IDP-Sicherheits-Paketerfassung
In diesem Thema wird beschrieben, wie Pakete vor und nach einem Angriff erfasst werden, um Angriffsdetails zu ermitteln und Signaturen zu erstellen. Es behandelt die Aktivierung der Paketerfassung für bestimmte Regeln, die Konfiguration der Speicherzuweisung und die Übertragung der erfassten Pakete zur Analyse an ein Host-Gerät. Die Verschlüsselungsunterstützung mit SSL/TLS für Paketprotokolle wird eingeführt, ebenso wie die Möglichkeit, Protokolle lokal zu speichern.
Eine IDP-Sensorkonfiguration definiert die Gerätespezifikationen für die Paketerfassung.
Paketerfassung verstehen
Durch die Anzeige von Paketen, die einem Angriff vorausgehen und folgen, können Sie den Zweck und das Ausmaß eines Angriffsversuchs ermitteln, ob ein Angriff erfolgreich war und ob ein Netzwerkschaden durch einen Angriff verursacht wurde. Die Paketanalyse hilft auch bei der Definition von Angriffssignaturen, um Fehlalarme zu minimieren.
Wenn die Paketerfassung aktiviert ist, wenn ein Angriff protokolliert wird, kann eine bestimmte Anzahl von Paketen vor und nach dem Angriff für die Sitzung erfasst werden. Wenn alle Pakete gesammelt wurden, werden sie in der Geräteverwaltungsschnittstelle (DMI) zur Offline-Analyse an ein Hostgerät übertragen.
Eine Benachrichtigungsoption in der IDP-Richtlinienregel ermöglicht die Paketerfassung, wenn eine Regelübereinstimmung auftritt. Die Option definiert außerdem die Anzahl der zu erfassenden Pakete und die Dauer der Paketerfassung für die zugehörige Sitzung.
Eine IDP-Sensorkonfiguration definiert die Gerätespezifikationen für die Paketerfassung. Die Optionen für diesen Befehl bestimmen den Speicher, der für die Paketerfassung zugewiesen werden soll, sowie die Quell- und Hostgeräte, zwischen denen das Paketerfassungsobjekt übertragen wird.
Ein show Befehl zeigt Paketerfassungszähler an, die Details zum Fortschritt, Erfolg und Misserfolg der Paketerfassungsaktivität auf dem Gerät liefern.
Die Unterstützung für die Paketerfassung ist nur einmal pro Sitzung verfügbar.
Wenn die Paketerfassung mit einem verbesserten Wert für die Konfiguration vor dem Angriff konfiguriert ist, steigt die Ressourcennutzung proportional und kann die Leistung Ihres Geräts beeinträchtigen.
- Verschlüsselungsunterstützung für die IDP-Paketerfassung
- Unterstützung für IDP On-Box-Paketerfassung
Verschlüsselungsunterstützung für die IDP-Paketerfassung
Sie können eine Secure Sockets Layer (SSL)- oder Transportschicht Sicherheit (TLS)-Verbindung aktivieren und verschlüsseltes IDP-Paketerfassungsprotokoll an den Paketerfassungsempfänger senden. Um die SSL- oder TLS-Verbindung herzustellen, müssen Sie den Namen des SSL-Initiierungsprofils angeben, den Sie in der IDP-Paketprotokollkonfiguration verwenden möchten. Das Sicherheitsgerät ist der SSL- oder TLS-Client und der Paketerfassungsempfänger ist der SSL- oder TLS-Server.
IDP verwendet eine sichere SSL- oder TLS-Verbindung, um die IDP-Paketprotokolle für alle Sitzungen (verschlüsselt und nicht verschlüsselt) innerhalb eines logischen Systems oder eines Mandantensystems an den konfigurierten Host zu senden, wenn die Verschlüsselungsunterstützung in der Paketprotokollkonfiguration aktiviert ist. Sobald die Paketprotokolle an den Paketerfassungsempfänger gesendet wurden, wird die SSL-Verbindung geschlossen.
