Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

IDP-Signaturdatenbank

Signaturbasiertes IDP überwacht Pakete im Netzwerk und vergleicht es mit vorkonfigurierten und festgelegten Angriffsmustern, sogenannten Signaturen.

Die Verwaltung der Signaturdatenbank des Intrusion Detection and Prevention (IDP)-Systems ist entscheidend für die Aufrechterhaltung einer robusten Netzwerksicherheit. Indem Sie den Download und die Installation regelmäßiger Updates ermöglichen, stellen Sie sicher, dass Ihr Netzwerk vor den neuesten Bedrohungen geschützt ist. Sie können benutzerdefinierte Angriffsobjekte und -gruppen konfigurieren, um Sicherheitsmaßnahmen an Ihre spezifischen Anforderungen anzupassen und die Flexibilität und Effektivität des Systems zu erhöhen. Grundlegende IDP-Funktionen sind standardmäßig aktiviert, ohne dass eine Lizenz erforderlich ist, aber um tägliche Updates zu erhalten, ist die Installation eines IDP-Lizenzschlüssels für die Signatur-Datenbank-Aktualisierung erforderlich. Dies gewährleistet einen kontinuierlichen Schutz, indem die Angriffsdatenbank mit neu auftretenden Schwachstellen auf dem neuesten Stand gehalten wird. Lizenzdetails finden Sie unter Lizenzschlüssel für die Funktionen von Junos OS.

Sie können die folgenden Aufgaben ausführen, um die IDP-Signaturdatenbank zu verwalten:

  1. Aktualisieren Sie die Signaturdatenbank, indem Sie Updates der Angriffsdatenbank von der Website von Juniper Networks herunterladen. Täglich tauchen neue Angriffe auf, also halten Sie Ihre Datenbank auf dem neuesten Stand.

  2. Überprüfen Sie die Version der Signaturdatenbank mithilfe der CLI, da jede Version eine eindeutige Nummer hat, wobei die neueste die höchste ist.

  3. Aktualisieren Sie die Protokolldetektor-Engine zusammen mit der Signaturdatenbank. Der IDP-Protokolldetektor enthält Protokolldecoder auf Anwendungsebene und aktualisiert mit der IDP-Richtlinie. Sie ist für Richtlinienaktualisierungen notwendig, auch wenn sie unverändert sind.

  4. Planen Sie automatische Updates für die Signaturdatenbank auf dem IDP-fähigen Gerät in festgelegten Intervallen.

Vorteile der Verwaltung von IDP-Signaturdatenbanken

  • Gewährleistet aktuellen Schutz vor neu auftretenden Bedrohungen durch regelmäßige Downloads der neuesten Signatur-Updates.

  • Bietet Flexibilität bei der Definition spezifischer Sicherheitsparameter, da Sie benutzerdefinierte Angriffsobjekte und -gruppen erstellen können, die auf einzelne Netzwerkumgebungen zugeschnitten sind.

Junos OS IDP-Signaturpaket über einen expliziten Proxy-Server

Juniper Networks aktualisiert die vordefinierte Angriffsdatenbank regelmäßig und stellt sie als Sicherheitspaket auf der Juniper Networks Website https://signatures.juniper.net/cgi-bin/index.cgi zur Verfügung. Diese Datenbank enthält Angriffsobjekte und Angriffsobjektgruppen, die Sie in IDP-Richtlinien verwenden können, um Datenverkehr mit bekannten Angriffen abzugleichen.

Sie müssen ein Proxy-Profil erstellen und es zum Herunterladen des IDP-Signaturpakets über einen expliziten Proxy-Server verwenden:

  • Richten Sie auf Ihrem Gerät einen Webproxyserver ein, um ausgehende HTTP(S)-Sitzungen und die Authentifizierung zu verarbeiten. Konfigurieren Sie das Proxyprofil mit den Host- und Portdetails des Proxyservers.

    Sie können mehr als ein Proxyprofil konfigurieren. IDP kann nur ein Proxy-Profil verwenden. Mehrere Proxyprofile werden für die gleichzeitige Verwendung unter IDP nicht unterstützt.

  • Konfigurieren Sie optional die Proxy-Authentifizierung innerhalb des Proxyprofils. Durch Festlegen eines Benutzernamens und eines Passworts können Sie einen sicheren Zugriff auf externe Feeds und Dienste gewährleisten.

    Dieser Schritt gewährleistet eine sichere, authentifizierte HTTPS-Kommunikation über einen Proxy, um zu verhindern, dass ungeprüfte Datenquellen mit geschützten Netzwerkumgebungen interagieren.

  • Wenden Sie das Proxyprofil an. Die Unterstützung des IDP-Webproxyservers hängt von der Proxyprofilkonfiguration auf Systemebene ab.

