Após a instalação do pacote AppID, o pacote de segurança IDP é instalado na sequência a seguir:
O banco de dados de ataque é criado usando as assinaturas que são baixadas.
A política configurada é atualizada com as informações no banco de dados recém-instalado.
A política atualizada é carregada no Mecanismo de encaminhamento de pacotes.
O tráfego é inspecionado usando a política recém-carregada no Mecanismo de encaminhamento de pacotes.
A interrupção do serviço não ocorre quando um problema ou despejo de núcleo acontece nas etapas 1 a 3. Uma interrupção de serviço é causada se um despejo de núcleo ocorrer enquanto inspeciona o tráfego.
Da mesma forma, não é necessário reverter o pacote de segurança se o problema ocorrer enquanto o banco de dados de ataque estiver sendo criado ou enquanto a política configurada estiver sendo atualizada. No entanto, quando um problema ocorre durante o carregamento da política atualizada ou enquanto o tráfego está sendo inspecionado, o processo de reversão é desencadeado. Um pacote de assinatura falha na verificação de integridade se há alguma desconexão do Mecanismo de encaminhamento de pacotes ou do processo de fluxo (fluido) com base em critérios predefinidos.
Com os aprimoramentos, o pacote de assinatura é revertido automaticamente quando a instalação do pacote de segurança não é bem sucedida. Isso pode ocorrer quando um pacote que falhou na verificação de integridade é detectado ou devido à baixa memória.
Se um pacote de assinatura não for instalado quando a memória estiver baixa, o pacote de assinatura não será marcado como falha na verificação e reversão da integridade, sendo acionado apenas para IDP.
Se a reversão automática for acionada após falha na instalação de um novo pacote de assinaturas, a versão instalada e a versão de reversão manual não mudarão.
A seguir, os cenários de reversão quando as instalações do pacote de segurança falham:
| Instalação de pacotes de segurança |
Descrição |
|---|---|
| Instalação de pacotes de segurança em um dispositivo de estado de fábrica |
O banco de dados de reversão não existe. Se a instalação falhar ou se um pacote que falhou na verificação de integridade for detectado, não haverá reversão. Se a instalação for bem sucedida, um novo banco de dados de reversão será criado. |
| Instalação de pacotes de segurança em um dispositivo fora do estado de fábrica |
Se a instalação falhar no mecanismo de roteamento, nenhuma reversão será feita. O Mecanismo de encaminhamento de pacotes inspeciona o tráfego usando a política que já está carregada. Se o pacote de assinatura for determinado como um pacote que falhou na verificação de integridade após o carregamento no Mecanismo de encaminhamento de pacotes, então o processo de reversão é desencadeado e o Mecanismo de encaminhamento de pacotes tem o pacote de segurança que está instalado anteriormente. |
Uma nova mensagem de status é exibida quando a reversão automática é ativada. Você pode verificar a mensagem usando o seguinte comando:
root@host> request security idp security-package install status
Security-package validation failed, triggered auto rollback of the security-package.
O IDP é revertido se um pacote de assinatura for considerado um pacote que falhou na verificação de integridade. O IDP envia um sinal para o AppID para reverter, mas o IDP não espera pelo status de reversão do AppID.
Você pode verificar o status da reversão usando o seguinte comando:
root@host> request security idp security-package rollback status
O status da reversão é exibido como falha ou falha na reversão automática ou concluída com sucesso. A versão revirada é exibida.
Você pode usar o comando a seguir para verificar os detalhes do pacote de assinatura que falhou durante a validação do plano de dados.
root@host> show security idp security-package-version detail
Attack database version:3550(Thu Dec 1 14:20:50 2022 UTC) Detector version :12.6.180220128 Policy template version :3598 Rollback Attack database version :3550(Thu Dec 1 14:20:50 2022 UTC) Rollback Detector version: 12.6.180220128 Last known security-package-version which failed in data plane validation: 3650(Thu Nov 9 14:08:04 2023 UTC) Last known security-package- detector-version which failed in data plane validation : 12.6.180230313
Reversão em um firewall da Série SRX multi-SPC/PIC
Atualmente, quando um pacote de segurança é instalado em um dispositivo multi-SPC ou multi-PIC, como um firewall da Série SRX5000, o pacote de segurança é instalado e carregado em todos os PICs simultaneamente. Se o plano de dados cair em um PIC, o processo do chassi (chassi) garante que todos os outros PICs ficam offline. A instalação do pacote de assinatura em um PIC de cada vez não funciona. Além disso, quando os PICs voltam a funcionar, eles enfrentam os mesmos problemas de tráfego e plano de dados, o que pode levar a interrupções repetidas.