Wenn zuvor verschlüsselter Datenverkehr zur Überprüfung gesendet wurde, empfing IDP entschlüsselten Datenverkehr über einen SSL-Proxy und überprüfte ihn auf Angriffserkennung. Wenn ein Angriff erkannt und das Paketprotokoll konfiguriert wurde, wurden die entschlüsselten Pakete als Teil des Paketprotokolls über den UDP-Datenverkehr an den konfigurierten Host gesendet. Diese unverschlüsselte Übertragung des Paketprotokolls ist nicht gesichert, insbesondere wenn das erfasste Paketprotokoll für verschlüsselten Datenverkehr bestimmt ist.
Wenn die Verschlüsselungsunterstützung aktiviert ist, muss das SSL-Profil in jedem logischen System separat konfiguriert werden. Die im logischen Wurzelsystem für Transportparameter durchgeführte IDP-Sensorkonfiguration kann nicht für die anderen logischen Systeme oder Mandantensysteme verwendet werden.
Die SSL- oder TLS-Verbindung für IDP-Paketprotokolle wird wie folgt hergestellt:
-
Wenn zu Beginn des Paketprotokollierungsprozesses keine SSL- oder TLS-Verbindung zum Host besteht, wird eine neue SSL-Verbindung zum Senden der Paketprotokolle hergestellt.
-
Wenn während der Paketprotokollübertragung eine SSL- oder TLS-Verbindung besteht, wird dieselbe Verbindung wiederverwendet.
-
Wenn die Paketprotokollierung beendet wird, werden die erfassten Pakete über die aufgebaute SSL- oder TLS-Verbindung übertragen.
-
Wenn eine SSL- oder TLS-Paketübertragungssitzung ausgelastet ist und eine neue Paketprotokollanforderung vom Host eingeht, werden die neuen Paketprotokolle in die Warteschlange gestellt und erst gesendet, nachdem die vorhandene SSL-Sitzung abgeschlossen ist.
Die Paketprotokollkonfiguration von IDP unterstützt jetzt die Konfiguration des SSL-Profilnamens. Sie können diese aktualisierte Paketprotokollkonfiguration verwenden, um eine sichere SSL-Verbindung für IDP-Paketprotokolle herzustellen.
Die aktualisierten IDP-Paketprotokollbefehle mit SSL-Konfiguration lauten:
set security idp sensor-configuration packet-log ssl-profile-name < profile-name>- Für Sitzungen innerhalb eines logischen Systems
set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name> -
Für Sitzungen innerhalb eines Mandantensystems-
set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
Der in diesen Befehlen erwähnte Profilname muss in der Konfiguration des SSL-Initiierungsprofils konfiguriert werden. Die Konfiguration des SSL-Initiierungsprofils führt die erforderlichen SSL-Zertifikate und SSL-Handshake-Vorgänge aus, um eine sichere Verbindung herzustellen. Die SSL-Versionen werden basierend auf der Konfiguration des SSL-Initiierungsprozesses ausgewählt.
Wenn der SSL-Profilname in der Konfiguration des SSL-Initiierungsprofils nicht konfiguriert ist, wird die folgende Meldung angezeigt: Referenziertes SSL-Initiierungsprofil ist nicht definiert.
Verwenden Sie den show security idp counters packet-log Befehl, um die neuen Paketprotokollzähler anzuzeigen.
Vorteile
-
Gewährleistet Datenschutz und Sicherheit mithilfe von SSL- und TLS-Schlüsseln sowie zertifikatsbasierter Verschlüsselung.
-
Ermöglicht Unterstützung für das Streamen potenzieller privater Informationen an freigegebene Entitäten in einem Netzwerk.
