IDP-Richtlinien
IDP-Richtlinien in der Junos-Software von Juniper Networks wurden entwickelt, um unbefugten Zugriff auf Netzwerkressourcen zu erkennen und zu verhindern. Die Richtlinien verwenden vordefinierte und benutzerdefinierte Angriffsobjekte, um potenzielle Bedrohungen zu identifizieren. Durch die Konfiguration von IDP-Richtlinien können Netzwerkadministratoren schädliche Aktivitäten überwachen, protokollieren und blockieren und so die Sicherheit und Integrität ihrer Netzwerkinfrastruktur verbessern.
Mit der IDP-Richtlinie von Junos OS können Sie selektiv verschiedene Techniken zur Erkennung und Verhinderung von Angriffen im Netzwerkverkehr erzwingen, der ein IDP-fähiges Gerät passiert. Sie können damit Richtlinienregeln definieren, die basierend auf einer Zone, einem Netzwerk und einer Anwendung einem Datenverkehrsabschnitt entsprechen, und anschließend aktive oder passive Vorkehrung für diesen Datenverkehr treffen.
Weitere Informationen finden Sie in den folgenden Themen:
IDP-Richtlinien – Übersicht
Eine IDP-Richtlinie definiert, wie Ihr Gerät mit dem Netzwerkverkehr umgeht. Sie ermöglicht es Ihnen, verschiedene Techniken für die Erkennung und Verhinderung von Angriffen im Datenverkehr in Ihrem Netzwerk durchzusetzen.
Eine Richtlinie besteht aus rule bases, und jede Regelbasis enthält einen Satz von rules. Sie definieren Regelparameter, z. B. Datenverkehrsübereinstimmungsbedingungen, Aktionen und Protokollierungsanforderungen, und fügen die Regeln dann zu Regeldatenbanken hinzu. Nachdem Sie eine IDP-Richtlinie erstellt haben, indem Sie Regeln in einer oder mehreren Regelbasen hinzugefügt haben, können Sie diese Richtlinie als aktive Richtlinie auf Ihrem Gerät auswählen.
Mit Junos OS können Sie mehrere IDP-Richtlinien konfigurieren und anwenden. Die Validierung der Konfigurationen erfolgt für die IDP-Richtlinie, die als aktive Richtlinie konfiguriert ist. Sie können dieselbe IDP-Richtlinie auf mehreren Geräten oder eine eindeutige IDP-Richtlinie auf jedem Gerät in Ihrem Netzwerk installieren. Eine einzelne Richtlinie kann nur eine Instanz eines beliebigen Regelbasistyps enthalten.
Die IDP-Funktion ist standardmäßig aktiviert. Es ist keine Lizenz erforderlich. Benutzerdefinierte Angriffe und Gruppen in IDP-Richtlinien können auch dann konfiguriert und installiert werden, wenn keine gültige Lizenz und Signaturdatenbank auf dem Gerät installiert sind.
Wenn eine neue IDP-Richtlinie geladen wird, werden die vorhandenen Sitzungen anhand der neu geladenen Richtlinie überprüft, und die vorhandenen Sitzungen werden bei der IDP-Verarbeitung nicht ignoriert.
In der folgenden Liste wurden die IDP-Überprüfungsänderungen für die vorhandenen Sitzungen beschrieben, nachdem eine neue Richtlinie geladen wurde:
Paketbasierte Signaturen: Mit der neuen IDP-Richtlinie wird die IDP-Prüfung auf paketbasierte Angriffe fortgesetzt.
Stream-basierte Signaturen: Die IDP-Überprüfung wird für Stream-basierte Angriffe von der neuen IDP-Richtlinie fortgesetzt, wobei die End-Offset-Nummer kleiner ist als die Anzahl der Bytes, die für diesen Datenfluss übergeben wurden.
Kontextbasierte Signaturen: Die IDP-Überprüfung wird für kontextbasierte Angriffe, die vom Melder erstellt werden, fortgesetzt, nachdem eine neue IDP-Richtlinie geladen wurde, mit der Ausnahme, dass die neue Richtlinie, die mit dem neuen Detektor geladen wird.
Die folgenden IDP-Richtlinien werden unterstützt:
DMZ_Services
DNS_Services
File_Server
Getting_Started
IDP_Default
Empfohlen
Web_Server
Sie können die folgenden Aufgaben ausführen, um IDP-Richtlinien zu verwalten:
Erstellen Sie neue IDP-Richtlinien und beginnen Sie von Grund auf neu. Siehe Beispiel: Definieren von Regeln für eine IDP-IPS-Regelbasis.
Erstellen Sie eine IDP-Richtlinie, beginnend mit einer der von Juniper Networks bereitgestellten vordefinierten Vorlagen (siehe Vordefinierte IDP-Richtlinienvorlagen).
Hinzufügen oder Löschen von Regeln innerhalb einer Regelbasis. Sie können eines der folgenden IDP-Objekte verwenden, um Regeln zu erstellen:
Zone
Anmerkung:Sie können source-address und source-except addresses konfigurieren, wenn from-zone any ist, und in ähnlicher Weise destination-address und destination-except addresses haben, wenn to-zone any ist.