Quando um despejo de núcleo é causado após a instalação de um pacote de assinatura, o pacote de segurança é revertido assim que o PIC volta a funcionar, limitando assim o dano potencial.
Uma nova mensagem de status é adicionada na saída de comando de status após a instalação do pacote de segurança e a política é carregada no Mecanismo de encaminhamento de pacotes, enquanto é validada para verificação de integridade do pacote de assinatura.
root@host> request security idp security-package install status
Security-package validation is in progress…
Instalação de pacotes de segurança em um ambiente de alta disponibilidade
Em um cenário de alta disponibilidade, a instalação do pacote de segurança é acionada nos nós primários e secundários simultaneamente. Quando o processo srxpfe falha devido a um problema no pacote de segurança, ocorre um failover e o nó secundário assume o controle.
Para evitar falhas que acontecem em um loop, pois o mesmo pacote de segurança é instalado no nó secundário, a validação de verificação de integridade é feita no estágio principal de instalação de nós. O pacote de segurança é instalado no nó secundário somente após o pacote passar pela verificação de integridade. A instalação do nó secundário não é permitida até que você baixe outra versão do pacote de assinatura.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- In progress:performing DB update for an xml (groups.xml) node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the security-package.
Durante a instalação do pacote de assinatura, após o comando de instalação ser executado e quando a validação de verificação de integridade for concluída, se ocorrer alguma falha ou switchover, a reversão automática é acionada no nó primário antigo e a instalação é inserida no nó secundário antigo.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation aborted due to node failover node1: -------------------------------------------------------------------------- Done;Security-package installation failed due to node failover;Successfully Rolled back to 3656
Se a instalação falhar no nó primário, a reversão ocorrerá no nó primário e a instalação será cancelada no nó secundário.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation failed;Successfully Rolled back to 3550 node1: -------------------------------------------------------------------------- Done;Security-package installation aborted due to failure in the primary node installation
As alterações a seguir são observadas quando o pacote de segurança é instalado em um dispositivo de alta disponibilidade após os aprimoramentos:
| Instalação de pacotes de segurança |
Descrição |
|---|---|
| Instalação de pacotes de segurança em ambos os nós (padrão) |
A instalação do pacote de segurança começa no nó principal. A instalação do pacote de assinatura no nó secundário só começa após a verificação da validação da integridade do pacote de assinatura ser aprovada no nó primário. A reversão do pacote de assinatura é desencadeada no nó principal se o pacote falhar na verificação de integridade. O pacote não está instalado no nó secundário. Se a instalação do pacote de segurança falhar no nó secundário, a reversão é acionada apenas no nó secundário e um alarme menor é levantado, pois as versões do pacote de segurança não são compatíveis. |
| Instalação de pacotes de segurança apenas em nós primários |
Se a instalação falhar, a reversão só acontecerá no nó primário. |
A verificação de validação da integridade do pacote de assinatura não é realizada no nó secundário. Um pacote de assinatura que falha na verificação de integridade no nó primário também está marcado como falha no nó secundário. Um alarme menor é levantado quando diferentes versões de pacote de assinatura são instaladas em nó primário e secundário.
Desautoriza download ou instalação de um pacote que falhou na verificação de integridade
Você não poderá baixar ou instalar um pacote de assinatura que falhou na verificação da integridade em uma configuração independente ou de alta disponibilidade. Um aviso é exibido. O pacote de assinatura que falhou na verificação de integridade existe mesmo após a reinicialização.
Se um pacote de assinatura falhar na verificação de integridade do AppID, também é considerado que ele falhou no IDP.
Você pode usar o seguinte comando para verificar o status:
root@host> request security idp security-package install status
Done;AI installation failed (failed in data plane validation)
Um pacote de assinatura que está marcado como tendo falhado na verificação de integridade no nó primário também está marcado como tal no nó secundário. Ao tentar baixar um pacote de segurança que falhou na verificação de integridade e verificar o status, a mensagem de status a seguir é exibida:
root@host> request security idp security-package download status
Requested security-package 3501 failed data plane validation. Please download another version.
