AUF DIESER SEITE
Grundlegendes zur IDP-Signaturdatenbank für die Migration
Die Signaturdatenbank ist eine der Hauptkomponenten des Intrusion Prevention Systems (IPS). Sie enthält Definitionen verschiedener Objekte, z. B. Angriffsobjekte, Anwendungssignaturobjekte und Dienstobjekte, die beim Definieren von IDP-Richtlinienregeln verwendet werden.
Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zur IPS-Signaturdatenbank
Die Signaturdatenbank ist eine der Hauptkomponenten des Intrusion Prevention Systems (IPS). Sie enthält Definitionen verschiedener Objekte, z. B. Angriffsobjekte, Anwendungssignaturobjekte und Dienstobjekte, die beim Definieren von IDP-Richtlinienregeln verwendet werden. Als Reaktion auf neue Sicherheitslücken stellt Juniper Networks in regelmäßigen Abständen eine Datei mit Aktualisierungen der Angriffsdatenbank auf der Juniper Networks-Website bereit. Sie können diese Datei herunterladen, um Ihr Netzwerk vor neuen Bedrohungen zu schützen.
IPS benötigt keine separate Lizenz, um als Service auf der Firewall der SRX-Serie ausgeführt zu werden. Für IPS-Updates ist jedoch eine Lizenz erforderlich. Benutzerdefinierte Angriffe und benutzerdefinierte Angriffsgruppen in IDP-Richtlinien können auch dann konfiguriert und installiert werden, wenn keine gültige Lizenz und Signaturdatenbank auf dem Gerät installiert ist.
Die IPS-Signaturdatenbank wird auf dem IPS-fähigen Gerät gespeichert und enthält Definitionen von vordefinierten Angriffsobjekten und -gruppen. Diese Angriffsobjekte und -gruppen wurden entwickelt, um bekannte Angriffsmuster und Protokollanomalien innerhalb des Netzwerkdatenverkehrs zu erkennen. Die IPS-Signaturdatenbank umfasst mehr als 5000 Signaturen und mehr als 1200 Protokollanomalien.
IPS-Updates und Updates von Anwendungssignaturpaketen sind ein separat lizenzierter Abonnementdienst. Sie müssen den IPS-Signatur-Datenbank-Lizenzschlüssel auf Ihrem Gerät installieren, um tägliche Signaturdatenbank-Updates von der Juniper Networks-Website herunterzuladen und zu installieren. Der IPS-Signaturlizenzschlüssel bietet keine Unterstützung für den Kulanzzeitraum.
Wenn Sie sowohl AppSecure- als auch IPS-Funktionen benötigen, müssen Sie zusätzlich zum Lizenzschlüssel IPS-Signatur-Datenbank-Update die Anwendungssignaturlizenz installieren.
Die Signaturdatenbank besteht aus folgenden Komponenten:
Detektor-Engine: Die IDP-Detektor-Engine ist ein dynamischer Protokoll-Decoder, der die Dekodierung von mehr als 60 Protokollen und mehr als 500 Service-Kontexten unterstützt. Sie können die Updates des Protokollerkennungsmoduls zusammen mit den Updates der Signaturdatenbank herunterladen.
Angriffsdatenbank: In der Angriffssignaturdatenbank werden Datendefinitionen für Angriffsobjekte und Angriffsobjektgruppen gespeichert. Angriffsobjekte umfassen zustandsbehaftete Signaturen und Datenverkehrsanomalien. Sie geben Angriffsobjekte in IDP-Regelbasisregeln an. Täglich werden neue Angriffe entdeckt, daher ist es wichtig, Ihre Signaturdatenbank auf dem neuesten Stand zu halten. Sie können die Aktualisierungen der Angriffsdatenbank von der Juniper Networks-Website herunterladen.
Anwendungssignaturdatenbank: In der Anwendungssignaturdatenbank werden Datendefinitionen für Anwendungsobjekte gespeichert. Anwendungsobjekte sind Muster, die verwendet werden, um Anwendungen zu identifizieren, die auf standardmäßigen oder nicht standardmäßigen Ports ausgeführt werden.
Wir empfehlen, die neueste Version der Signaturdatenbank zu verwenden, um eine aktuelle Angriffsdatenbank zu gewährleisten.
Siehe auch
Verwalten der IPS-Signaturdatenbank (CLI)
In diesem Beispiel wird gezeigt, wie die Updates der Signaturdatenbank mithilfe der CLI installiert und geplant werden.