Im Basissystem verfügbare Netzwerkobjekte
Vordefinierte Serviceobjekte, die von Juniper Networks bereitgestellt werden
Benutzerdefinierte Anwendungsobjekte
Vordefinierte Angriffsobjekte, die von Juniper Networks bereitgestellt werden
Erstellen Sie benutzerdefinierte Angriffsobjekte (siehe Beispiel: Konfigurieren von IDP-Signatur-basierten Angriffen ).
Aktualisieren Sie die von Juniper Networks bereitgestellte Signaturdatenbank. Diese Datenbank enthält alle vordefinierten Objekte.
Pflegen Sie mehrere IDP-Richtlinien. Jede der Richtlinien kann auf das Gerät angewendet werden.
Die IDP-Richtlinien für jedes logische Benutzersystem werden zusammen zusammengestellt und im Data-Plane-Speicher gespeichert. Berücksichtigen Sie bei der Schätzung des angemessenen Data Plane-Speichers für eine Konfiguration die beiden folgenden Faktoren:
IDP-Richtlinien, die auf jedes logische Benutzersystem angewendet werden, werden als eindeutige Instanzen betrachtet, da die ID und die Zonen für jedes logische Benutzersystem unterschiedlich sind. Schätzungen müssen die kombinierten Speicheranforderungen für alle logischen Systeme des Benutzers berücksichtigen.
Mit zunehmender Anzahl von Anwendungsdatenbanken benötigen kompilierte Richtlinien mehr Arbeitsspeicher. Die Speicherauslastung sollte unter dem verfügbaren Data-Plane-Arbeitsspeicher gehalten werden, um Datenbankerweiterungen zu ermöglichen.
Siehe auch
Grundlegendes zur Unterstützung von IDP-Richtlinien für einheitliche Richtlinien
Mit Unterstützung der IDP-Richtlinie innerhalb einer einheitlichen Sicherheitsrichtlinie:
Die IDP-Richtlinie wird mit dem
set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy <idp-policy-name>Befehl aktiviert.Da die IDP-Richtlinie innerhalb der einheitlichen Sicherheitsrichtlinie zur Verfügung gestellt wird, werden alle IDP-Übereinstimmungen innerhalb der einheitlichen Richtlinie behandelt, es sei denn, es ist eine explizite Quelle, ein Ziel oder eine Anwendung definiert (herkömmliche Richtlinie).
Sie können zusätzlich Übereinstimmungsbedingungen in IDP konfigurieren, um zusätzliche Prüfgranularität zu erreichen.
Die Konfiguration von Quell- oder Zieladresse, Quelle und Ziel – außer, von und bis Zone oder Anwendung ist bei einheitlichen Richtlinien nicht erforderlich, da die Übereinstimmung in der Sicherheitsrichtlinie selbst erfolgt.
Die Layer 7-Anwendung kann während der Lebensdauer einer Sitzung geändert werden, und diese Anwendungsänderung kann zur Deaktivierung des IDP-Diensts für die Sitzung führen.
Die anfängliche Übereinstimmung der Sicherheitsrichtlinie kann zu einer oder mehreren Richtlinienübereinstimmungen führen. Im Rahmen der Sitzungsinteressenprüfung wird IDP aktiviert, wenn die IDP-Richtlinie in einer der übereinstimmenden Regeln vorhanden ist.
Wenn Sie eine herkömmliche Sicherheitsrichtlinie (mit einer Übereinstimmungsbedingung für 5 Tupel oder eine dynamische Anwendung, die als keine konfiguriert ist) und eine einheitliche Richtlinie (mit einer Übereinstimmungsbedingung mit 6 Tupeln) konfiguriert haben, stimmt die herkömmliche Sicherheitsrichtlinie zuerst mit dem Datenverkehr überein, bevor die einheitliche Richtlinie eingeführt wird.
Wenn Sie eine einheitliche Richtlinie mit einer dynamischen Anwendung als eine der übereinstimmenden Bedingungen konfigurieren, entfallen durch die Konfiguration die zusätzlichen Schritte, die mit der Konfiguration der IDP-Richtlinie verbunden sind. Alle IDP-Richtlinienkonfigurationen werden innerhalb der einheitlichen Sicherheitsrichtlinie gehandhabt, was die Konfiguration der IDP-Richtlinie so vereinfacht, dass Angriffe oder Eindringlinge für eine bestimmte Sitzung erkannt werden.
Grundlegendes zu mehreren IDP-Richtlinien für einheitliche Richtlinien
Wenn Sicherheitsgeräte mit einheitlichen Richtlinien konfiguriert sind, können Sie mehrere IDP-Richtlinien konfigurieren und eine dieser Richtlinien als IDP-Standardrichtlinie festlegen
Wenn mehrere IDP-Richtlinien für eine Sitzung konfiguriert sind und ein Richtlinienkonflikt auftritt, wendet das Gerät die IDP-Standardrichtlinie für diese Sitzung an und löst somit alle Richtlinienkonflikte auf.
Wenn Sie zwei oder mehr IDP-Richtlinien in einer einheitlichen Sicherheitsrichtlinie konfiguriert haben, müssen Sie die IDP-Standardrichtlinie konfigurieren.
Verwenden Sie den Befehl set security idp default-policy policy-name , um die IDP-Richtlinie als Standardrichtlinie zu konfigurieren.