Quando você tenta instalar um pacote de segurança que falhou na verificação de integridade e verifica o status, a mensagem a seguir é exibida:
Requested security-package 3501 failed data plane validation. Please install another version.
Quando você tenta baixar o pacote de segurança que falhou na verificação de integridade offline, a mesma mensagem é exibida.
Reversão de um pacote de assinatura no carregamento da última boa política após a instalação
As políticas de IDP devem ser compiladas quando o processo de política de IDP for reiniciado quando houver uma mudança na configuração que exija a compilação ou quando um pacote de assinatura é instalado. Após a compilação da política, o Mecanismo de Roteamento tenta carregar a política depois de fazer um backup da política que está atualmente carregada. Esta política é nomeada como a última política boa. Se uma política que acaba de ser compilada não carregar devido a uma razão como limitações de memória, o Mecanismo de Roteamento tenta carregar a última boa política.
Assim, quando uma política é compilada após a instalação de um pacote de assinatura e o carregamento de políticas falha, o Mecanismo de Roteamento tenta carregar a última boa política. No entanto, após a última boa política ser carregada, o mecanismo de roteamento e o mecanismo de encaminhamento de pacotes têm diferentes versões de pacote de assinatura. O pacote de assinatura no Mecanismo de Roteamento é revertido para manter a consistência.
Melhorias no pacote de assinatura do lado do servidor IDP
Anteriormente, quando você instalou um pacote de assinatura IDP em um firewall da Série SRX e o pacote de assinatura não passou por verificações de integridade, a ocorrência foi notada no dispositivo, mas não foi relatada ao servidor.
O sistema de detecção e prevenção de invasões agora informa o status de instalação para o servidor. A decisão de marcar o sigpack como tendo falhado na verificação de integridade globalmente é baseada nas informações que são enviadas de vários dispositivos para o servidor Signature. Se o sigpack estiver marcado como não passar verificações de integridade globalmente, ele não estará disponível para downloads futuros.
O pacote de assinatura consiste em assinaturas IDP, detector de IDP e protobundle AppID. Existem dois tipos de atualizações de pacotes de assinatura agora no lado do servidor:
| Descrição do tipo de atualização do pacote de assinatura | |
|---|---|
| Menor |
Pacote de sigpack regular Atualizações de assinatura do IDP às quartas e sextas-feiras sem alterações no IDP Detector e AppID Protobundle
Pacotes de emergência
Atualização lançada como hotfix em um AppID Protobundle lançado |
| Principal |
Versão do IDP Detector ou AppID Protobundle
|
As versões do IDP Detector são sempre classificadas como importantes para IDP, e um pacote de segurança é importante para IDP se houver uma mudança no Detector ou mudança no Protobundle. Um pacote de segurança é importante apenas para o AppID se houver uma mudança no Protobundle.
O pacote de assinatura imediatamente após uma versão IDP ou AppID é considerado como importante. Se o pacote de sigpack mais recente for identificado como não passando verificações de integridade, o pacote de sigpack anterior também está marcado como falha.
Enviar status de instalação ao servidor SigpackQuando você instala o sigpack no firewall da Série SRX, o status de instalação também é enviado para o servidor sigpack. O status da instalação contém informações sobre as verificações de problema de integridade.
O status de instalação de uma configuração de alta disponibilidade é enviado apenas para o nó principal.
Quando uma instalação de pacote de segurança falha devido a problemas de verificação de integridade, o status de instalação é enviado ao servidor após a implantação automática.
Identificação de falha na verificação da integridadeO dispositivo valida para falha de verificação de integridade apenas para os principais tipos de pacotes de segurança. O dispositivo envia o status de instalação por solicitação de HTTPS ao servidor sigpack após a instalação do pacote do tipo principal.
Um sigpack está determinado a falhar na verificação de integridade com base em determinados cálculos. Quando um sigpack falha nas verificações de integridade, o pacote estável anterior é marcado como o sigpack mais recente.
Se um sigpack passar por verificações de integridade e seis horas se passaram desde o lançamento do sigpack, o sigpack é lançado para Security Director e para download offline.
Após o sigpack ser lançado através dos vários modos, se ele for identificado como não passando verificações de integridade, evitamos o download de tal sigpack apenas da CLI.
