IDP-Richtlinienregeln und IDP-Regelbasen
In diesem Thema werden die Struktur und die Komponenten von IDP-Richtlinien erläutert, einschließlich Regelbasen, bei denen es sich um Sammlungen von Regeln handelt, die definieren, wie Datenverkehr überprüft und Bedrohungen erkannt werden. Außerdem werden die verschiedenen Arten von Regelbasen behandelt. Die Administratoren können IDP-Richtlinienregeln und -Regelbasen verwenden, um ihre Netzwerke effektiv vor verschiedenen Bedrohungen zu schützen.
IDP-Richtlinien bestehen aus Regeln, die in Regelbasen organisiert sind und den Netzwerkverkehr analysieren, um Bedrohungen zu erkennen und zu mindern. Diese Richtlinien definieren, wie bestimmte Erkennungsmethoden angewendet werden, um potenzielle Angriffe zu identifizieren und geeignete Sicherheitsmaßnahmen festzulegen.
Grundlegendes zu IDP-Richtlinienregelgrundlagen
Eine Regelbasis ist ein geordneter Satz von Regeln, die eine bestimmte Erkennungsmethode verwenden, um Angriffe zu identifizieren und zu verhindern.
Regeln sind Anweisungen, die Kontext zu Erkennungsmechanismen bereitstellen, indem sie festlegen, in welchem Teil des Netzwerkdatenverkehrs das IDP-System nach Angriffen suchen soll. Wenn eine Regel erfüllt wird, bedeutet dies, dass ein Angriff im Netzwerkverkehr erkannt wurde, wodurch die Aktion für diese Regel ausgelöst wird. Das IDP-System führt die angegebene Aktion aus und schützt Ihr Netzwerk vor diesem Angriff.
Jede Regelbasis kann mehrere Regeln enthalten. Sie bestimmen die Reihenfolge, in der Regeln auf den Netzwerkverkehr angewendet werden, indem Sie sie in der gewünschten Reihenfolge platzieren. Jede Regelbasis im IDP-System verwendet spezifische Erkennungsmethoden, um Angriffe zu erkennen und zu verhindern. Junos OS unterstützt zwei Arten von Regelbasen: die Regelbasis des Intrusion Prevention System (IPS) und die ausgenommene Regelbasis.
Grundlegendes zu IDP-Richtlinienregeln
Jede Anweisung in einer IDP-Richtlinie (Intrusion Detection and Prevention) wird als Regel bezeichnet. Regeln werden in Regeldatenbanken erstellt.
Regelbasen sind eine Reihe von Regeln, die zusammen eine IDP-Richtlinie definieren. Regeln bieten Kontext für Erkennungsmechanismen, indem sie festlegen, in welchem Teil des Netzwerkdatenverkehrs das IDP-System nach Angriffen suchen soll. Wenn eine Regel erfüllt wird, bedeutet dies, dass ein Angriff im Netzwerkverkehr erkannt wurde, wodurch die Aktion für diese Regel ausgelöst wird. Das IDP-System führt die angegebene Aktion aus und schützt Ihr Netzwerk vor diesem Angriff.
IDP-Richtlinienregeln bestehen aus den folgenden Komponenten:
- Grundlegendes zu den Übereinstimmungsbedingungen von IDP-Regeln
- Grundlegendes zu IDP-Regelobjekten
- Grundlegendes zu IDP-Regelaktionen
- Grundlegendes zu IP-Aktionen für IDP-Regeln
- Grundlegendes zu IDP-Regelbenachrichtigungen
Grundlegendes zu den Übereinstimmungsbedingungen von IDP-Regeln
Übereinstimmungsbedingungen geben den Typ des Netzwerkdatenverkehrs an, den IDP auf Angriffe überwachen soll.
Übereinstimmungsbedingungen verwenden die folgenden Merkmale, um den Typ des zu überwachenden Netzwerkdatenverkehrs anzugeben:
From-zoneundto-zone: Der gesamte Datenverkehr fließt von einer Quell- zu einer Zielzone. Sie können eine beliebige Zone für die Quelle oder das Ziel auswählen. Sie können auch Zonenausnahmen verwenden, um eindeutige An- und Von-Zonen für jedes Gerät anzugeben. Geben Sie anany, dass der Netzwerkdatenverkehr von und zu einer beliebigen Zone überwacht werden soll. Der Standardwert istany.Anmerkung:Sie können angeben
source-addressundsource-exceptadressieren, wannfrom-zoneistany. In ähnlicher Weise können Sie, wennto-zoneist , unddestination-exceptAdressen angebendestination-addressany.Source IP address: Geben Sie die Quell-IP-Adresse an, von der der Netzwerkdatenverkehr stammt. Sie können angebenany, dass der Netzwerkdatenverkehr von einer beliebigen IP-Adresse überwacht werden soll. Sie können auch angebensource-except, dass alle Quellen mit Ausnahme der angegebenen Adressen angegeben werden sollen. Der Standardwert istany.Destination IP address: Geben Sie die Ziel-IP-Adresse an, an die der Netzwerkdatenverkehr gesendet wird. Sie können diese Option soanyeinstellen, dass der Netzwerkverkehr überwacht wird, der an eine beliebige IP-Adresse gesendet wird. Sie können auch angebendestination-except, dass alle Ziele mit Ausnahme der angegebenen Adressen angegeben werden sollen. Der Standardwert istany.-
Application: Geben Sie die Protokolle der Anwendungsebene an, die von der Ziel-IP-Adresse unterstützt werden. Sie können fÃ1/4r alle Anwendungen oder eine Anwendung angebenany,junos-bgpz.B. . . Sie können für die im Angriffsobjekt konfigurierte Anwendung angebendefault, dass die Regel die Standard- und automatisch erkannten Ports den in den Angriffsobjekten implizierten Anwendungen zuordnet.
Grundlegendes zu IDP-Regelobjekten
Objekte sind wiederverwendbare logische Entitäten, die Sie auf Regeln anwenden können. Jedes Objekt, das Sie erstellen, wird einer Datenbank für den Objekttyp hinzugefügt.
Sie können die folgenden Objekttypen für IDP-Regeln konfigurieren.
- Zonenobjekte
- Adress- oder Netzwerkobjekte
- Anwendungs- oder Serviceobjekte
- Angriffsobjekte
- Gruppen von Angriffsobjekten
Zonenobjekte
Eine Zone oder Sicherheitszone ist eine Sammlung von einer oder mehreren Netzwerkschnittstellen. IDP verwendet Zonenobjekte, die im Basissystem konfiguriert sind.
Adress- oder Netzwerkobjekte
Adressobjekte stellen Komponenten Ihres Netzwerks dar, z. B. Hostcomputer, Server und Subnetze. Sie verwenden Adressobjekte in IDP-Richtlinienregeln, um die Netzwerkkomponenten anzugeben, die Sie schützen möchten.
