Entendendo as políticas de IPS
Uma política de sistema de prevenção contra invasões (IPS) permite que você aplique seletivamente várias técnicas de detecção e prevenção de ataques no tráfego de rede que passa por um dispositivo habilitado para IPS. Existem dois tipos de opções de políticas:
Política de grupo — selecione essa opção quando quiser levar uma configuração a um grupo de dispositivos. Você pode criar regras para uma política de grupo.
Durante uma atribuição de dispositivo para uma política de grupo, estão listados apenas dispositivos dos domínios atual e infantil (com visualização dos pais habilitados). Os dispositivos no domínio infantil com vista para os pais desativados não estão listados. Nem todas as políticas de grupo do domínio global são visíveis no domínio infantil. As políticas de grupo do domínio global (incluindo todas as políticas de dispositivo) não são visíveis para o domínio infantil, se a visão do pai desse domínio infantil for desabilitada. Apenas as políticas de grupo do domínio global, que tem dispositivos do domínio infantil atribuídos a ele, são visíveis no domínio infantil. Se houver uma política de grupo no domínio global com dispositivos de D1 e domínios globais atribuídos a ele, apenas essa política de grupo do domínio global é visível no domínio D1, juntamente com apenas os dispositivos de domínio D1. Nenhum outro dispositivo, que é a política de exceção de dispositivos, do domínio global é visível no domínio D1.
Você não pode editar uma política de grupo do domínio global do domínio infantil. Isso também vale para a política de todos os dispositivos. A modificação da política, a exclusão da política, o gerenciamento de um instantâneo, a política de instantâneos e a aquisição do bloqueio de políticas também não são permitidos. Da mesma forma, você não pode realizar essas ações na política de exceção de dispositivos do domínio D1 do domínio global. Você pode priorizar políticas de grupo do domínio atual. As políticas de grupo dos outros domínios não estão listadas.
Política do dispositivo — Selecione essa opção quando quiser empurrar uma configuração única de política de IPS por dispositivo. Você pode criar regras de dispositivo para uma política IPS de dispositivo.
O Security Director vê um sistema lógico ou sistema de locatário como qualquer outro dispositivo de segurança, e ele assume a propriedade da configuração de segurança do sistema lógico ou sistema de locatário. No Security Director, cada sistema lógico ou sistema de locatário é gerenciado como um dispositivo de segurança exclusivo.
Durante uma atribuição de dispositivo para uma política de dispositivo, apenas dispositivos do domínio atual estão listados.
Se o Security Director descobrir o sistema lógico raiz, o LSYS raiz descobrirá todos os outros usuários LSYS e TSYS dentro do dispositivo.
Uma política IPS consiste em bases de regras e cada base de regras contém um conjunto de regras. Ele permite que você defina regras de política para combinar uma seção de tráfego com base em uma zona, rede e aplicativo e, em seguida, tomar ações preventivas ativas ou passivas nesse tráfego.
Uma base de regras IPS protege sua rede contra ataques usando objetos de ataque para detectar ataques conhecidos e desconhecidos. Ele detecta ataques baseados em anomalias de assinatura e protocolo stateful.
Uma base de regras isenta funciona em conjunto com a base de regras IPS. Você deve ter regras na base de regras do IPS antes de criar regras isentas. Se o tráfego corresponder a uma regra na base de regras IPS, a política de IPS tenta combinar o tráfego com a base de regras isenta antes de realizar a ação especificada ou criar um registro de log para o evento. Se a política de IPS detectar tráfego que corresponda ao par de origem ou destino e aos objetos de ataque especificados na base de regras isenta, ele isenta automaticamente esse tráfego da detecção de ataques.
Configure uma base de regras isenta nas seguintes condições:
Quando uma regra IPS usa um grupo de objetos de ataque que contém um ou mais objetos de ataque que produzem falsos positivos ou registros de log irrelevantes.
Quando você deseja excluir um par específico de origem, destino ou destino de origem, não corresponda a uma regra IPS. Isso impede que o IPS gere alarmes desnecessários.
Depois de criar uma política de IPS adicionando regras em uma ou mais bases de regras, você pode publicar ou atualizar a política. Você também pode ver uma lista de dispositivos de segurança com políticas IPS atribuídas a eles. Esta lista ajuda você a ver os detalhes de todas as políticas e regras de IPS atribuídas por dispositivo.
Suporte a políticas IPS para políticas de firewall unificada e padrão
A partir do Junos Space Security Director Release 19.3, você pode atribuir a política de IPS às políticas de firewall padrão e unificadas. Com o suporte da política de IPS dentro da política de firewall:
Todas as correspondências de IPS agora serão tratadas dentro das políticas de firewall padrão ou unificadas, a menos que a origem, o destino ou o aplicativo explícitos sejam definidos na política de IPS.