Você pode usar o comando a seguir para baixar apenas pequenas atualizações para downloads automáticos.
set services application-identification download automatic minor-only
Para atualizações manuais de pacotes, você pode usar o seguinte para solicitar uma atualização apenas menor, se necessário.
request security idp security-package download minor-only
A saída de comando de status de download indica se a versão baixada é maior ou menor após um sigpack ser baixado com sucesso.
As informações do tipo de pacote estão disponíveis no arquivo manifest.xml. O dispositivo busca essas informações e as exibe na saída. O exemplo a seguir é um exemplo de um arquivo manifesto XML:
<manifest> <version>3655</version> <ExportDate>Tue Nov 28 15:29:28 2023 UTC</ExportDate> <SigpackType>Major</SigpackType> <entry> <id>application_groups.xml.gz</id> <type>systable</type> <version>3655</version> <location>application_groups.xml</location> <checksum>4483d9d4c63fe2fb99725e8218494b44</checksum> <url>https://signatures.juniper.net/xmlupdate/282/ApplicationGroups/3655/application_groups.xml.gz</url> </entry> </manifest>
Os exemplos a seguir são:
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3653(Major, Tue Nov 21 14:09:20 2023 UTC, Detector=12.6.180230313)
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi. Version info:3654(Minor, Tue Nov 21 14:09:20 2023 UTC, Detector=12.6.180230313)
Quando um sigpack é instalado com sucesso, a saída de comando de status da instalação indica se essa versão instalada é menor ou maior.
Done;Attack DB update : successful - [UpdateNumber=3653, Major, ExportDate=Tue Nov 21 14:09:20 2023 UTC,Detector=12.6.180230313] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Done;Attack DB update : successful - [UpdateNumber=3654, Minor, ExportDate=Tue Nov 21 14:09:20 2023 UTC,Detector=12.6.180230313] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Quando um sigpack é instalado com sucesso, a saída de comando de status da instalação indica se a versão instalada é menor ou maior. Isso também é indicado para versões de pacote de segurança, versões recentes de pacotes de segurança e saídas de servidor de verificação.
Se um grande pacote de sigpack for identificado como não passar pelas verificações de integridade, ele não será exibido na security-package-version saída de comando.
Por exemplo, o sigpack principal 3653 não passou pelas verificações de integridade e não é exibido na saída.
user@host>show security idp security-package-versions
Attack database version: 3652 (Minor) Attack database version: 3651 (Minor) Attack database version: 3650 (Minor) Attack database version: 3649 (Minor) Attack database version: 3648 (Minor) Attack database version: 3647 (Minor) Attack database version: 3646 (Minor) Attack database version: 3645 (Minor)
Veja também
Download do pacote de assinatura IDP do Junos OS por meio de uma visão geral explícita do servidor proxy
Você pode baixar o pacote de segurança IDP por meio de um servidor proxy explícito. Para baixar o pacote de segurança IDP que hospeda em um servidor externo, você precisa configurar um perfil de proxy e usar o host proxy e os detalhes de porta que estão configurados no perfil do proxy. Esse recurso permite que você use um servidor proxy Web implantado em seu dispositivo para acesso e autenticação para sessões de saída de HTTP(S).
Você precisa configurar a opção de perfil proxy do download do pacote de segurança para se conectar ao servidor externo por meio de um servidor proxy especificado. O perfil de proxy está configurado sob [edit services proxy] hierarquia.
Você pode configurar mais de um perfil de proxy sob [edit services proxy] hierarquia. O IDP pode utilizar apenas um perfil de proxy. Vários perfis de proxy não são suportados para uso em IDP simultaneamente. Quando um perfil de proxy é configurado sob [security idp security-package] hierarquia, o processo de idpd se conecta ao host proxy em vez do servidor de download do pacote de assinaturas. O host proxy então se comunica com o servidor de download e fornece a resposta de volta ao processo idpd. O processo de idpd é notificado sempre que há uma mudança feita na [edit services proxy] hierarquia.
Você pode desabilitar o servidor proxy para baixar o pacote de assinatura IDP quando não for necessário.
Para desativar o servidor proxy para download de assinatura de IDP, use o delete security idp security-package proxy-profile proxy-profile
O suporte de proxy da Web de IDP depende do perfil de proxy configurado no nível do sistema. Para usar o servidor proxy web para download, você deve configurar um perfil de proxy com detalhes de host e porta do servidor proxy e aplicar o perfil de proxy na [security idp security-package] hierarquia.