Unterstützung für IDP On-Box-Paketerfassung
Wenn ein Angriff stattfindet, werden Pakete mit der IDP-Paketprotokollierungsfunktion erfasst und das Angriffsverhalten offline analysiert. Manchmal ist ein Protokollerfassungsgerät wie Security Director nicht für die Offlineerfassung der erfassten Pakete verfügbar. In solchen Fällen können die erfassten Pakete lokal gespeichert und Details im J-Web eingesehen werden.
Die vorhandenen IDP-Paketprotokollkonfigurationen werden wie gewohnt verwendet, und Sie können die Befehle verwenden, um das Paketprotokoll für die IDP-Regel festzulegen. Sie können den set security idp sensor-configuration packet-log local-storage Befehl verwenden, um die erfassten Pakete auf dem Gerät zu speichern.
Wenn Sie diese Konfiguration verwenden, ändert sich das Senden des Paketprotokolls an den externen Host oder Collector, wenn die Details für den Host konfiguriert sind.
Der erfasste Datenverkehr wird unter /var/log/pcap/idp/ gespeichert. Der Name der PCAP-Datei basiert auf dem Zeitstempel, der Angriffsprotokoll-ID und der Trigger-Paketnummer.
Sie können die Anzahl der erstellten PCAP-Dateien mithilfe der bereitgestellten Protokollrotationsfunktion einschränken. Verwenden Sie die folgende Konfiguration, um die Anzahl der PCAP-Dateien zu begrenzen, die in /var/log/pcap/idp erstellt werden sollen:
set security idp sensor-configuration packet-log local-storage max-files <1..5000>
Der Standardwert ist 500.
Die folgende Konfiguration wird verwendet, um den Grenzwert für den maximalen Speicherplatz festzulegen, der zum Speichern der PCAP-Dateien verwendet werden soll.
set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>
Der Standardwert ist 100M und der Mindestwert ist 1M.
Zähler zeigen die On-Box-Erfassungsstatistiken an. Den vorhandenen Paketprotokollzählern werden neue Zähler hinzugefügt. Sie können Details zu den Paketprotokollzählern mit dem folgenden Befehl anzeigen:
user@host> show security idp counters packet-log
IDP counters: Total packets sent for local packet capture 0 Total sessions enabled for local packet capture 0 Sessions currently enabled for local packet capture 0 Packets currently captured for local enabled sessions 0 Packet clone failures for local capture 0 Total failures sending packets captured to RE 0
Ein Flag wird jetzt für das vorhandene Syslog zum Schließen einer Sitzung gesetzt, wenn eine On-Box-Paketerfassungsdatei für diese Sitzung generiert wird. Der drittletzte Parameter im folgenden Beispiel (128 - Featurestatistiken für die Sitzung) gibt dies an. Im Folgenden sehen Sie ein Beispiel:
RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A
Im Folgenden finden Sie weitere nützliche Befehle:
-
Verwenden Sie
delete security idp sensor-configuration packet-log local-storageund commit, um die Konfiguration zu löschen, und committen, um die On-Box-Protokollierung zu deaktivieren. -
Verwenden Sie den Befehl clear counter,
clear security idp counters packet-logum die On-Box-Erfassungsdetails zu entfernen. -
Verwenden Sie diese Option
request security idp storage-cleanup packet-capture, um alle erfassten Dateien zu löschen.
Siehe auch
Beispiel: Konfigurieren der Sicherheitspaketerfassung
Dieses Beispiel zeigt, wie die Sicherheitspaketerfassung konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie die Netzwerkschnittstellen.