- Anforderungen
- Überblick
- Konfiguration
- Herunterladen und Installieren des IPS-Signaturpakets von einer älteren Junos OS-Release-Version auf eine neuere Junos OS-Release-Version
- Verifizierung
Anforderungen
Stellen Sie vor der Installation der Updates für die Signaturdatenbank sicher, dass Sie einen IPS-Lizenzschlüssel installiert haben.
Überblick
Das IPS-Signaturdatenbankmanagement umfasst folgende Aufgaben:
Aktualisieren der Signaturdatenbank: Laden Sie die Updates für die Angriffsdatenbank herunter, die auf der Website von Juniper Networks verfügbar sind. Täglich werden neue Angriffe entdeckt, daher ist es wichtig, Ihre Signaturdatenbank auf dem neuesten Stand zu halten.
Überprüfen Sie die Version der Signaturdatenbank: Jede Signaturdatenbank hat eine andere Versionsnummer, wobei die neueste Datenbank die höchste Nummer hat. Sie können die CLI verwenden, um die Version der Signaturdatenbank anzuzeigen.
Aktualisieren der Protokollerkennungs-Engine: Sie können die Aktualisierungen der Protokollerkennungs-Engine zusammen mit der Signaturdatenbank herunterladen. Der IPS-Protokolldetektor enthält Protokolldecoder auf Anwendungsebene. Der Melder ist mit der IDP-Richtlinie gekoppelt und wird gemeinsam aktualisiert. Sie wird immer zur Zeit der Richtlinienaktualisierung benötigt, auch wenn sich der Detektor nicht ändert.
Aktualisierungen der Signaturdatenbank planen: Sie können das IPS-fähige Gerät so konfigurieren, dass die Signaturdatenbank nach einem festgelegten Intervall automatisch aktualisiert wird.
Konfiguration
- Herunterladen und Installieren des IPS-Signaturpakets
- Überprüfen der Version der Signaturdatenbank
- Planen der Aktualisierungen der Signaturdatenbank
Herunterladen und Installieren des IPS-Signaturpakets
Schritt-für-Schritt-Anleitung
Täglich werden neue Angriffe entdeckt, daher ist es wichtig, Ihre Signaturdatenbank auf dem neuesten Stand zu halten. In diesem Beispiel laden Sie das neueste Signaturpaket vom Signaturdatenbankserver herunter und installieren es anschließend:
Laden Sie die Updates für die Angriffsdatenbank herunter, die auf der Website von Juniper Networks verfügbar sind:
user@host>request security idp security-package download
Wenn Sie das Sicherheitspaket herunterladen, laden Sie standardmäßig die folgenden Komponenten in einen Staging-Ordner auf Ihrem Gerät herunter: die neueste Version der vollständigen Tabelle der Angriffsobjektgruppen, der Tabelle der Anwendungsobjekte und die Aktualisierungen der IPS Detector Engine. Da die Angriffsobjekttabelle in der Regel sehr groß ist, lädt das System standardmäßig nur Aktualisierungen der Angriffsobjekttabelle herunter. Sie können jedoch die vollständige Tabelle der Angriffsobjekte herunterladen, indem Sie die
full-updateKonfigurationsoption verwenden.Überprüfen Sie den Download-Status des Sicherheitspakets:
user@host>request security idp security-package download status
Bei erfolgreichem Download wird die folgende Meldung angezeigt:
Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi). Version info:1884(Thu Mar 17 12:06:35 2011, Detector=11.4.140110223)
Nachdem Sie das Sicherheitspaket heruntergeladen haben, müssen Sie das Paket installieren, um die Sicherheitsdatenbank mit den neu heruntergeladenen Updates aus dem Stagingordner auf Ihrem Gerät zu aktualisieren. Installieren Sie das Sicherheitspaket:
user@host>request security idp security-package install
Überprüfen Sie den Status der Installation:
user@host>request security idp security-package install status
Bei erfolgreicher Installation wird die folgende Meldung angezeigt:
Done;Attack DB update: successful - [UpdateNumber=1884,ExportDate=Thu Mar 17 12:06:35 2011,Detector=11.4.140110223] Updating control-plane with new detector: successful Updating data-plane with new attack or detector: successful
Überprüfen der Version der Signaturdatenbank
Schritt-für-Schritt-Anleitung
Jede Signaturdatenbank hat eine andere Versionsnummer, wobei die neueste Datenbank die höchste Nummer hat.