Exemplo: atualizar automaticamente o banco de dados de assinatura
Este exemplo mostra como baixar automaticamente as atualizações de banco de dados de assinatura.
Requisitos
Antes de começar, configure interfaces de rede.
Visão geral
A Juniper Networks atualiza regularmente o banco de dados de ataque predefinido e o disponibiliza como um pacote de segurança no site da Juniper Networks. Este banco de dados inclui objetos de ataque e grupos de objetos de ataque que você pode usar em políticas de IDP para combinar tráfego com ataques conhecidos. Você pode configurar seu dispositivo para baixar automaticamente as atualizações de banco de dados de assinatura em intervalos especificados.
Neste exemplo, você baixa o pacote de segurança com a tabela completa de objetos de ataque e grupos de objetos de ataque a cada 48 horas, a partir das 23h59 de 10 de dezembro. Você também habilita um download e atualização automáticos do pacote de segurança.
Configuração
Procedimento
Procedimento passo a passo
Para baixar e atualizar os objetos de ataque predefinidos:
Especifique a URL para o pacote de segurança.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Por padrão, a URL é tomada como https://signatures.juniper.net/cgi-bin/index.cgi
Especifique o valor de tempo e intervalo para o download.
[edit] user@host# set security idp security-package automatic interval 48 start-time 2009-12-10.23:59:00
Habilite o download automático e a atualização do pacote de segurança.
[edit] user@host# set security idp security-package automatic enable
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Atualização manual do banco de dados de assinatura IDP
A Juniper Networks atualiza regularmente o banco de dados de ataque predefinido e o disponibiliza no site da Juniper Networks. Este banco de dados inclui grupos de objetos de ataque que você pode usar em políticas de detecção e prevenção de intrusões (IDP) para combinar tráfego com ataques conhecidos. Embora você não possa criar, editar ou excluir objetos de ataque predefinidos, você pode usar a CLI para atualizar a lista de objetos de ataque que você pode usar em políticas de IDP. Após o download do pacote de segurança, você deve instalar o pacote para atualizar o banco de dados de segurança com as atualizações recém-baixadas da pasta Preparação em seu dispositivo.
Exemplo: atualização manual do banco de dados de assinatura IDP
Este exemplo mostra como atualizar manualmente o banco de dados de assinatura IDP.
Requisitos
Antes de começar, configure interfaces de rede.
Visão geral
A Juniper Networks atualiza regularmente o banco de dados de ataque predefinido e o disponibiliza como um pacote de segurança no site da Juniper Networks. Este banco de dados inclui grupos de objetos de ataque e ataque que você pode usar em políticas de IDP para combinar tráfego com ataques conhecidos.
Neste exemplo, você baixa o pacote de segurança com a tabela completa de objetos de ataque e grupos de objetos de ataque. Assim que a instalação for concluída, os objetos de ataque e os grupos de objetos de ataque estarão disponíveis na CLI sob os grupos de ataque predefinidos e as declarações de configuração de ataques predefinidos no nível de hierarquia [editar política idp de segurança]. Você cria uma política e especifica a nova política como a política ativa. Você também baixa apenas as atualizações que a Juniper Networks enviou recentemente e depois atualiza o banco de dados de ataque, a política de execução e o detector com essas novas atualizações.
Configuração
Procedimento
Configuração rápida da CLI
A configuração rápida da CLI não está disponível para este exemplo porque a intervenção manual é necessária durante a configuração.
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para baixar e atualizar manualmente o banco de dados de assinaturas:
Especifique a URL para o pacote de segurança.
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Nota:Por padrão, ele levará a URL como https://signatures.juniper.net/cgi-bin/index.cgi.
Confirmar a configuração.
[edit] user@host# commit
Mudar para o modo operacional.
[edit] user@host# exit
Baixe o pacote de segurança.
user@host>request security idp security-package download full-update
Você pode realizar um download de pacote de assinatura offline em seu dispositivo. Você pode baixar o pacote de assinatura e copiar o pacote em qualquer local comum do dispositivo e baixar o pacote offline usando o
request security idp security-package offline-downloadcomando.A instalação do pacote de assinatura permanece a mesma e será sempre uma atualização completa.