Die anfängliche Phase der Suche nach Sicherheitsrichtlinien, die vor der Identifizierung einer dynamischen Anwendung stattfindet, kann zu mehreren potenziellen Richtlinienübereinstimmungen führen. IDP ist in der Sitzung aktiviert, wenn für mindestens eine der übereinstimmenden Sicherheitsrichtlinien eine IDP-Richtlinie konfiguriert ist.
Wenn in der Liste der potenziellen Richtlinien nur eine IDP-Richtlinie konfiguriert ist, wird diese IDP-Richtlinie für die Sitzung angewendet.
Wenn in der Liste der potenziellen Richtlinien mehrere IDP-Richtlinien für eine Sitzung konfiguriert sind, wendet das Gerät die IDP-Richtlinie an, die als Standard-IDP-Richtlinie konfiguriert ist.
Wenn nach der Identifizierung dynamischer Anwendungen für eine Sitzung IDP-Richtlinien konfiguriert sind, die sich von der IDP-Standardrichtlinie unterscheiden, wird eine erneute Richtliniensuche durchgeführt, und die für die endgültige übereinstimmende Richtlinie konfigurierte IDP-Richtlinie wird angewendet.
Wenn die endgültige übereinstimmende Sicherheitsrichtlinie dieselbe IDP-Richtlinie aufweist, die bei der anfänglichen Suche nach Sicherheitsrichtlinien konfiguriert wurde, wird diese IDP-Richtlinie für die Sitzung angewendet.
Wenn für die endgültige übereinstimmende Sicherheitsrichtlinie keine IDP-Richtlinie konfiguriert ist, wird die IDP-Verarbeitung für die Sitzung deaktiviert.
Vorteile mehrerer IDP-Richtlinien und IDP-Standardkonfiguration für IDP-Richtlinien für einheitliche Richtlinien
Bietet die Flexibilität, mehrere IDP-Richtlinien zu verwalten und zu verwenden.
Behandelt Richtlinienkonflikte mithilfe der standardmäßigen IDP-Richtlinienkonfiguration.
IDP-Richtlinienauswahl für einheitliche Richtlinien
Dieses Thema enthält Details zur IDP-Richtlinienauswahl für einheitliche Richtlinien.
- IDP-Richtlinienauswahl mit einer einzigen IDP-Richtlinie
- IDP-Richtlinienauswahl mit mehreren IDP-Richtlinien
IDP-Richtlinienauswahl mit einer einzigen IDP-Richtlinie
Wenn eine Sicherheitsrichtlinie für eine Sitzung verarbeitet wird, kann die anfängliche Übereinstimmung der Sicherheitsrichtlinie zu einer oder mehreren Richtlinienübereinstimmungen führen. Wenn ein Anwendungscache vorhanden ist, führt die Richtlinienübereinstimmung zu einer einzelnen Richtlinienübereinstimmung.
Im Rahmen der Sitzungsinteressenprüfung aktiviert das System IDP, wenn eine der übereinstimmenden Regeln eine IDP-Richtlinie enthält.
Nachdem die dynamische Anwendungsidentifizierung durchgeführt wurde, wird die Sicherheitsrichtlinie eine erneute Richtliniensuche durchführen. Layer 7-Anwendungsdienste (IDP) werden angewiesen, sich selbst zu deaktivieren, wenn IDP nicht für die endgültige übereinstimmende Richtlinie konfiguriert ist. Da die IDP-Richtlinie innerhalb der einheitlichen Sicherheitsrichtlinie zur Verfügung gestellt wird, werden alle IDP-Übereinstimmungen innerhalb der einheitlichen Richtlinie behandelt, es sei denn, es ist eine explizite Quelle, ein Ziel oder eine Anwendung definiert (herkömmliche Richtlinie). Die Konfiguration von Quell- oder Zieladresse, Quelle und Ziel – außer, von und bis Zone oder Anwendung ist bei einheitlicher Richtlinie nicht erforderlich, da die Übereinstimmung in der Sicherheitsrichtlinie selbst erfolgt. Tabelle 1 enthält ein Beispiel für die Auswahl einer IDP-Richtlinie innerhalb einer Sicherheitsrichtlinie.
Abbildung 1 und Abbildung 2 zeigen die Workflow-Details für die Auswahl einzelner und mehrerer IDP-Richtlinien für einheitliche Richtlinien.
| Sicherheitsrichtlinie | Quellzone | Quelladresse | Zielzone Zieladresse | dynamische | Anwendung | Anwendungsservice-Richtlinien | |
|---|---|---|---|---|---|---|---|
Platz 1 |
In |
10.1.1.1 |
Aus |
Jegliche |
HTTP (HTTP) |
IDP |
Empfohlen |
Platz 2 |
In |
10.1.1.1 |
Aus |
Jegliche |
GMAIL |
UTM |
utm_policy_1 |
IDP-Richtlinienauswahl mit mehreren IDP-Richtlinien
Wenn in der Liste der potenziellen Richtlinien mehrere Richtlinien mit unterschiedlichen IDP-Richtlinien vorhanden sind, wendet das Gerät die IDP-Richtlinie an, die als IDP-Standardrichtlinie konfiguriert ist.