Verwenden Sie die CLI, um die installierte Version der Signaturdatenbank zu überprüfen:
user@host>show security idp security-package version
Die folgende Beispielausgabe zeigt die Versionsnummer für das Signaturpaket:
user@host> show security idp security-package-version Attack database version:1883(Wed Mar 16 12:10:26 2011) Detector version :12.6.140121210 Policy template version :N/A
Planen der Aktualisierungen der Signaturdatenbank
Schritt-für-Schritt-Anleitung
Sie können ein IPS-fähiges Gerät so konfigurieren, dass die Signaturdatenbank nach einem festgelegten Intervall automatisch aktualisiert wird. Nach der anfänglichen manuellen Einrichtung empfehlen wir Ihnen, die Signaturaktualisierungen so zu planen, dass Sie immer vor neuen Schwachstellen geschützt sind.
Um den Download des Signaturpakets zu planen, geben Sie im Konfigurationsmodus die Startzeit und das Intervall für den Download an:
user@host>set security idp security-package automatic interval interval start-time <YYYY-MM-DD.HH:MM:SS>
Wenn Sie beispielsweise einen Zeitplan für den Download der Signatur alle 72 Stunden festlegen möchten, verwenden Sie die folgende Konfiguration:
user@host>set security idp security-package automatic interval 72 start-time
Herunterladen und Installieren des IPS-Signaturpakets von einer älteren Junos OS-Release-Version auf eine neuere Junos OS-Release-Version
Verfahren
Schritt-für-Schritt-Anleitung
Wenn Sie ab Junos OS Version 17.3 ein Upgrade von Junos OS Version 12.3X48 oder 15.1X49 auf Junos OS Version 17.3 durchführen oder ein Downgrade von Junos OS Version 17.3 auf Junos OS Version 12.3X48 oder 15.1X49 durchführen, müssen Sie das IPS-Signaturpaket aktualisieren, indem Sie das Update des IPS-Signaturpakets herunterladen und installieren.
Es wird empfohlen, die Aktualisierung des IPS-Signaturpakets durchzuführen, denn wenn der vorherige Download des IPS-Signaturpakets vor einem Upgrade oder Downgrade ein inkrementelles oder dekrementelles Update enthielt, wird bei einer Neuinstallation des IPS-Signaturpakets, ohne das IPS-Signaturpaket erneut herunterzuladen, das IPS-Signaturpaket nur mit den inkrementellen Angriffen aus dem letzten Download aktualisiert und enthält keine Angriffe aus der Basisversion. Aktualisieren Sie daher das IPS-Signaturpaket, um einen Konfigurationsfehler bei der IDP-Commit-Konfiguration zu vermeiden.
Das folgende Verfahren zeigt, wie Sie ein IPS-Signaturpaket herunterladen und installieren und das Paket von einer älteren Junos OS-Release-Version auf eine neuere Junos OS-Release-Version aktualisieren:
Führen Sie eine vollständige Aktualisierung der Version des Sicherheitspakets durch.
user@host>request security idp security-package download full-update
Wenn Sie das Sicherheitspaket herunterladen, laden Sie standardmäßig die folgenden Komponenten in einen Staging-Ordner auf Ihrem Gerät herunter: die neueste Version der vollständigen Tabelle der Angriffsobjektgruppen, der Tabelle der Anwendungsobjekte und der Updates für die IPS Detector Engine. Da die Angriffsobjekttabelle in der Regel sehr groß ist, lädt das System standardmäßig nur Aktualisierungen der Angriffsobjekttabelle herunter.
Überprüfen Sie den Download-Status des Sicherheitspakets.
user@host> request security idp security-package download status
Bei erfolgreichem Download wird die folgende Meldung angezeigt:
user@host # run request security idp security-package download status Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2762(Tue Jul 26 22:26:57 2016 UTC, Detector=12.6.130160603)
Installieren Sie das Sicherheitspaket, um die Sicherheitsdatenbank mit den neu heruntergeladenen Updates aus dem Staging-Ordner auf Ihrem Gerät zu aktualisieren.
user@host> request security idp security-package install
Überprüfen Sie den Status der Installation.