Verifique o status de download do pacote de segurança.
user@host>request security idp security-package download status
Atualize o banco de dados de ataque usando o comando de instalação.
user@host>request security idp security-package install
Verifique o status de atualização do banco de dados de ataque com o seguinte comando (a saída de comando exibe informações sobre as versões baixadas e instaladas das versões de banco de dados de ataque):
user@host>request security idp security-package install status
Mudar para o modo de configuração.
user@host>configure
Crie uma política de IDP.
[edit ] user@host#edit security idp idp-policy policy1
Associar objetos de ataque ou atacar grupos de objetos com a política.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
Definir ação.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
Ativar a política.
[edit] user@host#set security idp active-policy policy1
Confirmar a configuração.
[edit] user@host# commit
Após uma semana, baixe apenas as atualizações que a Juniper Networks enviou recentemente.
user@host>request security idp security-package download
Verifique o status de download do pacote de segurança.
user@host>request security idp security-package download status
Atualize o banco de dados de ataques, a política ativa e o detector com as novas mudanças.
user@host>request security idp security-package install
Verifique o banco de dados de ataque, a política ativa e o detector usando o status de instalação.
user@host>request security idp security-package install status
Nota:É possível que um ataque possa ser removido da nova versão de um banco de dados de ataque. Se esse ataque for usado em uma política existente em seu dispositivo, a instalação do novo banco de dados falhará. Uma mensagem de status de instalação identifica o ataque que não é mais válido. Para atualizar o banco de dados com sucesso, remova todas as referências ao ataque excluído de suas políticas e grupos existentes e reprise o comando de instalação.
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security idp comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Exemplo: download e instalação dos pacotes de segurança IDP no modo cluster do chassi
Este exemplo mostra como baixar e instalar o banco de dados de assinatura IDP em um dispositivo que opera no modo cluster do chassi.
Requisitos
Antes de começar, configure o ID de nó de cluster do chassi e o ID de cluster. Veja exemplo: definir o ID do nó e o ID de cluster para dispositivos de segurança em um cluster de chassi .
Visão geral
O pacote de segurança para detecção e prevenção de intrusões (IDP) contém um banco de dados de objetos de ataque IDP predefinidos e grupos de objetos de ataque IDP que você pode usar em políticas de IDP para combinar o tráfego com ataques conhecidos e desconhecidos. A Juniper Networks atualiza regularmente os objetos e grupos de ataque predefinidos com padrões de ataque recém-descobertos.
Para atualizar o banco de dados de assinaturas, você deve baixar um pacote de segurança no site da Juniper Networks. Após o download do pacote de segurança, você deve instalar o pacote para atualizar o banco de dados de segurança com as atualizações recém-baixadas da pasta Preparação em seu dispositivo.
Em todas as filiais dos firewalls da Série SRX, se a utilização da memória do seu dispositivo estiver no alto nível do plano de controle, o carregamento de uma grande política de IDP pode fazer com que o dispositivo fique sem memória. Isso pode ativar uma reinicialização do sistema durante a atualização do pacote de segurança IDP.
Para obter mais detalhes, veja Entenda o banco de dados de assinatura do IDP.
Quando você baixa o pacote de segurança IDP em um dispositivo que opera no modo cluster do chassi, o pacote de segurança é baixado no nó principal e sincronizado para o nó secundário. Essa sincronização ajuda a manter a mesma versão do pacote de segurança tanto no nó primário quanto no nó secundário.
Download e instalação do banco de dados de assinaturaS IDP
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Especifique a URL para o pacote de segurança.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Mudar para o modo operacional.
[edit] user@host# exit
Baixe o pacote de segurança IDP para o nó principal (downloads na var/db/idpd/sec-download pasta.
{primary:node0}[edit] user@host> request security idp security-package downloadA mensagem a seguir é exibida.
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
Verifique o status de download do pacote de segurança.
{primary:node0}[edit] user@host> request security idp security-package download statusEm um download bem-sucedido, a mensagem a seguir é exibida.
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
Atualize o banco de dados de ataque usando o
installcomando.user@host> request security idp security-package install
Verifique o status da atualização do banco de dados de ataque. A saída de comando exibe informações sobre as versões baixadas e instaladas do banco de dados de ataque.
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.Você deve baixar o pacote de assinatura IDP no nó principal. Dessa forma, o pacote de segurança é sincronizado no nó secundário. As tentativas de baixar o pacote de assinatura para o nó secundário falharão.