Überblick
In diesem Beispiel konfigurieren Sie eine Paketerfassung für Regel 1 der Richtlinie pol0. Die Regel legt fest, dass bei einem Angriff 1 Paket vor dem Angriff und 3 Pakete nach dem Angriff erfasst werden und dass die Erfassung nach dem Angriff nach 60 Sekunden ablaufen soll. Die Sensorkonfiguration wird geändert, um 5 Prozent des verfügbaren Speichers und 15 Prozent der IDP-Sitzungen der Paketerfassung zuzuweisen. Wenn das Paketerfassungsobjekt vorbereitet ist, wird es von Gerät 10.56.97.3 an Port 5 auf Gerät 10.24.45.7 übertragen.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie dann die Befehle, fügen Sie sie in die CLI auf Hierarchieebene [edit] ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security idp idp-policy pol0 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60 set security idp sensor-configuration packet-log total-memory 5 max-sessions 15 source-address 10.56.97.3 host 10.24.45.7 port 5 set security idp sensor-configuration log suppression disable set security idp idp-policy pol0 rulebase-ips rule 1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy pol0 rulebase-ips rule 1 then action drop-packet
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Sicherheitspaketerfassung:
-
Erstellen Sie eine IDP-Richtlinie.
[edit] user@host# edit security idp idp-policy pol0
-
Ordnen Sie der Richtlinie eine Regelbasis zu.
[edit edit security idp idp-policy pol0] user@host# edit rulebase-ips
-
Fügen Sie der Regelbasis Regeln hinzu.
[edit edit security idp idp-policy pol0 rulebase-ips] user@host# edit rule 1
-
Geben Sie die Benachrichtigung sowie die Größen- und Zeitbeschränkungen für jede Paketerfassung an.
[edit security idp idp-policy pol0 rulebase-ips rule 1 ] user@host# set then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60
-
Definieren Sie einen Angriff als Übereinstimmungskriterium.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
-
Geben Sie eine Aktion für die Regel an.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host#set then action drop-packet
-
Aktivieren Sie die Konfiguration des Sicherheits-IDP-Sensors.
[edit] user@host# edit security idp sensor-configuration
-
(Optional) Deaktivieren Sie die Unterdrückung des Sicherheits-IDP-Sensorkonfigurationsprotokolls.
[edit] user@host# set security idp sensor-configuration log suppression disable
Wenn die Unterdrückung des IDP-Protokolls aktiviert ist (was das Standardverhalten ist), wird bei Vorfällen mit hohem Volumen oder wiederholten Angriffen, die mit einer einzelnen Signatur übereinstimmen, möglicherweise keine Paketerfassung (PCAP) von der Firewall der SRX-Serie generiert und an den Collector weitergeleitet. Es wird empfohlen, die Unterdrückung des IDP-Protokolls zu deaktivieren, wenn Sie für jeden Angriff PCAP-Einträge benötigen.
-
Weisen Sie die Geräteressourcen zu, die für die Paketerfassung verwendet werden sollen.
[edit security idp sensor-configuration] user@host# set packet-log total-memory 5 max-sessions 15
-
Identifizieren Sie die Quell- und Hostgeräte für die Übertragung des Paketerfassungsobjekts.
[edit security idp sensor-configuration] user@host# set packet-log source-address 10.56.97.3 host 10.24.45.7 port 5
- Aktivieren Sie eine gesicherte SSL- oder TLS-Verbindung, um das an den konfigurierten Host (PCAP-Empfänger) gesendete IDP-Paketprotokoll zu verschlüsseln.
[edit security idp sensor-configuration] user@host# set packet-log ssl-profile-name ssl3
[edit](Logical Systems) user@host# set logical system LS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
[edit(Tenant Systems) user@host# set tenants TS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
Konfigurieren Sie den zuvor genannten SSL-Profilnamen in der Konfiguration des SSL-Initiierungsprofils. Alle SSL- und TLS-Versionen, die von der SSL-Initiierungskonfiguration unterstützt werden, werden für diese SSL- oder TLS-Verbindung des IDP-Paketprotokolls unterstützt. Sie können nur die SSL- oder TLS-Version auswählen, die in der SSL-Initiierungskonfiguration konfiguriert ist.
Führen Sie die user@host# show services ssl initiation | display set aus, um den in der SSL-Initiierung konfigurierten SSL-Profilnamen anzuzeigen und die erforderliche SSL- oder TLS-Version zu verwenden.