Anwendungs- oder Serviceobjekte
Dienstobjekte stellen Netzwerkdienste dar, die Transportschichtprotokolle wie TCP, UDP, RPC und ICMP verwenden. Sie verwenden Dienstobjekte in Regeln, um den Dienst anzugeben, der bei einem Angriff für den Zugriff auf Ihr Netzwerk verwendet wird. Juniper Networks stellt vordefinierte Serviceobjekte bereit, eine Datenbank von Serviceobjekten, die auf branchenüblichen Services basieren. Wenn Sie Serviceobjekte hinzufügen müssen, die nicht in den vordefinierten Serviceobjekten enthalten sind, können Sie benutzerdefinierte Serviceobjekte erstellen. IDP unterstützt die folgenden Arten von Serviceobjekten:
Any– Ermöglicht IDP die Übereinstimmung mit allen Protokollen der Transportschicht.TCP– Gibt einen TCP-Port oder einen Portbereich an, der den Netzwerkdiensten für angegebene TCP-Ports entspricht. Sie können angebenjunos-tcp-any, dass Dienste für alle TCP-Ports abgeglichen werden sollen.UDP– Gibt einen UDP-Port oder einen Portbereich an, der den Netzwerkdiensten für angegebene UDP-Ports entspricht. Sie können angebenjunos-udp-any, dass die Dienste für alle UDP-Ports abgeglichen werden sollen.RPC– Gibt eine Programmnummer für einen Remote-Prozeduraufruf (RPC von Sun Microsystems) oder einen Programmnummernbereich an. IDP verwendet diese Informationen, um RPC-Sitzungen zu identifizieren.ICMP– Gibt einen Typ und Code an, die Teil eines ICMP-Pakets sind. Sie können angebenjunos-icmp-all, dass alle ICMP-Services übereinstimmen sollen.defaultErmöglicht es IDP, Standardprotokolle und automatisch erkannte Protokolle mit den Anwendungen abzugleichen, die in den Angriffsobjekten impliziert sind.
Angriffsobjekte
IDP-Angriffsobjekte stellen bekannte und unbekannte Angriffe dar. IDP umfasst eine vordefinierte Datenbank mit Angriffsobjekten, die von Juniper Networks regelmäßig aktualisiert wird. Angriffsobjekte werden in Regeln angegeben, um böswillige Aktivitäten zu identifizieren. Jeder Angriff wird als Angriffsobjekt definiert, das ein bekanntes Angriffsmuster darstellt. Wann immer dieses bekannte Angriffsmuster im überwachten Netzwerkverkehr gefunden wird, wird das Angriffsobjekt abgeglichen. Die drei Haupttypen von Angriffsobjekten sind in Tabelle 1 beschrieben:
Angriffsobjekte |
Beschreibung |
|---|---|
Signatur-Angriffsobjekte |
Signature-Angriffsobjekte erkennen bekannte Angriffe mithilfe von zustandsbehafteten Angriffssignaturen. Eine Angriffssignatur ist ein Muster, das innerhalb eines Angriffs immer vorhanden ist. Wenn der Angriff vorhanden ist, ist auch die Angriffssignatur vorhanden. Mit zustandsbehafteten Signaturen kann IDP nach dem spezifischen Protokoll oder Service suchen, das bzw. der für den Angriff verwendet wurde, nach der Richtung und dem Ablauf des Angriffs und nach dem Kontext, in dem der Angriff stattfindet. Zustandsbehaftete Signaturen erzeugen nur wenige Fehlalarme, da der Kontext des Angriffs definiert ist, wodurch große Teile des Netzwerkverkehrs, in denen der Angriff nicht stattfinden würde, eliminiert werden. |
Angriffsobjekte für Protokollanomalien |
Angriffsobjekte mit Protokollanomalien identifizieren ungewöhnliche Aktivitäten im Netzwerk. Sie erkennen abnormale oder mehrdeutige Nachrichten innerhalb einer Verbindung gemäß dem Regelwerk für das jeweilige verwendete Protokoll. Die Erkennung von Protokollanomalien erfolgt durch das Auffinden von Abweichungen von Protokollstandards, die am häufigsten durch RFCs und gängige RFC-Erweiterungen definiert werden. Der meiste legitime Datenverkehr hält sich an etablierte Protokolle. Datenverkehr, der dies nicht tut, erzeugt eine Anomalie, die von Angreifern zu bestimmten Zwecken erstellt werden kann, z. B. um ein Intrusion Prevention System (IPS) zu umgehen. |
Zusammengesetzte Angriffsobjekte |
Ein zusammengesetztes Angriffsobjekt kombiniert mehrere Signaturen und/oder Protokollanomalien in einem einzigen Objekt. Der Datenverkehr muss mit allen kombinierten Signaturen und/oder Protokollanomalien übereinstimmen, um das zusammengesetzte Angriffsobjekt zu erreichen. Sie können die Reihenfolge angeben, in der Signaturen oder Anomalien übereinstimmen müssen. Verwenden Sie zusammengesetzte Angriffsobjekte, um Ihre IDP-Richtlinienregeln zu verfeinern, Fehlalarme zu reduzieren und die Erkennungsgenauigkeit zu erhöhen. Mit einem zusammengesetzten Angriffsobjekt können Sie die Ereignisse genau bestimmen, die eintreten müssen, bevor IDP Datenverkehr als Angriff identifiziert. Sie können , und Operationen verwenden |
Gruppen von Angriffsobjekten
IDP enthält eine große Anzahl vordefinierter Angriffsobjekte. Um IDP-Richtlinien organisiert und verwaltbar zu halten, können Angriffsobjekte gruppiert werden. Eine Angriffsobjektgruppe kann ein oder mehrere Angriffsobjekte unterschiedlichen Typs enthalten. Junos OS unterstützt die folgenden drei Arten von Angriffsgruppen:
Vordefinierte Angriffsobjektgruppen: Enthalten Objekte, die in der Signaturdatenbank vorhanden sind. Die vordefinierten Angriffsobjektgruppen sind dynamischer Natur. Beispiel: FTP: Minor-Gruppe wählt alle Angriffe der Anwendung - FTP und Schweregrad - Minor aus. Wenn ein neuer FTP-Angriff mit geringem Schweregrad in der Sicherheitsdatenbank eingeführt wird, wird er standardmäßig der Gruppe FTP: Nebenfach hinzugefügt.
Dynamische Angriffsgruppen: Enthalten Angriffsobjekte, die auf bestimmten Übereinstimmungskriterien basieren. Eine dynamische Gruppe kann beispielsweise alle Angriffe enthalten, die sich auf eine Anwendung beziehen. Während der Signaturaktualisierung wird die dynamische Gruppenmitgliedschaft automatisch basierend auf den Übereinstimmungskriterien für diese Gruppe aktualisiert.