Se você tiver configurado um download programado para os pacotes de segurança, os arquivos de pacote de assinatura são sincronizados automaticamente do nó principal ao nó de backup.
Baixar o pacote de assinatura IDP do Junos OS por meio de um servidor proxy explícito
Este exemplo mostra como criar um perfil de proxy e usá-lo para baixar o pacote de assinatura IDP por meio de um servidor proxy explícito.
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI na hierarquia e, em seguida, entrar commit no edit modo de configuração.
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
Configuração
Procedimento passo a passo
O perfil de proxy para o servidor proxy é criado e, em seguida, este perfil é encaminhado pelo processo idpd para download do pacote de assinatura IDP através do servidor proxy.
-
Especifique o endereço IP do host proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 Especifique o número de porta usado pelo servidor proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128Especifique o perfil de proxy que precisa ser encaminhado para download do pacote de segurança.
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
Confirmar a configuração.
[edit] user@host# commit
Mudar para o modo operacional.
[edit] user@host# exit
Baixe o pacote de segurança do IDP.
user@host> request security idp security-package download full-update
A opção de realizar um download e instalação de pacotes de assinatura IDP offline no site da Juniper ainda está disponível. Para baixar e instalar o pacote de assinatura IDP offline, execute o
request security idp security-package offline-downloadcomando CLI. O processo de instalação permanece o mesmo para ambos os comandos de download.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Este exemplo de configuração é testado no firewall da Série SRX com o Junos OS Release 18.3R1 ou posterior.
Visão geral
A Juniper Networks atualiza regularmente o banco de dados de ataque predefinido e o disponibiliza como um pacote de segurança no site da Juniper Networks. Este banco de dados inclui grupos de objetos de ataque e ataque que você pode usar em políticas de IDP para combinar tráfego com ataques conhecidos.
Você pode baixar o pacote de assinatura IDP usando um servidor proxy. A configuração do perfil de proxy está disponível apenas para conexões HTTP.
Neste exemplo, o firewall da Série SRX baixa e instala o pacote de segurança IDP, com a tabela completa de objetos de ataque e grupos de objetos de ataque que estão disponíveis em um servidor externo, utilizando o perfil de proxy configurado.
Assim que a instalação estiver concluída, todos os objetos de ataque IDP baixados e instalados e grupos de ataque estarão disponíveis para serem configurados em uma política ou políticas de IDP. Esses objetos de ataque e objetos de ataque são então utilizados nas regras de segurança sob a set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name hierarquia. Você cria uma política e especifica a nova política como a política ativa. Você pode baixar apenas as atualizações que a Juniper Networks enviou recentemente e, em seguida, atualizar o banco de dados de ataque, a política de execução e o detector com essas atualizações.
Para permitir o download do pacote de assinatura IDP por meio de um servidor proxy explícito:
Configure um perfil com detalhes de host e porta do servidor proxy usando o
set services proxy profilecomando.Use o
set security idp security-package proxy-profile profile-namecomando para se conectar ao servidor proxy e baixar o pacote de assinatura IDP.
Ao baixar o pacote de assinatura IDP, a solicitação é enviada pelo host proxy para o servidor real que hospeda o pacote de assinatura. O host proxy então envia a resposta de volta do host real. O pacote de assinatura de IDP é então recebido do site de segurança da Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
Neste exemplo, você cria um perfil de proxy e refere o perfil quando baixa o pacote de assinatura IDP do host externo. A Tabela 3 fornece os detalhes dos parâmetros usados neste exemplo.
Parâmetro |
Nome |
|---|---|
Nome do perfil |
test_idp_proxy1 |
Endereço IP do servidor proxy |
10.209.97.254 |
Número de porta do servidor proxy |
3128 |
Verificação
- Verificação do download da assinatura do IDP pelo servidor proxy
- Verificando o status do download de assinaturas de IDP
Verificação do download da assinatura do IDP pelo servidor proxy
Propósito
Exibir os detalhes do download do pacote de assinatura IDP por meio de um servidor proxy.
Ação
Do modo operacional, insira o show security idp security-package proxy-profile comando para visualizar detalhes específicos do proxy do IDP.
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.209.97.254 Port of proxy server :3128
Significado
Na saída, você pode encontrar os detalhes específicos do perfil de proxy do IDP em e Proxy Address camposProxy Profile.