Você não precisa configurar endereço de origem ou destino, origem e destino, exceto de e para zona ou aplicativo, conforme a correspondência acontece na política de firewall. No entanto, você pode configurar condições de correspondência na política de IPS para obter granularidade adicional.
A correspondência inicial da política de firewall pode resultar em correspondências de política única ou múltipla. Como parte da verificação de juros da sessão, o IPS será habilitado se a política de IPS estiver presente em alguma das regras combinadas.
Para dispositivos com o Junos OS Release 18.2, uma única política de IPS é suportada nas regras da política de firewall. Para dispositivos com o Junos OS Release 18.3 em diante, várias políticas de IPS são suportadas nas regras da política de firewall.
Se você tiver configurado uma política de firewall tradicional (com 5 tuples condição de correspondência ou aplicativo dinâmico configurado como nenhum) e uma política unificada (com condições de correspondência de 6 tuple), a política de firewall tradicional corresponde ao tráfego primeiro, antes da política unificada.
Quando você configura uma política unificada com um aplicativo dinâmico como uma das condições de correspondência, a configuração elimina as etapas adicionais envolvidas na configuração de políticas IPS. Todas as configurações de política IPS são tratadas dentro da política de firewall unificada e simplificam a tarefa de configurar a política IPS para detectar qualquer ataque ou invasões para uma determinada sessão.
A partir do Junos OS Release 18.2 em diante, a configuração CLI para política de IPS é gerada junto com a política de firewall padrão ou unificada, à qual a política IPS é anexada.
Múltiplas políticas de IPS para políticas de firewall unificadas e padrão
Quando um dispositivo da Série SRX é configurado com políticas de firewall padrão e unificadas, você pode configurar várias políticas de IPS e definir uma dessas políticas como a política padrão. Se várias políticas de IPS estiverem configuradas para uma sessão e quando ocorre um conflito de políticas, o dispositivo aplica a política de IPS padrão para essa sessão e, portanto, resolve quaisquer conflitos de política.
Se você tiver configurado duas ou mais políticas de IPS em uma política de firewall, então você deve configurar a política de IPS padrão.
A fase inicial de busca da política de segurança, que ocorre antes de um aplicativo dinâmico ser identificado, pode resultar em várias correspondências de políticas em potencial. O IPS é habilitado na sessão se pelo menos uma das políticas de segurança combinadas tiver uma política de IPS configurada.
Se apenas uma política IPS estiver configurada na lista de políticas em potencial, essa política de IPS será aplicada para a sessão. Se houver várias políticas IPS configuradas para uma sessão na lista de políticas em potencial, então o dispositivo da Série SRX aplica a política IPS configurada como a política de IPS padrão.
IPS em Sistemas Lógicos
A partir do Junos Space Security Director Release 20.1R1, uma política de IPS permite que você aplique seletivamente várias técnicas de detecção e prevenção de ataques no tráfego de rede que passa por um sistema lógico (LSYS).
Você pode configurar políticas IPS no nível raiz. Configurar uma política IPS para LSYS é semelhante à configuração de uma política IPS em um dispositivo que não está configurado para LSYS. Isso pode incluir a configuração de objetos de ataque personalizados. Os modelos de política de IPS instalados no LSYS raiz são visíveis e usados por todos os LSYS. Especifique uma política de IPS no perfil de segurança vinculado a um LSYS. Embora você possa configurar várias políticas IPS, um LSYS pode ter apenas uma política IPS ativa de cada vez. Para o LSYS do usuário, você pode vincular a mesma política de IPS a vários usuários LSYS ou vincular uma política IPS única a cada LSYS de usuário.
Se você tiver configurado mais de uma política de IPS em uma política de segurança, então a configuração da configuração padrão de políticas de IPS é obrigatória. Se a política de IPS não estiver configurada para um LSYS do usuário, a política de IPS padrão configurada será usada.
Você deve instalar a licença de assinatura IPS no nível raiz. Assim que o IPS estiver habilitado no nível raiz, ele pode ser usado com qualquer LSYS no dispositivo. Um único pacote de segurança IPS é instalado para todo o LSYS no dispositivo no nível raiz. As opções de download e instalação só podem ser executadas no nível raiz. A mesma versão do banco de dados de ataque IPS é compartilhada por todos os LSYS.
Os dispositivos que executam o Junos OS Release 18.3 em diante oferecem suporte ao IPS para o Logical System.
Para configurar a política de IPS em uma política de firewall e importar uma política de firewall que tenha a política IPS configurada, consulte o Guia In Focus.