Bei einer dynamischen Angriffsgruppe, die den Richtungsfilter verwendet, sollte der Ausdruck
andin den Ausschlusswerten verwendet werden. Wie bei allen Filtern istorder Standardausdruck . Es gibt jedoch eine Auswahl vonandim Falle des Richtungsfilters.Wenn Sie z. B. alle Angriffe mit der Richtung Client-zu-Server auswählen möchten, konfigurieren Sie den Richtungsfilter mit
set security idp dynamic-attack-group dyn1 filters direction values client-to-serverdem BefehlIm Falle von Kettenangriffen hat jedes der mehreren Mitglieder seine eigene Richtung. Wenn eine Richtlinie Kettenangriffe enthält, wählt ein Client-zu-Server-Filter alle Kettenangriffe aus, die ein beliebiges Mitglied mit Client-zu-Server-Richtung als Richtung haben. Das bedeutet, dass Kettenangriffe, die Mitglieder mit Server-zu-Client- oder ANY-Richtung als Richtung enthalten, ausgewählt werden, wenn die Kette mindestens ein Mitglied mit Client-zu-Server-Richtung als Richtung hat.
Mit den folgenden Befehlen können Sie die Angriffsobjekte anzeigen, die in einer bestimmten Angriffsobjektgruppe (vordefinierte, dynamische und benutzerdefinierte Angriffsgruppen) vorhanden sind, sowie die Gruppe, zu der ein vordefiniertes Angriffsobjekt gehört:
show security idp attack attack-list attack-group group-nameshow security idp attack group-list attack-name
Verwenden Sie den
show security idp attack attack-list attack-group group-namefolgenden Befehl:Zeigen Sie die Liste aller Angriffe an, die in der angegebenen Angriffsgruppe vorhanden sind, z. B. benutzerdefinierte, dynamische und vordefinierte Gruppen.
Geben Sie die Namen der Gruppe an, z. B. vordefinierte Gruppe <vordefinierter_Gruppenname> oder dynamische Gruppe <dynamischer-Gruppenname> oder benutzerdefinierte Gruppe <benutzerdefinierter-Gruppenname> um die Liste der Angriffe in dieser Gruppe anzuzeigen.
Verwenden Sie den
show security idp attack group-listBefehl, um die Liste der Angriffsgruppen anzuzeigen, zu denen der vordefinierte Angriff gehört.Anmerkung:Im Falle eines vordefinierten Angriffs, der keinen definierten Filter hat, werden solche Gruppen nicht als Mitglieder für einen Angriff angezeigt.
Verwenden Sie den
show security idp attack attack-list policy policy-nameBefehl, um die Angriffe anzuzeigen, die in einer konfigurierten IDP-Richtlinie verfügbar sind. Wenn eine IDP-Richtlinie so konfiguriert ist, dass sie einen bestimmten Angriff enthält, der zu verschiedenen Angriffsgruppen gehört, werden die redundanten Angriffsnamen als Teil des Angriffs in einer IDP-Richtlinienbefehlsausgabe angezeigt.Bisher unterstützten IDP-Signaturaktualisierungen nur neun Tags unter Filtern. Die sieben Tags sind Kategorie, Richtung, Fehlalarme, Leistung, Produkt, empfohlen, Service, Schweregrad und Anbieter. IDP-Signatur-Updates unterstützen jetzt vier neue zusätzliche Tags unter Filtern, um zusätzlich zu den bestehenden neun Tags anspruchsvollere dynamische Gruppen zu erstellen.
Die zusätzlichen Tags sind:
Common Vulnerability Scoring System (CVSS) (gemessen in Zahlen zwischen 0 und 10. Der Wert ist eine reelle Zahl mit Dezimalwerten. Ein Zahlenwert wie z. B. 5,5 ist also auch ein gültiger CVSS-Wert.)
Alter des Angriffs (in Jahren und die Wut dazwischen (0 bis 100 Jahre). Zum Beispiel: größer als oder kleiner als in Jahren)
Dateityp (z. B. MPEG, MP4, PPT, *.doc usw.)
Typ der Sicherheitsanfälligkeit (z. B. Pufferüberlauf, Injection, Verwendung nach der Freigabe, Cross-Site Scripting (XSS), Remote Code Execution (RCE) usw.
Darüber hinaus wurde die CLI-Schnittstelle für die Konfiguration der vorhandenen Produkt- und Anbieter-Tags benutzerfreundlicher gestaltet, sodass mögliche Vervollständigungen für die Konfiguration verfügbar sind.
Anbieter (z. B. Microsoft, Apple, Red Hat, Google, Juniper, Cisco, Oracle usw.)
Produkt (z. B. Office, Datenbank, Firefox, Chrome, Flash, DirectX, Java, Kerberos usw.)
Um zu verhindern, dass diese Kettenangriffe der Richtlinie hinzugefügt werden, konfigurieren Sie die dynamische Gruppe wie folgt:
set security idp dynamic-attack-group dyn1 filters direction expression andset security idp dynamic-attack-group dyn1 filters direction values client-to-serverset security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-clientset security idp dynamic-attack-group dyn1 filters direction values exclude-any
Benutzerdefinierte Angriffsgruppen: Enthalten benutzerdefinierte Angriffsgruppen und können über die CLI konfiguriert werden. Sie können bestimmte vordefinierte Angriffe, benutzerdefinierte Angriffe, vordefinierte Angriffsgruppen oder dynamische Angriffsgruppen enthalten. Sie sind statischer Natur, da die Angriffe in der Gruppe angegeben sind. Daher ändern sich die Angriffsgruppen nicht, wenn die Sicherheitsdatenbank aktualisiert wird.
Sie können die IPS-Richtlinie in vordefinierten Angriffen und Angriffsgruppen unter IPS/Exempt-Regel im Mandanten- und im logischen Systemmodus anzeigen. Verwenden Sie die Befehle, show security idp attack attack-group-entriesshow security idp attack attack-list, und show security idp attack group-list , um die IPS-Richtlinien im logischen System- und Mandantenmodus anzuzeigen.
Grundlegendes zu IDP-Regelaktionen
Actions Geben Sie die Aktionen an, die der IDP ausführen soll, wenn der überwachte Datenverkehr mit den in den Regeln angegebenen Angriffsobjekten übereinstimmt.
Tabelle 2 zeigt die Aktionen, die Sie für IDP-Regeln angeben können:
Ausdruck |
Definition |
|---|---|
No Action |
Es werden keine Maßnahmen ergriffen. Verwenden Sie diese Aktion, wenn Sie nur Protokolle für einen bestimmten Teil des Datenverkehrs generieren möchten. |
Ignore Connection |
Stoppt das Scannen des Datenverkehrs für den Rest der Verbindung, wenn eine Angriffsübereinstimmung gefunden wird. IDP deaktiviert die Regelbasis für die jeweilige Verbindung.
Anmerkung:
Diese Aktion bedeutet nicht, dass ein Angriff ignoriert wird. |
Diffserv Marking |
Weist dem Paket bei einem Angriff den angegebenen DSCP-Wert (Differentiated Services Code Point) zu und leitet das Paket dann normal weiter. Beachten Sie, dass der DSCP-Wert nicht auf das erste Paket angewendet wird, das als Angriff erkannt wird, sondern auf nachfolgende Pakete. |
Drop Packet |
Legt ein passendes Paket ab, bevor es sein Ziel erreichen kann, schließt die Verbindung jedoch nicht. Verwenden Sie diese Aktion, um Pakete für Angriffe in Datenverkehr zu verwerfen, der anfällig für Spoofing ist, wie z. B. UDP-Datenverkehr. Das Trennen einer Verbindung für einen solchen Datenverkehr kann zu einem Denial-of-Service führen, der verhindert, dass Sie Datenverkehr von einer legitimen Quell-IP-Adresse empfangen können.