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security idp Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security idp
idp-policy pol0 {
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attack-groups TELNET-Critical;
}
}
then {
action {
drop-packet;
}
notification {
packet-log {
pre-attack 1;
post-attack 3;
post-attack-timeout 60;
}
}
}
}
}
}
sensor-configuration {
log {
suppression {
disable;
}
}
packet-log {
total-memory {
5;
}
max-sessions {
15;
}
source-address 10.56.97.3;
host {
10.24.45.7;
port 5;
}
##
## Warning: Referenced SSL initiation profile is not defined
##
ssl-profile-name ssl3;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Sicherheitspaketerfassung
Zweck
Überprüfen Sie die Erfassung des Sicherheitspakets.
Aktion
Geben Sie im Betriebsmodus den show security idp counters packet-log Befehl ein.
user@host> show security idp counters packet-log
IDP counters: Value Total packets captured since packet capture was activated 0 Total sessions enabled since packet capture was activated 0 Sessions currently enabled for packet capture 0 Packets currently captured for enabled sessions 0 Packet clone failures 0 Session log object failures 0 Session packet log object failures 0 Sessions skipped because session limit exceeded 0 Packets skipped because packet limit exceeded 0 Packets skipped because total memory limit exceeded 0
Beispiel: Konfigurieren der Paketerfassung für das Debuggen von Datenpfaden
In diesem Beispiel wird gezeigt, wie die Paketerfassung so konfiguriert wird, dass der Datenverkehr überwacht wird, der das Gerät passiert. Bei der Paketerfassung werden die Pakete dann in ein PCAP-Dateiformat ausgegeben, das später vom Dienstprogramm tcpdump untersucht werden kann.
Anforderungen
Bevor Sie beginnen, lesen Sie Festlegen des Datenpfaddebuggens (CLI-Verfahren).
Überblick
Zum Filtern des Datenverkehrs ist ein Filter definiert. Anschließend wird ein Aktionsprofil auf den gefilterten Datenverkehr angewendet. Das Aktionsprofil gibt eine Vielzahl von Aktionen auf der Verarbeitungseinheit an. Eine der unterstützten Aktionen ist der Paketdump, der das Paket an die Routing-Engine sendet und es in proprietärer Form speichert, damit es mit dem show security datapath-debug capture Befehl gelesen werden kann.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die Paketerfassung:
Bearbeiten Sie die Option security datapath-debug für die mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads:
[edit] user@host# edit security datapath-debug
Aktivieren Sie die Erfassungsdatei, das Dateiformat, die Dateigröße und die Anzahl der Dateien. Die Größe der Erfassungsdatei wird durch die Größennummer begrenzt. Wenn nach Erreichen der Grenzwertgröße die Dateinummer angegeben ist, wird die Erfassungsdatei in Dateiname xgedreht, wobei x automatisch erhöht wird, bis sie den angegebenen Index erreicht und dann auf Null zurückkehrt. Wenn kein Dateiindex angegeben ist, werden die Pakete nach Erreichen der Größenbeschränkung verworfen. Die Standardgröße beträgt 512 Kilobyte.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Aktivieren Sie das Aktionsprofil und legen Sie das Ereignis fest. Legen Sie das Aktionsprofil auf do-capture und den Ereignistyp auf np-ingress fest:
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Aktivieren Sie den Paketdump für das Aktionsprofil:
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Aktivieren Sie Paketfilter-, Aktions- und Filteroptionen. Der Paketfilter ist auf my-filter festgelegt, das Aktionsprofil auf do-capture und die Filteroption auf source-prefix 10.2.3.4/32.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security datapath-debug Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 10.2.3.4/32
action-profile do-capture
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Paketerfassung
- Überprüfen der Erfassung beim Debugging des Datenpfads
- Überprüfen des Zählers für das Debuggen des Datenpfads
Überprüfen der Paketerfassung
Zweck
Überprüfen Sie, ob die Paketerfassung funktioniert.
