Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP安全数据包捕获

一IDP传感器配置定义了数据包捕获的设备规格。

有关详细信息,请参阅以下主题:

了解安全数据包捕获

查看攻击之前和后续的数据包可帮助您确定尝试性攻击的目的和范围、攻击是否成功,以及任何网络损坏是否由攻击造成。数据包分析还有助于定义攻击签名,以最大限度地减少误报。

如果在记录攻击时启用数据包捕获,则为会话捕获攻击之前和之后指定的数据包数。收集所有数据包后,它们会通过设备管理接口 (DMI) 传输到主机设备进行脱机分析。

发生规则匹配时,IDP策略规则中的通知选项允许数据包捕获。该选项可进一步定义要捕获的数据包数量以及关联会话的数据包捕获持续时间。

一IDP传感器配置定义了数据包捕获的设备规格。此命令的选项确定要分配用于数据包捕获的内存,以及数据包捕获对象之间传输的源和主机设备。

命令 show 显示数据包捕获计数器,这些计数器提供有关设备上数据包捕获活动的进度、成功和失败的详细信息。

每次会话仅提供一次数据包捕获支持。

注意:

当数据包捕获配置了改进的预攻击配置参数值时,资源使用成正比增加,并且可能会影响设备的性能。

数据包捕获IDP支持

从 Junos OS 22.1R1 版开始,可以启用安全 SSL 或 TLS 连接,并将加密 IDP 数据包捕获日志发送到数据包捕获接收方。要建立 SSL 或 TLS 连接,必须在数据包日志配置中指定要IDP SSL 初始化配置文件名称。SRX 设备是 SSL 或 TLS 客户端,数据包捕获接收器是 SSL 或 TLS 服务器。

IDP在数据包日志配置中启用了加密支持时,使用安全 SSL 或 TLS 连接将 IDP 数据包日志发送到逻辑系统或租户系统内所有会话(加密和非加密)的已配置主机。将数据包日志发送至数据包捕获接收器后,SSL 连接将关闭。

以前,在将加密流量发送至检查时,IDP使用 SSL 代理对解密的流量进行重新加密并检测此流量以检测攻击。如果检测到攻击并配置了数据包日志,则将解密的数据包作为数据包日志的一部分通过 UDP 流量发送到配置的主机。不加密的数据包日志传输不安全,特别是在捕获的数据包日志用于加密流量时。

注意:

启用加密支持时,必须在每个逻辑系统中单独配置 SSL 配置文件。在IDP逻辑系统中为传输参数执行的配置不能用于其他逻辑系统或租户系统。

数据包日志的 SSL 或 TLS IDP按如下方式提供:

  • 当数据包记录进程启动时,如果没有与主机的 SSL 或 TLS 连接,将建立新的 SSL 连接,用于发送数据包日志。

  • 在数据包日志传输期间,如果存在现有 SSL 或 TLS 连接,则重用同一连接。

  • 当数据包日志记录停止时,捕获的数据包通过建立的 SSL 或 TLS 连接发送。

  • 当 SSL 或 TLS 数据包传输会话繁忙时,如果主机有新的数据包日志请求,则这些数据包日志将被推回并仅在现有 SSL 会话完成时发送。

IDP的数据包日志配置现在支持 SSL 配置文件名称配置。您可使用此更新的数据包日志配置为数据包日志建立IDP SSL 连接。

使用 SSL IDP数据包日志命令的更新包括:

  • set security idp sensor-configuration packet-log ssl-profile-name < profile-name>
  • 对于逻辑系统内的会话-set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
  • 对于租户系统内的会话-set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>

这些命令中提及的配置文件名称必须在 SSL 初始化配置文件配置中配置。SSL 初始配置文件配置执行所需的 SSL 证书和 SSL 握手操作以建立安全连接。SSL 版本根据 SSL 初始配置选择。

注意:

如果 SSL 配置文件名称未在 SSL 初始化配置文件配置中配置,则不显示以下消息 参考 SSL 初始化配置文件

要查看新的数据包日志计数器,请使用 show security idp counters packet-log 命令。

好处

  • 使用 SSL 和 TLS 密钥和证书加密机制提供数据隐私和安全。

  • 允许支持将潜在专用信息流传输至网络中共享的实体。

示例:配置安全数据包捕获

此示例说明了如何配置安全数据包捕获。

要求

开始之前,配置网络接口。

概述

此示例为策略 pol0 规则 1 配置数据包捕获。规则指定,如果发生攻击,在攻击之前捕获 10 个数据包,在捕获攻击后捕获 3 个数据包,攻击后捕获应在 60 秒后完成。传感器配置被修改用于分配 5% 的可用内存和 15% 的可用IDP数据包捕获。数据包捕获对象准备好时,会从设备 10.56.97.3 传输到设备 10.24.45.7 上的端口 5。

配置

程序

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI [edit] commit 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户 指南 中的 在配置模式下CLI 编辑器

要配置安全数据包捕获:

  1. 创建一IDP策略。

  2. 将规则库与策略关联。

  3. 将规则添加到规则库。

  4. 指定通知,定义每个数据包捕获的大小和计时限制。

  5. 将攻击定义为匹配标准。

  6. 为规则指定操作。

  7. 启用安全 idp 传感器配置。

  8. (可选)禁用安全 idp 传感器配置日志抑制功能。

    注意:

    如果IDP启用了抑制日志(这是默认行为),在与单个签名匹配的大量或重复攻击事件期间,SRX 系列设备不能生成数据包捕获 (PCAP),并且转发给收集器。如果您需要针对每次攻击使用 PCAP 记录,建议IDP抑制日志。

  9. 分配用于数据包捕获的设备资源。

  10. 识别用于传输数据包捕获对象的源和主机设备。

  11. 启用安全的 SSL 或 TLS 连接,以加密IDP主机 (PCAP reciever) 的数据包日志。

    上述 SSL 配置文件名称应配置在 SSL 初始化配置文件配置中。SSL 初始化配置支持的所有 SSL 和 TLS 版本均支持用于此IDP日志 SSL 或 TLS 连接。您只能选择 SSL 初始化配置中配置的 SSL 或 TLS 版本。

    运行 user@host# show services ssl initiation | display set 可查看 SSL 初始化中配置的 SSL 配置文件名称,并使用所需的 SSL 或 TLS 版本。

结果

在配置模式下,输入 命令以确认您的 show security idp 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

确认配置工作正常。

验证安全数据包捕获

目的

验证安全数据包捕获。

行动

在操作模式下,输入 show security idp counters packet-log 命令。

示例:配置数据路径数据包捕获调试

此示例说明了如何配置数据包捕获以监控在设备中传输的信息流。数据包捕获随后将数据包转储为 PCAP 文件格式,稍后由 tcpdump 实用程序检查。

要求

开始之前,请参阅 调试数据路径(CLI过程)

概述

为过滤流量而定义过滤器;然后,操作配置文件将应用于过滤的流量。操作配置文件指定处理单元上的各种操作。支持的其中一个操作是数据包转储,它路由引擎数据包以专有形式存储,然后使用 命令 show security datapath-debug capture 来读取。

注意:

数据路径调试在 SRX1400、SRX3400、SRX3600、SRX5400、SRX5600 和 SRX5800 上SRX5800。

配置

程序

CLI快速配置

[edit]commit快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关操作说明,请参阅 在"用户指南" CLI模式使用 Junos OS CLI 编辑器

要配置数据包捕获:

  1. 编辑数据包处理路径上多个处理单元的安全数据路径调试选项:

  2. 启用捕获文件、文件格式、文件大小和文件数。大小编号可限制捕获文件的大小。达到限制xx大小后,如果指定了文件名,捕获文件将旋转至文件名,在此文件中自动递增,直到到达指定的索引,然后返回零。如果未指定文件索引,则到达大小限制后数据包将被丢弃。默认大小为 512 KB。

  3. 启用操作配置文件并设置事件。将操作配置文件设置为 do-capture,将事件类型设置为 np-入口:

  4. 为操作配置文件启用数据包转储:

  5. 启用包过滤、操作和过滤选项。包过滤设置为我的过滤器,操作配置文件设置为 do-capture,过滤器选项设置为源前缀 1.2.3.4/32。

结果

在配置模式下,输入 命令以确认您的 show security datapath-debug 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。以下是命令show security datapath-debug 的输出 show security datapath-debug

如果完成设备配置,请从配置 commit 模式输入 。

验证

确认配置工作正常。

验证数据包捕获

目的

验证数据包捕获是否工作。

行动

在操作模式下,输入 命令 request security datapath-debug capture start 以开始数据包捕获,然后 request security datapath-debug capture stop 输入 命令以停止数据包捕获。

要查看结果,请从CLI操作模式访问本地 UNIX shell,并导航到目录/var/log/my-capture 。可以使用 tcpdump 实用程序读取结果。

验证数据路径调试捕获

目的

验证数据路径调试捕获文件的详细信息。

行动

在操作模式下,输入 show security datapath-debug capture 命令。

警告:

完成故障排除后,请确保删除或停用所有追踪选项配置(不限于流追踪选项)和完整安全数据路径调试配置部分。如果任何调试配置仍处于活动状态,它们将继续使用设备的 CPU 和内存资源。

验证数据路径调试计数器

目的

验证数据路径调试计数器的详细信息。

行动

在操作模式下,输入 show security datapath-debug counter 命令。

IDP系统和租户系统的安全数据包日志记录

从 21.3R1 Junos OS版本开始,您可以捕获IDP系统和租户系统的安全数据包日志。在安全设备上启用数据包捕获后,您还可以指定要捕获的一些攻击后或攻击前数据包。在安全设备上配置数据包捕获后,设备将收集捕获的信息,并作为数据包捕获 (.pcap) 文件存储在逻辑系统和租户系统级别。

为逻辑IDP系统配置安全数据包日志时,您的配置将视为以下示例:

IDP数据包日志记录示例配置

路由和可达性

您可以在逻辑系统和租户系统级别指定数据包日志记录传感器,以将捕获的数据包存储在目标设备(PCAP 接收器)上。要发送并存储捕获的数据包,必须在逻辑系统和租户系统配置中添加目标设备的 IP 地址。否则,设备将使用在根逻辑系统和租户系统级别配置的设备 IP 地址来发送捕获的数据包。在这种情况下,捕获的数据包不会存储在逻辑系统和租户系统级别。

如果您的根逻辑系统和租户系统不包含目标设备的 IP 地址,安全设备无法将捕获的数据包发送到目标。

您可以使用 命令并 show security idp counters packet log logical-system <logical-system-name> 检查选项 Packet log host route lookup failures 字段,以查看安全设备因缺少路由详细信息未发送捕获的数据包次数。