Anmerkung:
Wenn eine IDP-Richtlinie mit einem Nicht-Paketkontext konfiguriert ist, der in einer benutzerdefinierten Signatur für eine beliebige Anwendung definiert ist, und die Aktion Paket verwirft, stuft der Decoder drop_packet zu drop_connection herauf, wenn IDP einen Angriff identifiziert. Bei einem Angriff auf das DNS-Protokoll ist dies nicht der Fall. Der DNS-Decoder stuft drop_packet nicht zu drop_connection herauf, wenn ein Angriff erkannt wird. Dadurch wird sichergestellt, dass nur DNS-Angriffsdatenverkehr verworfen und gültige DNS-Anfragen weiterhin verarbeitet werden. Dadurch wird auch eine erneute TCP-Übertragung für die gültigen TCP-DNS-Anforderungen vermieden. |
Drop Connection |
Verwirft alle mit der Verbindung verknüpften Pakete, sodass verhindert wird, dass der Datenverkehr für die Verbindung ihr Ziel erreicht. Verwenden Sie diese Aktion, um Verbindungen für Datenverkehr zu trennen, der nicht anfällig für Spoofing ist. |
Close Client |
Schließt die Verbindung und sendet ein RST-Paket an den Client, aber nicht an den Server. |
Close Server |
Schließt die Verbindung und sendet ein RST-Paket an den Server, aber nicht an den Client. |
Close Client and Server |
Schließt die Verbindung und sendet ein RST-Paket an den Client und den Server. |
Recommended |
Allen vordefinierten Angriffsobjekten ist eine Standardaktion zugeordnet. Dies ist die Aktion, die Juniper Networks empfiehlt, wenn ein solcher Angriff erkannt wird.
Anmerkung:
Diese Aktion wird nur für IPS-Regelbasen unterstützt. Empfohlen – Eine Liste aller Angriffsobjekte, die Juniper Networks als ernsthafte Bedrohungen einstuft, geordnet in Kategorien.
|
Grundlegendes zu IP-Aktionen für IDP-Regeln
IP-Aktionen sind Aktionen, die für zukünftige Verbindungen gelten, die dieselben IP-Aktionsattribute verwenden. Sie können z. B. eine IP-Aktion in der Regel so konfigurieren, dass alle zukünftigen HTTP-Sitzungen zwischen zwei Hosts blockiert werden, wenn ein Angriff auf eine Sitzung zwischen den Hosts erkannt wird. Sie können auch einen Timeout-Wert angeben, der definiert, dass die Aktion nur angewendet werden soll, wenn neue Sitzungen innerhalb dieses angegebenen Timeout-Werts initiiert werden. Der Standardwert für die Zeitüberschreitung für IP-Aktionen ist 0, was bedeutet, dass bei IP-Aktionen nie eine Zeitüberschreitung auftritt.
IP-Aktionen ähneln anderen Aktionen; Sie weisen den IDP an, die Verbindung zu trennen oder zu schließen. Da Sie nun jedoch auch über die IP-Adresse des Angreifers verfügen, können Sie den Angreifer für eine bestimmte Zeit blockieren. Wenn Angreifer nicht sofort wieder eine Verbindung zu Ihrem Netzwerk herstellen können, versuchen sie möglicherweise, einfachere Ziele anzugreifen. Verwenden Sie IP-Aktionen in Verbindung mit Aktionen und Protokollierung, um Ihr Netzwerk zu sichern.
IP-Aktionsattribute sind eine Kombination aus den folgenden Feldern:
Quell-IP-Adresse
IP-Adresse des Ziels
Zielport
Von-Zone
Protokoll
Tabelle 3 fasst die Arten von IP-Aktionen zusammen, die von IDP-Regeln unterstützt werden:
Ausdruck |
Definition |
|---|---|
Notify |
Führt keine Maßnahmen gegen zukünftigen Datenverkehr aus, protokolliert jedoch das Ereignis. Dies ist die Standardeinstellung. |
Drop/Block Session |
Alle Pakete einer Sitzung, die der IP-Aktionsregel entsprechen, werden automatisch gelöscht. |
Close Session |
Alle neuen Sitzungen, die dieser IP-Aktionsregel entsprechen, werden geschlossen, indem RST-Pakete an den Client und den Server gesendet werden. |
Wenn Datenverkehr mit mehreren Regeln übereinstimmt, wird die schwerwiegendste IP-Aktion aller übereinstimmenden Regeln angewendet. Die schwerwiegendste IP-Aktion ist die Aktion "Sitzung schließen", die nächste in Bezug auf den Schweregrad ist die Aktion "Sitzung löschen/blockieren" und dann die Aktion "Benachrichtigen".
Nach Erweiterungen des zentralen Punktes weist das System die folgenden Einschränkungen auf:
Die maximale Anzahl des aktiven Modus
ip-actionfür jede SPU ist auf 600000 Einträge begrenzt. Wenn dieser Grenzwert erreicht ist, können Sie keinen neuen Eintrag für den aktiven Modusip-actionauf der SPU erstellen.Die maximale Anzahl aller Modi (aktiver Modus und passiver Modus)
ip-actionfür jede SPU ist auf 1200000 Einträge begrenzt. Wenn dieser Grenzwert erreicht ist, können Sie keinen neuen Eintrag für den aktiven Modusip-actionauf der SPU erstellen.Wenn Sie den
clear ip-actionBefehl ausführen, werden dieip-actionEinträge durch Klingelmeldungen gelöscht. Wenn die CPU-Auslastung hoch ist, werden die gelöschten Klingelnachrichten verworfen und vom aktiven Modusip-actionerneut gesendet. Da der Löschvorgang einige Zeit in Anspruch nimmt, können Sie beim Ausführen desshow ip-actionBefehls nur wenigeip-actionEinträge sehen.
Auf Geräten, auf denen keine Verbesserungen an zentralen Punkten vorgenommen werden, existiert nur der aktive Modus ip-action und die maximale ip-action Anzahl ist auf 600000 begrenzt. Wenn dieses Limit erreicht ist, können Sie keinen neuen Eintrag für den aktiven Modus ip-action erstellen.
Grundlegendes zu IDP-Regelbenachrichtigungen
Die Benachrichtigung legt fest, wie Informationen protokolliert werden sollen, wenn eine Aktion ausgeführt wird. Wenn Angriffe erkannt werden, können Sie einen Angriff protokollieren, Protokolldatensätze mit Angriffsinformationen erstellen und diese Informationen an den Protokollserver senden.