Wenn nach der Identifizierung dynamischer Anwendungen für die endgültige übereinstimmende Richtlinie IDP-Richtlinien konfiguriert sind, die sich von der IDP-Standardrichtlinie unterscheiden, wird eine erneute Richtliniensuche durchgeführt, und die für die endgültige übereinstimmende Richtlinie konfigurierte IDP-Richtlinie wird angewendet.
Wenn für die endgültige übereinstimmende Sicherheitsrichtlinie keine IDP-Richtlinie konfiguriert ist, wird die IDP-Verarbeitung für die Sitzung deaktiviert.
| Richtlinienquelle | Zonenquelladresse | Zielzone Zieladresse | dynamische Anwendung | Anwendungsservice-Richtlinien | |||
|---|---|---|---|---|---|---|---|
Platz 1 |
In |
10.1.1.1 |
Aus |
Jegliche |
HTTP (HTTP) |
IDP |
empfohlen |
Platz 2 |
In |
10.1.1.1 |
Aus |
Jegliche |
GMAIL |
UTM |
utm_policy_1 |
Platz 3 |
In |
jegliche |
Aus |
Jegliche |
GMAIL |
IDP |
IDP-Engine |
Betrachten wir die beispielhaften Sicherheitsrichtlinien, die für eine Sitzung konfiguriert sind:
If security policy P1 and policy P3 match for a session
IDP-Richtlinienkonflikt wird beobachtet. Daher wird in diesem Fall die IDP-Richtlinie angewendet, die als IDP-Standardrichtlinie konfiguriert ist.
Nach der letzten Übereinstimmung der Sicherheitsrichtlinien wird die IDP-Richtliniensuche auf der Grundlage der übereinstimmenden IDP-Richtlinien durchgeführt. Wenn die letzte übereinstimmende Sicherheitsrichtlinie die Richtlinie P1 ist, wird die IDP-Richtlinie mit dem Namen "empfohlen" für die Sitzung angewendet.
If security policy P1 and policy P2 match for a session
Da in den übereinstimmenden Sicherheitsrichtlinien nur eine IDP-Richtlinie konfiguriert ist, wird die IDP-Richtlinie mit dem Namen recommended für die Sitzung angewendet.
Wenn die letzte übereinstimmende Sicherheitsrichtlinie die Richtlinie P1 ist, wendet die Sitzungsüberprüfung weiterhin die IDP-Richtlinie mit dem Namen empfohlen an. Wenn die letzte übereinstimmende Sicherheitsrichtlinie Richtlinie P2 ist, ist IDP deaktiviert und ignoriert die Sitzung.
Beispiel: Konfigurieren mehrerer IDP-Richtlinien und einer IDP-Standardrichtlinie für einheitliche Sicherheitsrichtlinien
Damit der Transitdatenverkehr die IDP-Überprüfung durchlaufen kann, konfigurieren Sie eine Sicherheitsrichtlinie und aktivieren IDP-Anwendungsdienste für den gesamten Datenverkehr, den Sie überprüfen möchten.
In diesem Beispiel wird gezeigt, wie Sie eine Sicherheitsrichtlinie konfigurieren, um IDP-Dienste zum ersten Mal für den Datenverkehr auf dem Gerät zu aktivieren.
Anforderungen
Bevor Sie beginnen, installieren oder überprüfen Sie eine IDP-Funktionslizenz.
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie.
Junos OS Version 18.3R1 und höher.
Dieses Konfigurationsbeispiel wurde mit einem SRX1500 Gerät getestet, auf dem Junos OS Version 18.3R1 ausgeführt wird. Sie können dieselbe Konfiguration jedoch auf Geräten der SRX300-Reihe, SRX550M, SRX4100, SRX4200 und SRX5000-Reihe verwenden, die die neuesten Versionen von Junos OS verwenden.
Überblick
In diesem Beispiel konfigurieren Sie zwei Sicherheitsrichtlinien, damit IDP-Dienste auf einem SRX1500 Gerät den gesamten Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone überprüfen können.
Als ersten Schritt müssen Sie die Signaturdatenbank von der Website von Juniper Networks herunterladen und installieren. Laden Sie als Nächstes die vordefinierten IDP-Richtlinienvorlagen herunter, installieren Sie sie und aktivieren Sie die vordefinierte Richtlinie "Empfohlen" als aktive Richtlinie.
Der Konfigurationsstil für traditionelle Richtlinien folgt jetzt dem gleichen Ansatz wie für einheitliche Richtlinien, indem auf die IDP-Richtlinie innerhalb der Sicherheitsrichtlinien verwiesen wird. Dies wird mit dem set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy idp-policy-name Befehl erreicht.
Als Nächstes müssen Sie zwei Sicherheitsrichtlinien von der Vertrauenszone zur nicht vertrauenswürdigen Zone erstellen und Aktionen angeben, die für den Datenverkehr ausgeführt werden sollen, der den in den Richtlinien angegebenen Bedingungen entspricht.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Die CLI-Schnellkonfiguration ist für dieses Beispiel nicht verfügbar, da während der Konfiguration ein manueller Eingriff erforderlich ist.
Schritt-für-Schritt-Anleitung
Erstellen Sie zwei Sicherheitsrichtlinien für den Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone.