user@host> request security idp security-package install status
Bei erfolgreicher Installation wird die folgende Meldung angezeigt:
user@host # run request security idp security-package install status Done;Attack DB update : successful - [UpdateNumber=2771,ExportDate=Tue Aug 23 21:57:18 2016 UTC,Detector=12.6.130160603] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successfulAnmerkung:Wenn Sie ein Upgrade von Junos OS Version 15.1X49 auf Junos OS Version 17.3 durchführen, wird die folgende Warnmeldung angezeigt:
WARNING: A full install of the security package is required after reboot. WARNING: Please perform a full update of the security package using WARNING: "request security idp security-package download full-update" WARNING: followed by WARNING: "request security idp security-package install"
Verwalten der IPS-Signaturdatenbank (Security Director)
In diesem Beispiel wird gezeigt, wie die Updates der Signaturdatenbank mit Junos Space Security Director installiert und geplant werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewall der SRX-Serie
Bevor Sie die Updates der Signaturdatenbank installieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Installierter IPS-Lizenzschlüssel
Überblick
Die IPS-Signaturdatenbank kann entweder über die CLI oder Junos Space Security Director aktualisiert werden. Firewalls der SRX-Serie können vollständig über die CLI verwaltet werden. Bei großen Bereitstellungsszenarien, in denen mehrere Firewalls der SRX-Serie zum Einsatz kommen, ist es jedoch einfacher, das Sicherheitspaket über eine Verwaltungsplattform zu verwalten.
Konfiguration
- Herunterladen und Installieren des IPS-Signaturpakets
- Überprüfen der Version der Signaturdatenbank
- Planen der Aktualisierungen der Signaturdatenbank
Herunterladen und Installieren des IPS-Signaturpakets
Schritt-für-Schritt-Anleitung
In diesem Beispiel laden Sie das neueste Signaturpaket vom Signaturdatenbankserver herunter und installieren es anschließend:
Navigieren Sie zu Security Director->Downloads->Signature Database.
Wählen Sie das Signaturpaket aus, das als neuestes aufgeführt ist, und wählen Sie Aktion>Herunterladen aus, um das Signaturpaket in Security Director herunterzuladen.
user@host>request security idp security-package download
Wenn Sie das Sicherheitspaket herunterladen, laden Sie standardmäßig die folgenden Komponenten in einen Staging-Ordner auf Ihrem Gerät herunter: die neueste Version der vollständigen Tabelle der Angriffsobjektgruppen, der Tabelle der Anwendungsobjekte und die Aktualisierungen der IPS Detector Engine. Da die Angriffsobjekttabelle in der Regel sehr groß ist, lädt das System standardmäßig nur Aktualisierungen der Angriffsobjekttabelle herunter. Sie können jedoch die vollständige Tabelle der Angriffsobjekte herunterladen, indem Sie die
full-updateKonfigurationsoption verwenden.Überprüfen Sie den Download-Status des Sicherheitspakets:
user@host>request security idp security-package download status
Bei erfolgreichem Download wird die folgende Meldung angezeigt:
Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi). Version info:1884(Thu Mar 17 12:06:35 2011, Detector=11.4.140110223)
Nachdem Sie das Sicherheitspaket heruntergeladen haben, müssen Sie das Paket installieren, um die Sicherheitsdatenbank mit den neu heruntergeladenen Updates aus dem Stagingordner auf Ihrem Gerät zu aktualisieren. Installieren Sie das Sicherheitspaket:
user@host>request security idp security-package install
Überprüfen Sie den Status der Installation:
user@host>request security idp security-package install status
Bei erfolgreicher Installation wird die folgende Meldung angezeigt:
Done;Attack DB update: successful - [UpdateNumber=1884,ExportDate=Thu Mar 17 12:06:35 2011,Detector=11.4.140110223] Updating control-plane with new detector: successful Updating data-plane with new attack or detector: successful
Überprüfen der Version der Signaturdatenbank
Schritt-für-Schritt-Anleitung
Jede Signaturdatenbank hat eine andere Versionsnummer, wobei die neueste Datenbank die höchste Nummer hat.
Verwenden Sie die CLI, um die installierte Version der Signaturdatenbank zu überprüfen:
user@host>show security idp security-package version
Die folgende Beispielausgabe zeigt die Versionsnummer für das Signaturpaket:
user@host> show security idp security-package-version Attack database version:1883(Wed Mar 16 12:10:26 2011) Detector version :12.6.140121210 Policy template version :N/A
Planen der Aktualisierungen der Signaturdatenbank
Schritt-für-Schritt-Anleitung
Sie können ein IPS-fähiges Gerät so konfigurieren, dass die Signaturdatenbank nach einem festgelegten Intervall automatisch aktualisiert wird. Nach der anfänglichen manuellen Einrichtung empfehlen wir Ihnen, die Signaturaktualisierungen so zu planen, dass Sie immer vor neuen Schwachstellen geschützt sind.