Mithilfe von Benachrichtigungen können Sie auch die folgenden Optionen konfigurieren, die den Protokollserver anweisen, bestimmte Aktionen für Protokolle auszuführen, die für jede Regel generiert werden:
Set Alerts: Geben Sie eine Warnoption für eine Regel in der IDP-Richtlinie an. Wenn die Regel erfüllt ist, zeigt der entsprechende Protokolldatensatz eine Warnung in der Warnungsspalte der Protokollanzeige an. Sicherheitsadministratoren verwenden Warnungen, um auf wichtige Sicherheitsereignisse aufmerksam zu werden und darauf zu reagieren.Set Severity Level– Legen Sie Schweregrade in der Protokollierung fest, um eine bessere Organisation und Darstellung von Protokolldatensätzen auf dem Protokollserver zu unterstützen. Sie können die Standardeinstellungen für den Schweregrad der ausgewählten Angriffsobjekte verwenden oder einen bestimmten Schweregrad für Ihre Regel auswählen. Der Schweregrad, den Sie in den Regeln konfigurieren, setzt den geerbten Angriffsschweregrad außer Kraft. Sie können den Schweregrad auf die folgenden Stufen festlegen:Info—2
Warnung—3
Gering – 4
Hauptfach – 5
Kritisch – 7
Beispiel: Einfügen einer Regel in die IDP-Regelbasis
In diesem Beispiel wird gezeigt, wie eine Regel in die IDP-Regelbasis eingefügt wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen.
Definieren Sie Regeln in einer Regelbasis. Siehe Beispiel: Definieren von Regeln für eine IDP-IPS-Regelbasis.
Überblick
Der IDP-Regelabgleichsalgorithmus beginnt am oberen Rand der Regelbasis und vergleicht den Datenverkehr mit allen Regeln in der Regelbasis, die den angegebenen Übereinstimmungsbedingungen entsprechen. Sie bestimmen die Reihenfolge, in der Regeln auf den Netzwerkverkehr angewendet werden, indem Sie sie in der gewünschten Reihenfolge platzieren. Wenn Sie der Regelbasis eine Regel hinzufügen, wird sie an das Ende der vorhandenen Regelliste gesetzt. Um eine Regel an einer anderen Stelle als am Ende der Regelbasis zu platzieren, müssen Sie insert die Regel an der gewünschten Stelle in der Regelbasis platzieren. In diesem Beispiel wird Regel R2 vor Regel R1 in der IDP-IPS-Regelbasis in einer Richtlinie namens base-policy platziert.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So fügen Sie eine Regel in die Regelbasis ein:
Definieren Sie die Position der Regel in der Regelbasis basierend auf der Reihenfolge, in der die Regel ausgewertet werden soll.
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl show security idp status ein.
Beispiel: Deaktivieren und Aktivieren von Regeln in einer IDP-Regelbasis
Dieses Beispiel zeigt, wie eine Regel in einer Regelbasis deaktiviert und aktiviert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen.
Definieren Sie Regeln in einer Regelbasis. Siehe Beispiel: Definieren von Regeln für eine IDP-IPS-Regelbasis.
Überblick
In einer Regelbasis können Sie Regeln mit den deactivate Befehlen und activate deaktivieren und aktivieren. Der deactivate Befehl kommentiert die angegebene Anweisung aus der Konfiguration aus. Regeln, die deaktiviert wurden, werden nicht wirksam, wenn Sie den commit Befehl ausführen. Der activate Befehl fügt die angegebene Anweisung wieder zur Konfiguration hinzu. Regeln, die aktiviert wurden, werden wirksam, wenn Sie den commit Befehl das nächste Mal ausführen. In diesem Beispiel wird gezeigt, wie Regel R2 in einer IPS-Regelbasis für IDP deaktiviert und reaktiviert wird, die einer Richtlinie namens base-policy zugeordnet ist.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So deaktivieren und aktivieren Sie eine Regel in einer Regelbasis:
Geben Sie die Regel an, die Sie deaktivieren möchten.
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
Aktivieren Sie die Regel.
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl show security idp status ein.
Grundlegendes zu DDoS-Regelbasen auf IDP-Anwendungsebene
Die DDoS-Regelbasis auf Anwendungsebene definiert Parameter, die zum Schutz von Servern wie DNS oder HTTP vor DDoS-Angriffen (Distributed Denial of Service) auf Anwendungsebene verwendet werden. Sie können benutzerdefinierte Anwendungsmetriken auf der Grundlage normaler Serveraktivitätsanforderungen einrichten, um zu bestimmen, wann Clients als Angriffsclient betrachtet werden sollen. Die DDoS-Regelbasis auf Anwendungsebene wird dann verwendet, um die Quellübereinstimmungsbedingung für den zu überwachenden Datenverkehr zu definieren, und dann wird die definierte Aktion ausgeführt: Server schließen, Verbindung trennen, Paket verwerfen oder keine Aktion. Es kann auch eine IP-Aktion ausführen: ip-block, ip-close, ip-notify, ip-connection-rate-limit oder timeout. Tabelle 4 fasst die Optionen zusammen, die Sie in den DDoS-Regelbasisregeln auf Anwendungsebene konfigurieren können.
Ausdruck |
Definition |
|---|---|
Match condition |
Geben Sie den Netzwerkdatenverkehr an, den das Gerät auf Angriffe überwachen soll. |
Action |
Geben Sie die Aktionen an, die Intrusion Detection and Prevention (IDP) ausführen soll, wenn der überwachte Datenverkehr mit den in der DDoS-Regel auf Anwendungsebene angegebenen DDoS-Objekten übereinstimmt. |
IP Action |
Ermöglicht das implizite Blockieren einer Quelladresse, um das Netzwerk vor zukünftigen Eindringlingen zu schützen und gleichzeitig legitimen Datenverkehr zuzulassen. Sie können eine der folgenden IP-Aktionsoptionen in DDoS-Angriffen auf Anwendungsebene konfigurieren: ip-block, ip-close, ip-notify und ip-connection-rate-limit. |
Grundlegendes zu IDP IPS-Regelwerken
Die Regelbasis des Intrusion Prevention System (IPS) schützt Ihr Netzwerk vor Angriffen, indem es Angriffsobjekte verwendet, um bekannte und unbekannte Angriffe zu erkennen. Es erkennt Angriffe auf der Grundlage von zustandsbehafteten Signaturen und Protokollanomalien. Tabelle 5 fasst die Optionen zusammen, die Sie in den IPS-Regelbasisregeln konfigurieren können.