Anmerkung:Bitte beachten Sie folgende Punkte:
-
Die Reihenfolge der Sicherheitsrichtlinien in der Firewall der SRX-Serie ist wichtig, da Junos OS eine Richtliniensuche beginnend am Anfang der Liste durchführt und die Richtliniensuche beendet, wenn das Gerät eine Übereinstimmung für den empfangenen Datenverkehr findet.
-
Die Firewall der SRX-Serie ermöglicht es Ihnen, die IDP-Verarbeitung auf der Grundlage einer Sicherheitsrichtlinie auf Regelbasis zu aktivieren, anstatt die IDP-Prüfung für das gesamte Gerät zu aktivieren.
Eine Sicherheitsrichtlinie gibt an, welcher Datenverkehr an die IDP-Engine gesendet werden soll, woraufhin die IDP-Engine eine Überprüfung basierend auf dem Inhalt dieses Datenverkehrs durchführt. Datenverkehr, der einer Sicherheitsrichtlinie entspricht, in der IDP nicht aktiviert ist, umgeht die IDP-Verarbeitung vollständig. Datenverkehr, der mit einer Sicherheitsrichtlinie übereinstimmt, die für die IDP-Verarbeitung markiert ist, aktiviert die IDP-Richtlinie, die in dieser bestimmten Sicherheitsrichtlinie konfiguriert ist.
Erstellen Sie eine Sicherheitsrichtlinie P1 mit einer dynamischen Anwendung als Übereinstimmungskriterium.
[edit security policies] user@host# set from-zone trust to-zone untrust policy P1 match source-address any user@host# set from-zone trust to-zone untrust policy P1 match destination-address any user@host# set from-zone trust to-zone untrust policy P1 match application junos-defaults user@host# set from-zone trust to-zone untrust policy P1 match dynamic-application junos:HTTP
Erstellen Sie eine Sicherheitsrichtlinie P2 mit einer dynamischen Anwendung als Übereinstimmungskriterium.
[edit security policies] user@host# set from-zone trust to-zone untrust policy P2 match source-address any user@host# set from-zone trust to-zone untrust policy P2 match destination-address any user@host# set from-zone trust to-zone untrust policy P2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy P2 match dynamic-application junos:GMAIL
-
Definieren Sie die IDP-Richtlinien, die Sie konfigurieren möchten, in Sicherheitsrichtlinien.
[edit] user@host# set security idp idp-policy recommended user@host# set security idp idp-policy idpengine
Konfigurieren Sie die IDP-Richtlinien gemäß den Schritten unter IDP-Richtlinienregeln und IDP-Regelbasen, und konfigurieren Sie dann eine der IDP-Richtlinien (empfohlen) als Standard-IDP-Richtlinie.
[edit]user@host# set security idp default-policy recommendedBestätigen Sie die auf Ihrem Gerät konfigurierte Standardrichtlinie.
[edit]user@host# show security idp default-policydefault-policy recommended;
Geben Sie die Aktion an, die für Datenverkehr ausgeführt werden soll, der die in der Sicherheitsrichtlinie festgelegten Bedingungen erfüllt. Die Sicherheitsrichtlinie muss darin bestehen, den Datenfluss zuzulassen.
[edit security policies] user@host# set from-zone trust to-zone untrust policy P1 then permit application-services idp-policy recommended user@host# set from-zone trust to-zone untrust policy P2 then permit application-services idp-policy idpengine
In SRX 18.3 und höher können Sicherheitsrichtlinien unterschiedliche IDP-Richtlinien verwenden, sodass für jede Sicherheitsrichtlinie eindeutige IDP-Regeln verarbeitet werden können. Wenn mehrere IDP-Regeln für Sicherheitsrichtlinien verwendet werden, muss eine IDP-Standardrichtlinie konfiguriert werden.
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy P1 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
idp-policy recommended;
}
}
}
}
}
from-zone trust to-zone untrust {
policy P2 {
match {
source-address any;
destination-address any;
application junos : GMAIL;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der IDP-Konfiguration
Zweck
Vergewissern Sie sich, dass die IDP-Konfiguration ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show security idp status Befehl ein.
user@host> show security idp status detail
PIC : FPC 0 PIC 0:
State of IDP: Default, Up since: 2013-01-22 02:51:15 GMT-8 (2w0d 20:30 ago)
Packets/second: 0 Peak: 0 @ 2013-02-05 23:06:20 GMT-8
KBits/second : 0 Peak: 0 @ 2013-02-05 23:06:20 GMT-8
Latency (microseconds): [min: 0] [max: 0] [avg: 0]
Packet Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0]
Flow Statistics:
ICMP: [Current: 0] [Max: 0 @ 2013-02-05 23:06:20 GMT-8]
TCP: [Current: 0] [Max: 0 @ 2013-02-05 23:06:20 GMT-8]
UDP: [Current: 0] [Max: 0 @ 2013-02-05 23:06:20 GMT-8]
Other: [Current: 0] [Max: 0 @ 2013-02-05 23:06:20 GMT-8]
Session Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0]
ID Name Sessions Memory Detector
0 Recommended 0 2233 12.6.160121210
Bedeutung
Die Beispielausgabe zeigt die empfohlene vordefinierte IDP-Richtlinie als aktive Richtlinie an.