Wenn ein Proxyprofil unter [security idp security-package] Hierarchie angewendet wird, stellt der idpd-Prozess eine Verbindung mit dem Proxyhost anstelle des Downloadservers des Signaturpakets her. Der Proxy-Host kommuniziert dann mit dem Download-Server und stellt die Antwort an den idpd-Prozess bereit. Der idpd-Prozess erhält eine Benachrichtigung, wenn Änderungen an der Hierarchie [edit services proxy] auftreten.

Sobald die Installation des Sicherheitspakets abgeschlossen ist, können alle heruntergeladenen und installierten IDP-Angriffsobjekte und Angriffsgruppen in einer oder mehreren IDP-Richtlinien konfiguriert werden. Diese Angriffsobjekte und Angriffsobjekte werden dann in den Sicherheitsregeln unter der set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name Hierarchie verwendet.

Sie erstellen eine Richtlinie und geben die neue Richtlinie als aktive Richtlinie an. Sie können nur die Updates herunterladen, die Juniper Networks kürzlich hochgeladen hat, und dann die Angriffsdatenbank, die laufende Richtlinie und den Detektor mit diesen Updates aktualisieren.

Sie können den Proxyserver für den Download der IDP-Signatur deaktivieren, indem Sie die delete security idp security-package proxy-profile proxy-profile

Beispiel: Laden Sie das Junos OS IDP-Signaturpaket über einen Explicit Proxy Server herunter

In diesem Beispiel lädt die Firewall der SRX-Serie das IDP-Sicherheitspaket herunter und installiert es mit der vollständigen Tabelle der Angriffsobjekte und Angriffsobjektgruppen, die auf einem externen Server verfügbar ist, wobei das konfigurierte Proxy-Profil verwendet wird.

Überblick

Um das IDP-Signaturpaket über einen Proxy-Server herunterzuladen, müssen Sie das Proxy-Profil für HTTP-Verbindungen konfigurieren.

Tabelle 1 enthält die Details der in diesem Beispiel verwendeten Parameter.

Tabelle 1: Konfigurationsparameter für das Proxyprofil

Parameter

Bezeichnung

Profilname

test_idp_proxy1

IP-Adresse des Proxy-Servers

10.255.255.254

Portnummer des Proxy-Servers

3128

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Dieses Konfigurationsbeispiel wurde auf einer Firewall der SRX-Serie mit Junos OS Version 18.3R1 oder höher getestet.

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, fügen Sie sie in die CLI in der edit Hierarchie ein und geben Sie sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

So erstellen Sie ein Proxy-Profil und laden das IDP-Signaturpaket über den Proxy-Server herunter:

  1. Geben Sie die IP-Adresse des Proxyhosts an.

  2. Geben Sie die vom Proxyserver verwendete Portnummer an.

  3. Geben Sie das Proxyprofil an, auf das für den Download des Sicherheitspakets verwiesen werden muss.

  4. Bestätigen Sie die Konfiguration.

  5. Wechseln Sie in den Betriebsmodus.

  6. Laden Sie das IDP-Sicherheitspaket herunter.

    Die Option zum Herunterladen und Installieren eines Offline-IDP-Signaturpakets von der Juniper Website ist weiterhin verfügbar. Führen Sie den request security idp security-package offline-download Befehl CLI aus, um das IDP-Signaturpaket offline herunterzuladen und zu installieren. Der Installationsprozess bleibt für beide Download-Befehle gleich.

Verifizierung

Überprüfen Sie den Download der IDP-Signatur über den Proxy-Server.

Zweck

Zeigen Sie die Details für den Download des IDP-Signaturpakets über einen Proxy-Server an.

Aktion

Geben Sie im Betriebsmodus den show security idp security-package proxy-profile Befehl ein, um IDP-spezifische Proxydetails anzuzeigen.

Bedeutung

In der Ausgabe finden Sie die IDP-spezifischen Proxyprofildetails in Proxy Profile und Proxy Address Feldern.

Überprüfen Sie den Download-Status der IDP-Signatur

Zweck

Überprüfen Sie den Download-Status des IDP-Signaturpakets.

Aktion

Überprüfen Sie den Download-Status des Sicherheitspakets.

Geben Sie im Betriebsmodus den request security idp security-package download status Befehl ein.

Bedeutung

Die Ausgabe zeigt den Download-Status des IDP-Signaturpakets an.

Beispiel: Herunterladen und Installieren der IDP-Sicherheitspakete im Chassis-Cluster-Modus

In diesem Beispiel wird gezeigt, wie die IDP-Signaturdatenbank heruntergeladen und auf einem Gerät installiert wird, das im Chassis-Cluster-Modus betrieben wird.

Anforderungen

Legen Sie zunächst das Gehäuse Cluster die Knoten-ID und die Cluster-ID fest. Siehe Beispiel: Festlegen der Knoten-ID und Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster .

Überblick

Wenn Sie das IDP-Sicherheitspaket auf ein Gerät herunterladen, das im Chassis-Cluster-Modus betrieben wird, wird das Sicherheitspaket auf den primären Knoten heruntergeladen und dann mit dem sekundären Knoten synchronisiert. Diese Synchronisierung trägt dazu bei, dass dieselbe Version des Sicherheitspakets sowohl auf dem primären als auch auf dem sekundären Knoten beibehalten wird. Siehe IDP-Signaturdatenbank.

Wenn auf Firewalls der SRX-Serie die Speicherauslastung Ihres Geräts auf der Steuerungsebene hoch ist, kann das Laden einer großen IDP-Richtlinie dazu führen, dass dem Gerät der Arbeitsspeicher ausgeht. Dies kann während des Updates des IDP-Sicherheitspakets einen Systemneustart auslösen.

Vorgehensweise

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

  1. Geben Sie die URL für das Sicherheitspaket an.

  2. Wechseln Sie in den Betriebsmodus.

  3. Laden Sie das IDP-Sicherheitspaket auf den primären Knoten herunter (Downloads im var/db/idpd/sec-download Ordner.

    Die folgende Meldung wird angezeigt.

  4. Überprüfen Sie den Download-Status des Sicherheitspakets.

    Bei einem erfolgreichen Download wird die folgende Meldung angezeigt.

  5. Aktualisieren Sie die Angriffsdatenbank mit dem install Befehl.

  6. Überprüfen Sie den Aktualisierungsstatus der Angriffsdatenbank. Die Befehlsausgabe zeigt Informationen über die heruntergeladenen und installierten Versionen der Angriffsdatenbank an.

    Sie müssen das IDP-Signaturpaket auf den primären Knoten herunterladen. Auf diese Weise wird das Sicherheitspaket auf dem sekundären Knoten synchronisiert.

Version der IDP-Signaturdatenbank

Dem Signaturdatenbankserver werden häufig neue Angriffsobjekte hinzugefügt. Durch das regelmäßige Herunterladen dieser Updates und deren Installation auf Ihren verwalteten Geräten wird sichergestellt, dass Ihr Netzwerk effektiv vor den neuesten Bedrohungen geschützt ist. Wenn dem Signaturdatenbankserver neue Angriffsobjekte hinzugefügt werden, wird die Versionsnummer der Datenbank mit der neuesten Datenbankversionsnummer aktualisiert. Jede Signaturdatenbank hat eine andere Versionsnummer, wobei die neueste Datenbank die höchste Nummer hat.

Beim Aktualisieren der Signaturdatenbank stellt der Updateclient für die Signaturdatenbank eine Verbindung mit der Website von Juniper Networks her und ruft das Update über eine HTTPS-Verbindung ab. Das Update berechnet die Differenz zwischen der vorhandenen und der neuesten Signaturdatenbank anhand ihrer Versionsnummer. Nachdem Sie die Updates heruntergeladen haben, werden die aktualisierten Informationen mit der vorhandenen Signaturdatenbank zusammengeführt, und die Versionsnummer wird auf die der neuesten Signaturdatenbank festgelegt.

Siehe auch

Überprüfen Sie die Version der IDP-Signaturdatenbank.

Zweck

Zeigen Sie die Version der Signaturdatenbank an.

Aktion

Geben Sie show security idp security-package-versionim Betriebsmodus in der CLI ein.

Bedeutung

Die Ausgabe zeigt die Versionsnummern für die Signaturdatenbank, den Protokolldetektor und die Richtlinienvorlage auf dem IDP-fähigen Gerät an. Überprüfen Sie die folgenden Informationen:

  • Attack database version– Am 16. April 2008 lautet 31die Version der auf dem Gerät aktiven Signaturdatenbank .

  • Detector version– Zeigt die Versionsnummer des IDP-Protokolldetektors an, der derzeit auf dem Gerät ausgeführt wird.

  • Policy template version– Zeigt die Version der Richtlinienvorlage an, die /var/db/scripts/commit im Verzeichnis installiert ist, wenn Sie die request security idp security-package install policy-templates Konfigurationsanweisung in der CLI ausführen.

Eine vollständige Beschreibung der Ausgabe finden Sie in der Beschreibung show security idp security-package-version .

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
18.2R1
Sie können das IDP-Sicherheitspaket über einen expliziten Proxy-Server herunterladen. Um das IDP-Sicherheitspaket herunterzuladen, das auf einem externen Server gehostet wird, müssen Sie ein Proxyprofil konfigurieren und die im Proxyprofil konfigurierten Proxyhost- und Portdetails verwenden. Mit dieser Funktion können Sie einen bereitgestellten Webproxyserver auf Ihrem Gerät für den Zugriff und die Authentifizierung für ausgehende HTTP(S)-Sitzungen für Ihre gesamte Sicherheitslösung verwenden.