Ausdruck |
Definition |
|---|---|
Match condition |
Geben Sie den Typ des Netzwerkdatenverkehrs an, den das Gerät auf Angriffe überwachen soll. Weitere Informationen zu Übereinstimmungsbedingungen finden Sie unter Grundlegendes zu IDP-Richtlinienregeln. |
Attack objects/groups |
Geben Sie die Angriffe an, mit denen das Gerät im überwachten Netzwerkverkehr übereinstimmen soll. Jeder Angriff wird als Angriffsobjekt definiert, das ein bekanntes Angriffsmuster darstellt. Weitere Informationen zu Angriffsobjekten finden Sie unter Grundlegendes zu IDP-Richtlinienregeln. |
Terminal flag |
Geben Sie eine Klemmenregel an. Das Gerät beendet den Abgleich von Regeln für eine Sitzung, wenn eine Terminalregel abgeglichen wird. Weitere Informationen zu Terminalregeln finden Sie unter Grundlegendes zu IDP-Terminalregeln . |
Action |
Geben Sie die Aktion an, die das System ausführen soll, wenn der überwachte Datenverkehr mit den in den Regeln angegebenen Angriffsobjekten übereinstimmt. Wenn ein Angriff mehrere Regelaktionen auslöst, wird die schwerwiegendste dieser Regeln ausgeführt. Weitere Informationen zu Aktionen finden Sie unter Grundlegendes zu IDP-Richtlinienregeln. |
IP Action |
Ermöglicht es Ihnen, das Netzwerk vor zukünftigen Eindringlingen zu schützen und gleichzeitig legitimen Datenverkehr zuzulassen. Sie können eine der folgenden IP-Aktionsoptionen in der IPS-Regelbasis konfigurieren: Benachrichtigen, Verwerfen oder Schließen. Weitere Informationen zu IP-Aktionen finden Sie unter Grundlegendes zu IDP-Richtlinienregeln. |
Notification |
Definiert, wie Informationen protokolliert werden sollen, wenn eine Aktion ausgeführt wird. Sie können wählen, ob Sie einen Angriff protokollieren, Protokolldatensätze mit den Angriffsinformationen erstellen und Informationen an den Protokollserver senden möchten. Weitere Informationen finden Sie unter Grundlegendes zu IDP-Richtlinienregeln. |
Beispiel: Definieren von Regeln für eine IDP-IPS-Regelbasis
In diesem Beispiel wird gezeigt, wie Regeln für eine IPS-Regelbasis für IDP definiert werden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen.
Erstellen von Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Um eine benutzerdefinierte IDP-Richtlinie mit vordefinierten Angriffen verwenden zu können, muss die Signature-Datenbank auf das Gerät heruntergeladen sein.
Weitere Informationen finden Sie unter Beispiel: Manuelles Aktualisieren der IDP-Signaturdatenbank.
Überblick
Jede Regel besteht aus Übereinstimmungsbedingungen, Objekten, Aktionen und Benachrichtigungen. Wenn Sie eine IDP-Regel definieren, müssen Sie den Typ des Netzwerkdatenverkehrs angeben, den IDP auf Angriffe überwachen soll, indem Sie die folgenden Merkmale verwenden: Quellzone, Zielzone, Quell-IP-Adresse, Ziel-IP-Adresse und das von der Ziel-IP-Adresse unterstützte Protokoll auf Anwendungsebene. Die Regeln werden in Regelbasen definiert, und Regelbasen sind mit Richtlinien verknüpft.
In diesem Beispiel wird beschrieben, wie Sie eine Richtlinie mit dem Namen base-policy erstellen, eine Regelbasis für diese Richtlinie angeben und dann Regel R1 zu dieser Regelbasis hinzufügen. In diesem Beispiel gilt Regel R1:
Gibt die Übereinstimmungsbedingung an, um Datenverkehr aus einer zuvor konfigurierten Zone einzuschließen, die in eine andere zuvor konfigurierte Zone mit dem Namen gerufen trust wurde untrust. Die Übereinstimmungsbedingung enthält auch eine vordefinierte Angriffsgruppe: Kritisch - TELNET. Die Anwendungseinstellung in der Übereinstimmungsbedingung ist default und stimmt mit jeder Anwendung überein, die im Angriffsobjekt konfiguriert ist.
Gibt eine Aktion an, um die Verbindung für jeden Datenverkehr zu trennen, der den Kriterien für Regel R1 entspricht.
Aktiviert die Angriffsprotokollierung und gibt an, dass dem Angriffsprotokoll ein Warnflag hinzugefügt wird.
Gibt einen Schweregrad als criticalan.
Nachdem Sie die Regel definiert haben, geben Sie base-policy als aktive Richtlinie auf dem Gerät an.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie dann die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So definieren Sie Regeln für eine IPS-Regelbasis für IDP:
Erstellen Sie eine Richtlinie, indem Sie ihr einen aussagekräftigen Namen zuweisen.
[edit] user@host# edit security idp idp-policy base-policy
Ordnen Sie der Richtlinie eine Regelbasis zu.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
Fügen Sie der Regelbasis Regeln hinzu.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
Definieren Sie die Übereinstimmungskriterien für die Regel.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
Definieren Sie einen Angriff als Übereinstimmungskriterium.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
Geben Sie eine Aktion für die Regel an.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
Geben Sie Benachrichtigungs- und Protokollierungsoptionen für die Regel an.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
Legen Sie den Schweregrad für die Regel fest.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
Aktivieren Sie die Richtlinie.
[edit] user@host# set security idp active-policy base-policy
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups Critical-TELNET;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy base-policy;
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Grundlegendes zu IDP-ausgenommenen Regelbasen
Die ausgenommene Regelbasis arbeitet mit der Regelbasis des Intrusion Prevention System (IPS) zusammen, um zu verhindern, dass unnötige Alarme generiert werden. In dieser Regelbasis konfigurieren Sie Regeln, um bekannte Fehlalarme auszuschließen oder um eine bestimmte Quelle, Ziel oder ein Quelle/Ziel-Paar von der Übereinstimmung mit einer IPS-Regel auszuschließen. Wenn der Datenverkehr mit einer Regel in der IPS-Regelbasis übereinstimmt, versucht das System, den Datenverkehr mit der ausgenommenen Regelbasis abzugleichen, bevor die angegebene Aktion ausgeführt wird. Sorgfältig geschriebene Regeln in einer ausgenommenen Regelbasis können die Anzahl der von einer IPS-Regelbasis erzeugten Fehlalarme erheblich reduzieren.
Konfigurieren Sie eine ausgenommene Regelbasis unter den folgenden Bedingungen:
Wenn eine IDP-Regel eine Angriffsobjektgruppe verwendet, die ein oder mehrere Angriffsobjekte enthält, die Fehlalarme oder irrelevante Protokolldatensätze erzeugen.
Wenn Sie eine bestimmte Quelle, ein bestimmtes Ziel oder ein bestimmtes Quelle/Ziel-Paar von der Übereinstimmung mit einer IDP-Regel ausschließen möchten. Dadurch wird verhindert, dass IDP unnötige Alarme erzeugt.
Stellen Sie sicher, dass Sie die IPS-Regelbasis konfiguriert haben, bevor Sie die ausgenommene Regelbasis konfigurieren.
Tabelle 6 fasst die Optionen zusammen, die Sie in den Regeln für die Ausnahmeregelbasis konfigurieren können.