Verificando o status do download de assinaturas de IDP
Propósito
Verifique o status do download do pacote de assinatura IDP.
Ação
Verifique o status de download do pacote de segurança.
A partir do modo operacional, entre no request security idp security-package download status comando.
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
Significado
A saída exibe o status de download do pacote de assinatura IDP.
Entendendo a versão do banco de dados de assinatura IDP
Novos objetos de ataque são adicionados ao servidor de banco de dados de assinatura com frequência; baixar essas atualizações e instalá-las em seus dispositivos gerenciados regularmente garante que sua rede esteja efetivamente protegida contra as ameaças mais recentes. À medida que novos objetos de ataque são adicionados ao servidor de banco de dados de assinatura, o número de versão do banco de dados é atualizado com o número mais recente da versão do banco de dados. Cada banco de dados de assinaturas tem um número de versão diferente, com o banco de dados mais recente com o número mais alto.
Ao atualizar o banco de dados de assinaturas, o cliente de atualização de banco de dados de assinatura se conecta ao site da Juniper Networks e obtém a atualização usando uma conexão HTTPS. Essa atualização — diferença entre o banco de dados de assinatura existente e o banco de dados de assinatura mais recente — é calculada com base no número de versão atribuído a cada banco de dados de assinatura. Após baixar as atualizações, as informações atualizadas são mescladas com o banco de dados de assinatura existente e o número da versão é definido para o do banco de dados de assinatura mais recente.
Veja também
Verificando a versão do banco de dados de assinatura do IDP
Propósito
Exibir a versão do banco de dados de assinatura.
Ação
A partir do modo operacional na CLI, entre show security idp security-package-version.
Saída de amostra
nome de comando
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
Significado
A saída exibe os números da versão para o banco de dados de assinatura, detector de protocolo e o modelo de política no dispositivo habilitado para IDP. Verifique as seguintes informações:
Attack database version— Em 16 de abril de 2008, a versão do banco de dados de assinatura ativa no dispositivo é31.Detector version— exibe o número de versão do detector de protocolo IDP em execução no dispositivo atualmente.Policy template version— exibe a versão do modelo de política que está instalado no/var/db/scripts/commitdiretório quando você executa arequest security idp security-package install policy-templatesdeclaração de configuração na CLI.
Para obter uma descrição completa da saída, veja a descrição da versão do pacote de segurança idp de segurança do show .
Veja também
Entendendo as assinaturas IPS de Snort
O IDP da Juniper Networks oferece suporte a assinaturas Snort IPS. Você pode converter as regras de Snort IPS em assinaturas de ataque personalizadas de IDP da Juniper usando a Juniper Integration of Snort Tool (JIST). Essas regras de Snort IPS ajudam a detectar ataques maliciosos.
O IDP protege sua rede usando assinaturas que ajudam a detectar ataques. Snort é um sistema de prevenção contra invasões de código aberto (IPS).
O sistema IDP oferece suporte a assinaturas Snort IPS. Você pode converter as regras de Snort IPS em assinaturas de ataque personalizadas de IDP da Juniper usando a Juniper Integration of Snort Tool (JIST). Essas regras de Snort IPS ajudam a detectar ataques maliciosos.
IPS de Snort
- O JIST está incluído no Junos OS por padrão. A ferramenta oferece suporte às regras da versão 2 e da versão 3 do Snort.
- JIST converte as regras do Snort com snort-ids em assinaturas de ataque personalizadas equivalentes no Junos OS com respectivos snort-ids como os nomes de ataque personalizados.
- Quando você executa o
requestcomando com regras de Snort IPS, o JIST gera comandossetequivalentes às regras do Snort IPS. Use orequest security idp jist-conversioncomando para gerar ossetcomandos como saída CLI. Para carregar ossetcomandos, use aload set terminaldeclaração ou a cópia e cole os comandos no modo de configuração e depois se comprometa. Em seguida, você pode configurar a política de IDP existente com as assinaturas de ataque personalizadas convertidas. - Todos os arquivos de regra de Snort IPS que não foram convertidos estão escritos em /tmp/jist-failed.rules. Os arquivos de log de erro gerados durante a conversão estão escritos em /tmp/jist-error.log.
- Para ver a versão do pacote jist, use o
show security idp jist-package-versioncomando.
Benefícios das assinaturas de Snort IPS
- Ajude a detectar ataques maliciosos.