Aktion
Geben Sie im Betriebsmodus den Befehl ein, um die request security datapath-debug capture start Paketerfassung zu starten, und geben Sie den Befehl ein, um die request security datapath-debug capture stop Paketerfassung zu stoppen.
Um die Ergebnisse anzuzeigen, greifen Sie im CLI-Betriebsmodus auf die lokale UNIX-Shell zu und navigieren Sie zum Verzeichnis /var/log/my-capture. Das Ergebnis kann mit dem Dienstprogramm tcpdump ausgelesen werden.
Überprüfen der Erfassung beim Debugging des Datenpfads
Zweck
Überprüfen Sie die Details der Erfassungsdatei für das Debuggen des Datenpfads.
Aktion
Geben Sie im Betriebsmodus den show security datapath-debug capture Befehl ein.
user@host> show security datapath-debug capture
Wenn Sie mit der Problembehandlung fertig sind, stellen Sie sicher, dass Sie alle Traceoptionskonfigurationen (nicht beschränkt auf Flow-Trace-Optionen) und die vollständige Sicherheits-Datapath-Debug-Konfigurationsgruppe entfernen oder deaktivieren. Wenn Debugkonfigurationen aktiv bleiben, verwenden sie weiterhin die CPU- und Speicherressourcen des Geräts.
Überprüfen des Zählers für das Debuggen des Datenpfads
Zweck
Überprüfen Sie die Details des Indikators für das Debuggen des Datenpfads.
Aktion
Geben Sie im Betriebsmodus den show security datapath-debug counter Befehl ein.
IDP-Sicherheits-Paketprotokollierung für logische Systeme und Mandantensysteme
Sie können IDP-Sicherheitspaketprotokolle für logische Systeme und Mandantensysteme erfassen. Wenn die Paketerfassung auf Ihrem Sicherheitsgerät aktiviert ist, können Sie auch eine Anzahl von Paketen nach oder vor dem Angriff angeben, die erfasst werden sollen. Nachdem Sie die Paketerfassung auf Ihrem Sicherheitsgerät konfiguriert haben, sammelt das Gerät die erfassten Informationen und speichert sie als Paketerfassungsdatei (.pcap) auf der Ebene der logischen Systeme und Mandantensysteme.
Wenn Sie IDP-Sicherheitspaketprotokolle für logische Systeme und Mandantensysteme konfigurieren, sieht Ihre Konfiguration wie das folgende Beispiel aus:
Beispielkonfiguration für die IDP-Paketprotokollierung
[edit logical-systems LSYS-1]
user@host# show
security {
idp {
sensor-configuration {
packet-log {
threshold-logging-interval 2;
source-address 192.168.0.0;
host {
172.16.0.0;
port 2050;
}
}
}
}
}
Route und Erreichbarkeit
Sie können Paketprotokollierungssensoren auf der Ebene der logischen Systeme und Mandantensysteme angeben, um die erfassten Pakete auf einem Zielgerät (Paketerfassungsempfänger) zu speichern. Um die erfassten Pakete zu senden und zu speichern, müssen Sie die IP-Adresse des Zielgeräts in Ihrer Konfiguration der logischen Systeme und Mandantensysteme hinzufügen. Andernfalls verwendet das Gerät die IP-Adresse des Geräts, das auf der Ebene der logischen Root-Systeme und der Mandantensysteme konfiguriert ist, um das erfasste Paket zu senden. In diesem Fall werden erfasste Pakete nicht auf der Ebene der logischen Systeme und Mandantensysteme gespeichert.
Das Sicherheitsgerät kann das erfasste Paket nicht senden, wenn Ihren logischen Root-Systemen und Mandantensystemen die IP-Adresse des Zielgeräts fehlt.
Verwenden Sie den show security idp counters packet log logical-system logical-system-name Befehl. Aktivieren Sie die Packet log host route lookup failures Option. Ermitteln Sie, wie oft das Sicherheitsgerät aufgrund fehlender Routendetails keine Pakete gesendet hat.
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.