Ausdruck |
Definition |
|---|---|
Match condition |
Geben Sie den Typ des Netzwerkdatenverkehrs an, den das Gerät auf die gleiche Weise wie in der IPS-Regelbasis auf Angriffe überwachen soll. In der ausgenommenen Regelbasis können Sie jedoch keine Anwendung konfigurieren. Sie ist immer auf |
Attack objects/groups |
Geben Sie not die Angriffsobjekte an, mit denen das Gerät im überwachten Netzwerkverkehr übereinstimmen soll. |
Unterstützung der Protokollierung für den Abgleich von Ausnahmeregeln
Ausnahmeregeln in IDP werden verwendet, um bestimmte Arten von Angriffen oder bestimmte Arten von Datenverkehr von der Protokollierung auszuschließen, sodass der Schwerpunkt auf den Vorfällen liegt, die potenzielle Bedrohungen darstellen. Einige nützliche Informationen können jedoch aufgrund des Vorhandenseins von Ausnahmeregelungen verloren gehen.
Wir haben die Protokollierung von Ausnahmeregelungen im IDP-System eingeführt, die zur Überwachung und Analyse von Datenverkehrsmustern, zur Erkennung potenzieller Sicherheitsbedrohungen und zur Fehlerbehebung von Netzwerkproblemen verwendet werden kann. Administratoren können die Protokolle untersuchen und Einblicke in die Art des Datenverkehrs gewinnen, der von den IDP-Regeln ausgenommen ist, und fundierte Entscheidungen über die Netzwerkrichtlinien treffen.
Die Protokollierungsfunktion für ausgenommene Regeln wird auf Regelebene aktiviert. Dies gewährleistet eine fein abgestufte Überwachung und Analyse von Sicherheitsereignissen, was die Visibilität des Systems erhöht.
Im Folgenden finden Sie ein Beispiel für die Protokollierung der Unterstützung für ausgenommene Regeln innerhalb der IDP-Richtlinie:
user@host# set security idp idp-policy Sample-IPS-Policy rulebase-exempt rule Exempt-rule then notification log-attacks alert
wo
| Elementname | |
|---|---|
| Name der Richtlinie | Beispiel-IPS-Richtlinie |
| Name der Regel | Ausnahmeregelung |
Im Folgenden finden Sie ein Beispiel für ein Protokollereignis:
IDP_RULEBASE_EXEMPT_LOG_EVENT
RT_IDP: IDP_RULEBASE_EXEMPT_LOG_EVENT: IDP: at 1687773425, ANOMALY Attack log <IP/50852->IP/80> for TCP protocol and service HTTP application GOOGLE-GEN by rule 4 of rulebase-exempt IPS in policy Space-IPS-Policy. attack: id=1555, repeat=0, action=NONE, threat-severity=HIGH, name=HTTP:INVALID:MSNG-HTTP-VER, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:untrust:xe-0/0/0.0->trust:xe-0/0/1.0, alert=yes, username=N/A, roles=N/A, xff-header=N/A, cve-id=2022-21907, session-id=42
Beispiel: Definieren von Regeln für eine IDP-ausgenommene Regelbasis
In diesem Beispiel wird gezeigt, wie Regeln für eine ausgenommene IDP-Regelbasis definiert werden.
Anforderungen
Bevor Sie beginnen, erstellen Sie Regeln in der IDP-IPS-Regelbasis. Siehe Beispiel: Definieren von Regeln für eine IDP-IPS-Regelbasis.
Überblick
Wenn Sie eine Ausnahmeregel erstellen, müssen Sie Folgendes angeben:
Quelle und Ziel für Datenverkehr, den Sie ausschließen möchten. Sie können die Quelle oder das Ziel so
Anyeinstellen, dass Netzwerkdatenverkehr, der von einer beliebigen Quelle stammt oder an ein beliebiges Ziel gesendet wird, ausgenommen wird. Sie können auchsource-exceptdestination-exceptfestlegen, dass alle Quellen oder Ziele mit Ausnahme der angegebenen Quell- oder Zieladressen angegeben werden.Anmerkung:Sie können jetzt angeben
source-addressundsource-exceptadressieren, wannfrom-zoneistany. In ähnlicher Weise können Sie, wennto-zoneist , unddestination-exceptAdressen angebendestination-addressany.Die Angriffe, die IDP für die angegebenen Quell-/Zieladressen ausschließen soll. Sie müssen mindestens ein Angriffsobjekt in eine Ausnahmeregel aufnehmen.
Dieses Beispiel zeigt, dass die IDP-Richtlinie falsche Positivmeldungen für den Angriff FTP:USER:ROOT in einem internen Netzwerk generiert. Sie konfigurieren die Regel so, dass die Angriffserkennung für diesen Angriff ausgeschlossen wird, wenn die Quell-IP aus Ihrem internen Netzwerk stammt.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie dann die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So definieren Sie Regeln für eine ausgenommene IDP-Regelbasis:
Geben Sie die IDP-IPS-Regelbasis an, für die Sie die Regelbasis definieren und ausnehmen möchten.
[edit] user@host# edit security idp idp-policy base-policy
Ordnen Sie die ausgenommene Regelbasis der Richtlinie und den Zonen zu, und fügen Sie der Regelbasis eine Regel hinzu.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
Geben Sie die Quell- und Zieladresse für die Regelbasis an.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
Geben Sie die Angriffe an, die Sie von der Angriffserkennung ausschließen möchten.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
Aktivieren Sie die Richtlinie.
[edit] user@host# set security idp active-policy base-policy
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-exempt {
rule R1 {
match {
from-zone trust;
source-address internal-devices;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
}
}
active-policy base-policy;
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Grundlegendes zu IDP-Terminalregeln
Der Regelabgleichsalgorithmus für Intrusion Detection and Prevention (IDP) beginnt am oberen Rand der Regelbasis und vergleicht den Datenverkehr mit allen Regeln in der Regelbasis, die mit Quelle, Ziel und Service übereinstimmen. Sie können eine Regel jedoch so konfigurieren, dass sie endgültig ist. Eine Terminalregel ist eine Ausnahme von diesem Algorithmus. Wenn eine Übereinstimmung in einer Terminalregel für die Quelle, das Ziel, die Zonen und die Anwendung entdeckt wird, überprüft IDP die nachfolgenden Regeln für dieselbe Quelle, dasselbe Ziel und dieselbe Anwendung nicht weiter. Dabei spielt es keine Rolle, ob der Datenverkehr mit den Angriffsobjekten in der Abgleichsregel übereinstimmt oder nicht.
Sie können eine Terminalregel für die folgenden Zwecke verwenden:
Zum Festlegen unterschiedlicher Aktionen für verschiedene Angriffe für dieselbe Quelle und dasselbe Ziel.
Um Datenverkehr zu ignorieren, der von einer bekannten vertrauenswürdigen Quelle stammt. In der Regel gilt
Nonedie Aktion für diese Art von Terminalregel.Um Datenverkehr zu ignorieren, der an einen Server gesendet wird, der nur für eine bestimmte Gruppe von Angriffen anfällig ist. In der Regel gilt
Drop Connectiondie Aktion für diese Art von Terminalregel.