Beispiel: Aktivieren von IDP in einer herkömmlichen Sicherheitsrichtlinie
Der herkömmliche Richtlinienstil, bei dem nur ein aktiver IDP-Richtlinienname für alle Firewall-Regeln set security idp active-policy der SRX-Serie verwendet wird, ist veraltet.
Stattdessen folgt der Konfigurationsstil für herkömmliche Richtlinien dem gleichen Ansatz wie für einheitliche Richtlinien, indem auf die IDP-Richtlinie innerhalb der Sicherheitsrichtlinien verwiesen wird. Dies wird mit dem set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy idp-policy-name Befehl erreicht.
In diesem Beispiel wird gezeigt, wie Sie zwei Sicherheitsrichtlinien konfigurieren, um IDP-Services für den gesamten HTTP- und HTTPS-Datenverkehr zu aktivieren, der auf einer Firewall der SRX-Serie in beide Richtungen fließt. Diese Art der Konfiguration kann verwendet werden, um den Datenverkehr von und zu einem sicheren Bereich eines internen Netzwerks als zusätzliche Sicherheitsmaßnahme für die vertrauliche Kommunikation zu überwachen.
In diesem Beispiel Zone2 ist es Teil des internen Netzwerks.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen.
Erstellen von Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren von Anwendungen. Siehe Beispiel: Konfigurieren von IDP-Anwendungen und -Diensten.
Konfigurieren von IDP-Richtlinien. Weitere Informationen finden Sie unter IDP-Richtlinienregeln und IDP-Regelgrundlagen.
Überblick
Damit der Transitdatenverkehr die IDP-Überprüfung durchlaufen kann, konfigurieren Sie eine Sicherheitsrichtlinie und aktivieren IDP-Anwendungsdienste für den gesamten Datenverkehr, den Sie überprüfen möchten. Sicherheitsrichtlinien enthalten Regeln, die die im Netzwerk zulässigen Datenverkehrstypen und die Art und Weise, wie der Datenverkehr innerhalb des Netzwerks behandelt wird, definieren. Wenn Sie IDP in einer Sicherheitsrichtlinie aktivieren, wird Datenverkehr, der die angegebenen Kriterien erfüllt, mit den IDP-Regelbasen abgeglichen.
IDP ist standardmäßig aktiviert. Es ist keine Lizenz erforderlich. Benutzerdefinierte Angriffe und benutzerdefinierte Angriffsgruppen in IDP-Richtlinien können auch dann konfiguriert und installiert werden, wenn keine gültige Lizenz- und Signaturdatenbank auf dem Gerät installiert ist.
Um den Transitdatenverkehr ohne IDP-Überprüfung passieren zu lassen, geben Sie eine permit Aktion für die Regel an, ohne die IDP-Anwendungsdienste zu aktivieren. Datenverkehr, der die Bedingungen in dieser Regel erfüllt, wird ohne IDP-Prüfung durch das Gerät geleitet.
In diesem Beispiel wird gezeigt, wie Sie zwei Richtlinien, idp-app-policy-1 und idp-app-policy-2, konfigurieren, um IDP-Dienste für den gesamten HTTP- und HTTPS-Datenverkehr zu aktivieren, der auf dem Gerät in beide Richtungen fließt. Die Richtlinie idp-app-policy-1 leitet den gesamten HTTP- und HTTPS-Datenverkehr, der von zuvor konfigurierter Zone1 zu Zone2 fließt, an, anhand der IDP-Regelbasen zu prüfen. Die Richtlinie idp-app-policy-2 leitet den gesamten HTTP- und HTTPS-Datenverkehr, der von Zone2 zu Zone1 fließt, an, anhand der IDP-Regelbasen zu prüfen.
Die in der Sicherheitsrichtlinienaktion festgelegte Aktion muss . permit Sie können IDP nicht für Datenverkehr aktivieren, den das Gerät ablehnt oder ablehnt.
Wenn Sie eine herkömmliche Sicherheitsrichtlinie (mit 5-Tupels-Übereinstimmungsbedingung oder dynamische Anwendung, die als keine konfiguriert ist) und eine einheitliche Richtlinie (mit 6-Tuppel-Übereinstimmungsbedingung) konfiguriert haben, gleicht die herkömmliche Sicherheitsrichtlinie zuerst den Datenverkehr ab, bevor die einheitliche Richtlinie eingeführt wird.
Wenn Sie eine einheitliche Richtlinie mit einer dynamischen Anwendung als eine der übereinstimmenden Bedingungen konfigurieren, entfallen bei der Konfiguration die zusätzlichen Schritte der Konfiguration, der Quell- und Zieladresse, des Quellziels außer, der von- und bis-Zonen oder der Anwendung. Alle IDP-Richtlinienkonfigurationen werden innerhalb der einheitlichen Sicherheitsrichtlinie gehandhabt, was die Konfiguration der IDP-Richtlinie so vereinfacht, dass Angriffe oder Eindringlinge für eine bestimmte Sitzung erkannt werden. Die Konfiguration von Quell- oder Zieladresse, Quelle und Ziel-außer, von- und Zielzone oder Anwendung ist bei einheitlicher Richtlinie nicht erforderlich, da die Übereinstimmung in der Sicherheitsrichtlinie erfolgt.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine TXT-Datei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der [edit] Hierarchieebene ein, und wechseln Sie commit dann aus dem Konfigurationsmodus.