Um den Download des Signaturpakets zu planen, geben Sie im Konfigurationsmodus die Startzeit und das Intervall für den Download an:
user@host>set security idp security-package automatic interval interval start-time <YYYY-MM-DD.HH:MM:SS>
Wenn Sie beispielsweise einen Zeitplan für den Download der Signatur alle 72 Stunden festlegen möchten, verwenden Sie die folgende Konfiguration:
user@host>set security idp security-package automatic interval 72 start-time
Beispiel: Manuelles Aktualisieren der IPS-Signaturdatenbank
In diesem Beispiel wird gezeigt, wie die IPS-Signaturdatenbank manuell aktualisiert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie Netzwerkschnittstellen.
Überblick
Juniper Networks aktualisiert die vordefinierte Angriffsdatenbank regelmäßig und stellt sie als Sicherheitspaket auf der Website von Juniper Networks zur Verfügung. Diese Datenbank enthält Angriffsobjekt- und Angriffsobjektgruppen, die Sie in IDP-Richtlinien verwenden können, um Datenverkehr mit bekannten Angriffen abzugleichen.
In diesem Beispiel laden Sie das Sicherheitspaket mit der vollständigen Tabelle der Angriffsobjekte und Angriffsobjektgruppen herunter. Sobald die Installation abgeschlossen ist, stehen die Angriffsobjekte und Angriffsobjektgruppen in der CLI unter den predefined-attack-groups Konfigurationsanweisungen und predefined-attacks auf Hierarchieebene [edit security idp idp-policy] zur Verfügung. Sie erstellen eine Richtlinie und geben die neue Richtlinie als aktive Richtlinie an. Sie laden nur die Updates herunter, die Juniper Networks kürzlich hochgeladen hat, und aktualisieren dann die Angriffsdatenbank, die ausgeführte Richtlinie und den IPS-Protokolldetektor mit diesen neuen Updates.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Die CLI-Schnellkonfiguration ist für dieses Beispiel nicht verfügbar, da während der Konfiguration ein manueller Eingriff erforderlich ist.
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So laden Sie die Signaturdatenbank manuell herunter und aktualisieren sie:
Geben Sie die URL für das Sicherheitspaket an.
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Anmerkung:Standardmäßig wird die URL als https://signatures.juniper.net/cgi-bin/index.cgi verwendet.
Bestätigen Sie die Konfiguration.
[edit] user@host# commit
Wechseln Sie in den Betriebsmodus.
[edit] user@host# exit
Laden Sie das Sicherheitspaket herunter.
user@host>request security idp security-package download full-update
Überprüfen Sie den Download-Status des Sicherheitspakets.
user@host>request security idp security-package download status
Aktualisieren Sie die Angriffsdatenbank mit dem
installBefehl.user@host>request security idp security-package install
Überprüfen Sie den Aktualisierungsstatus der Angriffsdatenbank mit dem folgenden Befehl. Die Befehlsausgabe zeigt Informationen zu den heruntergeladenen und installierten Versionen der Versionen der Angriffsdatenbank an.
user@host>request security idp security-package install status
Wechseln Sie in den Konfigurationsmodus.
user@host>configure
Erstellen Sie eine IDP-Richtlinie.
[edit ] user@host#edit security idp idp-policy policy1
Verknüpfen Sie Angriffsobjekte oder Angriffsobjektgruppen mit der Richtlinie.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
Aktion festlegen.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
Aktivieren Sie die Richtlinie.
[edit] user@host#set security idp active-policy policy1
Bestätigen Sie die Konfiguration.