Seien Sie vorsichtig beim Definieren von Terminalregeln. Eine ungeeignete Terminalregel kann Ihr Netzwerk anfällig für Angriffe machen. Denken Sie daran, dass Datenverkehr, der der Quelle, dem Ziel und der Anwendung einer Terminalregel entspricht, nicht mit nachfolgenden Regeln verglichen wird, selbst wenn der Datenverkehr nicht mit einem Angriffsobjekt in der Terminalregel übereinstimmt. Verwenden Sie eine Terminalregel nur, wenn Sie einen bestimmten Datenverkehrstyp auf eine bestimmte Gruppe von Angriffsobjekten untersuchen möchten. Seien Sie besonders vorsichtig bei Terminalregeln, die sowohl für die Quelle als auch für das Ziel verwendet werden any . Terminalregeln sollten am oberen Rand der Regelbasis vor anderen Regeln angezeigt werden, die mit demselben Datenverkehr übereinstimmen.
Beispiel: Festlegen von Terminalregeln in Regelbasen
In diesem Beispiel wird gezeigt, wie Terminalregeln konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen.
Aktivieren Sie IDP-Anwendungsdienste in einer Sicherheitsrichtlinie.
Erstellen von Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Definieren von Regeln. Siehe Beispiel: Einfügen einer Regel in die IDP-Regelbasis .
Überblick
Standardmäßig sind die Regeln in der IDP-Regelbasis nicht terminal, was bedeutet, dass IDP alle Regeln in der Regelbasis untersucht und alle Übereinstimmungen ausführt. Sie können angeben, dass eine Regel ein Terminal ist. Das heißt, wenn IDP eine Übereinstimmung mit der Quelle, dem Ziel und dem Dienst findet, die in einer Terminalregel angegeben sind, werden keine nachfolgenden Regeln für diese Verbindung untersucht.
In diesem Beispiel wird gezeigt, wie Terminalregeln konfiguriert werden. Sie definieren Regel R2, um den Abgleichsalgorithmus zu beenden, wenn die Quell-IP des Datenverkehrs aus einem bekannten vertrauenswürdigen Netzwerk in Ihrem Unternehmen stammt. Wenn diese Regel erfüllt ist, ignoriert der IDP den Datenverkehr aus dem vertrauenswürdigen Netzwerk und überwacht die Sitzung nicht auf schädliche Daten.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie dann die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unterVerwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Terminalregeln:
Erstellen Sie eine IDP-Richtlinie.
[edit] user@host# set security idp idp-policy base-policy
Definieren Sie eine Regel, und legen Sie ihre Übereinstimmungskriterien fest.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
Legen Sie das Terminalflag für die Regel fest.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
Geben Sie die Angriffe an, die Sie von der Angriffserkennung ausschließen möchten.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
Geben Sie eine Aktion für die Regel an.
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R2 {
match {
source-address internal;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
recommended;
}
}
terminal;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Grundlegendes zu DSCP-Regeln in IDP-Richtlinien
Der Codepunkt für differenzierte Dienste (DSCP) ist ein ganzzahliger Wert, der in dem in IP-Paketheadern definierten 6-Bit-Feld codiert wird. Es wird verwendet, um Class-of-Service (CoS)-Unterscheidungen durchzusetzen. Mit CoS können Sie das standardmäßige Paketweiterleitungsverhalten außer Kraft setzen und bestimmten Datenverkehrsflüssen Servicelevel zuweisen.
Sie können den DSCP-Wert als Aktion in einer IDP-Richtlinienregel konfigurieren. Sie definieren zunächst den Datenverkehr, indem Sie Übereinstimmungsbedingungen in der IDP-Richtlinie definieren und dann eine DiffServ-Markierungsaktion damit verknüpfen. Basierend auf dem DSCP-Wert legen Verhaltensaggregatklassifizierer die Weiterleitungsklasse und die Verlustpriorität für den Datenverkehr fest und entscheiden über die Weiterleitungsbehandlung, die der Datenverkehr erhält.
Bei allen Paketen, die mit der IDP-Richtlinienregel übereinstimmen, wird das CoS-Feld im IP-Header mit dem in der Abgleichsrichtlinie angegebenen DSCP-Wert umgeschrieben. Wenn der Datenverkehr mit mehreren Regeln mit unterschiedlichen DSCP-Werten übereinstimmt, wird die erste übereinstimmende IDP-Regel wirksam, und diese IDP-Regel gilt dann für den gesamten Datenverkehr für diese Sitzung.
Beispiel: Konfigurieren von DSCP-Regeln in einer IDP-Richtlinie
In diesem Beispiel wird gezeigt, wie DSCP-Werte in einer IDP-Richtlinie konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen
Aktivieren von IDP-Anwendungsdiensten in einer Sicherheitsrichtlinie
Erstellen von Sicherheitszonen
Definieren von Regeln
Überblick
Die Konfiguration von DSCP-Werten in IDP-Richtlinien bietet eine Methode zum Zuordnen von CoS-Werten und damit zu unterschiedlichen Zuverlässigkeitsstufen für verschiedene Datenverkehrstypen im Netzwerk.
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie mit dem Namen policy1 erstellen, eine Regelbasis für diese Richtlinie angeben und dann dieser Regelbasis Regel R1 hinzufügen. In diesem Beispiel gilt Regel R1:
Gibt die Übereinstimmungsbedingung an, um Datenverkehr von einer zuvor konfigurierten Zone mit dem Namen "Vertrauensstellung" in eine andere zuvor konfigurierte Zone mit dem Namen "nicht vertrauenswürdig" einzuschließen. Die Übereinstimmungsbedingung enthält auch eine vordefinierte Angriffsgruppe mit dem Namen HTTP – Kritisch. Die Anwendungseinstellung in der Übereinstimmungsbedingung wird als Standard angegeben und stimmt mit jeder Anwendung überein, die im Angriffsobjekt konfiguriert ist.
Gibt eine Aktion an, mit der das CoS-Feld im IP-Header mit dem DSCP-Wert 50 für jeden Datenverkehr umgeschrieben wird, der die Kriterien für Regel R1 erfüllt.
Anmerkung:Verwenden Sie den Befehl
show security idp attack attack-list recursive predefined-group "HTTP - Critical", um die Details zu sehen, was in der vordefinierten Gruppe "HTTP - Kritisch" enthalten ist.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie dann die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie DSCP-Werte in einer IDP-Richtlinie:
Erstellen Sie eine Richtlinie, indem Sie ihr einen aussagekräftigen Namen zuweisen.
[edit] user@host# edit security idp idp-policy base-policy
Ordnen Sie der Richtlinie eine Regelbasis zu.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
Fügen Sie der Regelbasis Regeln hinzu.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
Definieren Sie die Übereinstimmungskriterien für die Regel.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
Geben Sie eine Aktion für die Regel an.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
Geben Sie bei Bedarf weitere Benachrichtigungs- oder Protokollierungsoptionen für die Regel an.
Aktivieren Sie die Richtlinie.
[edit] user@host# set security idp active-policy base-policy
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security idp
idp-policy base-policy{
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups HTTP-Critical;
}
}
then {
action {
mark-diffserv {
50;
}
}
}
}
}
active-policy base-policy;
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.