set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match source-address any set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match destination-address any set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match application junos-http set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match application junos-https set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 then permit application-services idp set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 match source-address any set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 match destination-address any set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 match application junos-http set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 match application junos-https set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 then permit application-services idp
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So aktivieren Sie IDP-Services für den gesamten HTTP- und HTTPS-Datenverkehr, der auf dem Gerät in beide Richtungen fließt:
Erstellen Sie eine Sicherheitsrichtlinie für den Datenverkehr, der von Zone1 zu Zone2 fließt und als junos-http- oder junos-https-Anwendungsdatenverkehr identifiziert wurde.
user@host# set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match source-address any user@host# set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match destination-address any user@host# set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match application junos-http user@host# set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match application junos-https
Geben Sie die Aktion an, die für den Datenverkehr von Zone1 zu Zone 2 ausgeführt werden soll, der den in der Richtlinie angegebenen Bedingungen entspricht.
user@host# set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 then permit application-services idp
Erstellen Sie eine weitere Sicherheitsrichtlinie für den Datenverkehr in die entgegengesetzte Richtung, der als junos-http- oder junos-https-Anwendungsdatenverkehr identifiziert wurde.
user@host# set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 match source-address any user@host# set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 match destination-address any user@host# set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 match application junos-http user@host# set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 match application junos-https
Geben Sie die Aktion an, die für Datenverkehr ausgeführt werden soll, der den in dieser Richtlinie angegebenen Bedingungen entspricht.
user@host# set security policies from-zone Zone2 to-zone Zone1 policy idp-app-policy-2 then permit application-services idp
Konfigurieren Sie die active-policy.
user@host# set security idp active-policy recommended
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone Zone1 to-zone Zone2 {
policy idp-app-policy-1 {
match {
source-address any;
destination-address any;
application [junos-http junos-https];
}
then {
permit {
application-services {
idp;
}
}
}
}
}
from-zone Zone2 to-zone Zone1 {
policy idp-app-policy-2 {
match {
source-address any;
destination-address any;
application [junos-http junos-https];
}
then {
permit {
application-services {
idp;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen der IDP-Richtlinienerstellung und des Ladestatus
Zweck
Zeigen Sie die IDP-Protokolldateien an, um das Laden und den Kompilierungsstatus der IDP-Richtlinie zu überprüfen. Wenn Sie eine IDP-Richtlinie aktivieren, können Sie die IDP-Protokolle anzeigen und überprüfen, ob die Richtlinie erfolgreich geladen und kompiliert wurde.
Aktion
Um das Laden und den Kompilierungsfortschritt einer IDP-Richtlinie zu verfolgen, konfigurieren Sie eine oder beide der folgenden Optionen in der CLI:
Sie können eine Protokolldatei konfigurieren, die sich im
/var/log/Verzeichnis befindet, und Trace-Optionsflags festlegen, um diese Vorgänge aufzuzeichnen:user@host# set security idp traceoptions file idpd user@host# set security idp traceoptions flag all
Sie können Ihr Gerät so konfigurieren, dass Systemprotokollmeldungen in einer Datei im
/var/logfolgenden Verzeichnis protokolliert werden:user@host# set system syslog file messages any any
Nachdem Sie die Konfiguration in der CLI bestätigt haben, geben Sie einen der folgenden Befehle über die Shell-Eingabeaufforderung in der UNIX-Shell-Shell ein:
Beispielausgabe
Befehlsname
user@host> start shell user@host% tail -f /var/log/idpd Aug 3 15:46:42 chiron clear-log[2655]: logfile cleared Aug 3 15:47:12 idpd_config_read: called: check: 0 Aug 3 15:47:12 idpd commit in progres ... Aug 3 15:47:13 Entering enable processing. Aug 3 15:47:13 Enable value (default) Aug 3 15:47:13 IDP processing default. Aug 3 15:47:13 idp config knob set to (2) Aug 3 15:47:13 Warning: active policy configured but no application package installed, attack may not be detected! Aug 3 15:47:13 idpd_need_policy_compile:480 Active policy path /var/db/idpd/sets/idpengine.set Aug 3 15:47:13 Active Policy (idpengine) rule base configuration is changed so need to recompile active policy Aug 3 15:47:13 Compiling policy idpengine.... Aug 3 15:47:13 Apply policy configuration, policy ops bitmask = 41 Aug 3 15:47:13 Starting policy(idpengine) compile with compress dfa... Aug 3 15:47:35 policy compilation memory estimate: 82040 Aug 3 15:47:35 ...Passed Aug 3 15:47:35 Starting policy package... Aug 3 15:47:36 ...Policy Packaging Passed Aug 3 15:47:36 [get_secupdate_cb_status] state = 0x1 Aug 3 15:47:36 idpd_policy_apply_config idpd_policy_set_config() Aug 3 15:47:36 Reading sensor config... Aug 3 15:47:36 sensor/idp node does not exist, apply defaults Aug 3 15:47:36 sensor conf saved Aug 3 15:47:36 idpd_dev_add_ipc_connection called... Aug 3 15:47:36 idpd_dev_add_ipc_connection: done. Aug 3 15:47:36 idpd_policy_apply_config: IDP state (2) being set Aug 3 15:47:36 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:36 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:36 Apply policy configuration, policy ops bitmask = 4 Aug 3 15:47:36 Starting policy load... Aug 3 15:47:36 Loading policy(/var/db/idpd/bins/idpengine.bin.gz.v + /var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v + /var/db/idpd/bins/compressed_ai.bin)... Aug 3 15:47:36 idpd_dev_add_ipc_connection called... Aug 3 15:47:36 idpd_dev_add_ipc_connection: done. Aug 3 15:47:37 idpd_policy_load: creating temp tar directory '/var/db/idpd//bins/52b58e5' Aug 3 15:47:37 sc_policy_unpack_tgz: running addver cmd '/usr/bin/addver -r /var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v /var/db/idpd//bins/52b58e5/__temp.tgz > /var/log/idpd.addver' Aug 3 15:47:38 sc_policy_unpack_tgz: running tar cmd '/usr/bin/tar -C /var/db/idpd//bins/52b58e5 -xzf /var/db/idpd//bins/52b58e5/__temp.tgz' Aug 3 15:47:40 idpd_policy_load: running cp cmd 'cp /var/db/idpd//bins/52b58e5/detector4.so /var/db/idpd//bins/detector.so' Aug 3 15:47:43 idpd_policy_load: running chmod cmd 'chmod 755 /var/db/idpd//bins/detector.so' Aug 3 15:47:44 idpd_policy_load: running rm cmd 'rm -fr /var/db/idpd//bins/52b58e5' Aug 3 15:47:45 idpd_policy_load: detector version: 10.3.160100209 Aug 3 15:47:45 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:45 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:45 idp_policy_loader_command: sc_klibs_subs_policy_pre_compile() returned 0 (EOK) Aug 3 15:47:45 idpd_policy_load: IDP_LOADER_POLICY_PRE_COMPILE returned EAGAIN, retrying... after (5) secs Aug 3 15:47:50 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:50 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:50 idp_policy_loader_command: sc_klibs_subs_policy_pre_compile() returned 0 (EOK) Aug 3 15:47:50 idpd_policy_load: idp policy parser pre compile succeeded, after (1) retries Aug 3 15:47:50 idpd_policy_load: policy parser compile subs s0 name /var/db/idpd/bins/idpengine.bin.gz.v.1 buf 0x0 size 0zones 0xee34c7 z_size 136 detector /var/db/idpd//bins/detector.so ai_buf 0x0 ai_size 0 ai /var/db/idpd/bins/compressed_ai.bin Aug 3 15:47:50 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:50 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:50 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:50 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:50 idpd_policy_load: idp policy parser compile succeeded Aug 3 15:47:50 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:50 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:50 idpd_policy_load: idp policy pre-install succeeded Aug 3 15:47:50 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:50 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:50 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:50 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:50 idpd_policy_load: idp policy install succeeded Aug 3 15:47:50 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:50 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:50 idpd_policy_load: idp policy post-install succeeded Aug 3 15:47:51 IDP policy[/var/db/idpd/bins/idpengine.bin.gz.v] and detector[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v] loaded successfully. Aug 3 15:47:51 Applying sensor configuration Aug 3 15:47:51 idpd_dev_add_ipc_connection called... Aug 3 15:47:51 idpd_dev_add_ipc_connection: done. Aug 3 15:47:51 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:51 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:51 idpd_comm_server_get_event:545: evGetNext got event. Aug 3 15:47:51 idpd_comm_server_get_event:553: evDispatch OK Aug 3 15:47:51 ...idpd commit end Aug 3 15:47:51 Returning from commit mode, status = 0. Aug 3 15:47:51 [get_secupdate_cb_status] state = 0x1 Aug 3 15:47:51 Got signal SIGCHLD....
Beispielausgabe
Befehlsname
user@host> start shell user@host% tail -f /var/log/messages Aug 3 15:46:56 chiron mgd[2444]: UI_COMMIT_PROGRESS: Commit operation in progress: no commit script changes Aug 3 15:46:56 chiron mgd[2444]: UI_COMMIT_PROGRESS: Commit operation in progress: no transient commit script changes Aug 3 15:46:56 chiron mgd[2444]: UI_COMMIT_PROGRESS: Commit operation in progress: finished loading commit script changes Aug 3 15:46:56 chiron mgd[2444]: UI_COMMIT_PROGRESS: Commit operation in progress: exporting juniper.conf ..... Aug 3 15:47:51 chiron idpd[2678]: IDP_POLICY_LOAD_SUCCEEDED: IDP policy[/var/db/idpd/bins/idpengine.bin.gz.v] and detector[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v] loaded successfully(Regular load). Aug 3 15:47:51 chiron idpd[2678]: IDP_COMMIT_COMPLETED: IDP policy commit is complete. ...... Aug 3 15:47:51 chiron chiron sc_set_flow_max_sessions: max sessions set 16384
Bedeutung
Zeigt Protokollmeldungen mit den Prozeduren an, die im Hintergrund ausgeführt werden, nachdem Sie den set security idp active-policy Befehl ausgeführt haben. Diese Beispielausgabe zeigt, dass die Kompilierung der Richtlinie, die Sensorkonfiguration und das Laden der Richtlinie erfolgreich waren.