[edit] user@host# commit
Wenn Sie das Signaturpaket in Zukunft herunterladen möchten, laden Sie nur die Updates herunter, die Juniper Networks kürzlich hochgeladen hat.
user@host>request security idp security-package download
Überprüfen Sie den Download-Status des Sicherheitspakets.
user@host>request security idp security-package download status
Aktualisieren Sie die Angriffsdatenbank, die aktive Richtlinie und den Detektor mit den neuen Änderungen.
user@host>request security idp security-package install
Überprüfen Sie die Angriffsdatenbank, die aktive Richtlinie und den Detektor.
user@host>request security idp security-package install status
Anmerkung:Es ist möglich, dass ein Angriff aus der neuen Version einer Angriffsdatenbank entfernt wurde. Wenn dieser Angriff in einer vorhandenen Richtlinie auf Ihrem Gerät verwendet wird, schlägt die Installation der neuen Datenbank fehl. Eine Installationsstatusmeldung identifiziert den Angriff, der nicht mehr gültig ist. Um die Datenbank erfolgreich zu aktualisieren, entfernen Sie alle Verweise auf den gelöschten Angriff aus Ihren vorhandenen Richtlinien und Gruppen, und führen Sie den Befehl install erneut aus.
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Beispiel: Herunterladen und Installieren des IPS-Signaturpakets im Chassis-Cluster-Modus
In diesem Beispiel wird gezeigt, wie die IPS-Signaturdatenbank heruntergeladen und auf einem Gerät installiert wird, das im Chassis-Cluster-Modus betrieben wird.
Anforderungen
Bevor Sie beginnen, legen Sie die Chassis-Cluster-Knoten-ID und die Cluster-ID fest. Siehe Beispiel: Festlegen der Knoten-ID und Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster .
Überblick
Das Sicherheitspaket für Intrusion Detection and Prevention (IDP) enthält eine Datenbank mit vordefinierten IDP-Angriffsobjekten und IDP-Angriffsobjektgruppen, die Sie in IDP-Richtlinien verwenden können, um den Datenverkehr mit bekannten und unbekannten Angriffen abzugleichen. Juniper Networks aktualisiert die vordefinierten Angriffsobjekte und -gruppen regelmäßig mit neu entdeckten Angriffsmustern.
Um die Signaturdatenbank zu aktualisieren, müssen Sie ein Sicherheitspaket von der Juniper Networks-Website herunterladen. Nachdem Sie das Sicherheitspaket heruntergeladen haben, müssen Sie das Paket installieren, um die Sicherheitsdatenbank mit den neu heruntergeladenen Updates aus dem Stagingordner auf Ihrem Gerät zu aktualisieren.
Wenn bei Zweigstellen-Firewalls der SRX-Serie die Speicherauslastung Ihres Geräts auf der Steuerungsebene hoch ist, kann das Laden einer umfangreichen IDP-Richtlinie dazu führen, dass dem Gerät nicht genügend Arbeitsspeicher zur Verfügung steht. Dies kann während der Aktualisierung des IPS-Sicherheitspakets einen Neustart des Systems auslösen.
Wenn Sie das IPS-Sicherheitspaket auf ein Gerät herunterladen, das im Chassis-Cluster-Modus betrieben wird, wird das Sicherheitspaket auf den primären Knoten heruntergeladen und dann mit dem sekundären Knoten synchronisiert. Diese Synchronisierung trägt dazu bei, dass sowohl auf dem primären als auch auf dem sekundären Knoten dieselbe Version des Sicherheitspakets beibehalten wird.
Herunterladen und Installieren der IPS-Signaturdatenbank
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Geben Sie die URL für das Sicherheitspaket an.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Wechseln Sie in den Betriebsmodus.
[edit] user@host# exit
Laden Sie das IPS-Sicherheitspaket auf den primären Knoten herunter (Downloads im Ordner var/db/idpd/sec-download).
{primary:node0}[edit] user@host> request security idp security-package downloadDie folgende Meldung wird angezeigt:
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
Überprüfen Sie den Download-Status des Sicherheitspakets.
{primary:node0}[edit] user@host> request security idp security-package download statusBei erfolgreichem Download wird die folgende Meldung angezeigt.
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
Aktualisieren Sie die Angriffsdatenbank mit dem
installBefehl.user@host> request security idp security-package install
Überprüfen Sie den Aktualisierungsstatus der Angriffsdatenbank. Die Befehlsausgabe zeigt Informationen zu den heruntergeladenen und installierten Versionen der Angriffsdatenbank an.
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.Anmerkung:Sie müssen das IPS-Signaturpaket auf den primären Knoten herunterladen. Auf diese Weise wird das Sicherheitspaket auf dem sekundären Knoten synchronisiert. Versuche, das Signaturpaket auf den sekundären Knoten herunterzuladen, schlagen fehl.
Wenn Sie einen geplanten Download für die Sicherheitspakete konfiguriert haben, werden die Dateien der Signaturpakete automatisch vom primären Knoten mit dem Backup-Knoten synchronisiert.