IDP für Mandantensysteme
Eine Intrusion Detection and Prevention (IDP)-Richtlinie in Mandantensystemen ermöglicht es Ihnen, verschiedene Angriffserkennungs- und Präventionstechniken im Netzwerkverkehr, der eine Firewall der SRX-Serie passiert, selektiv durchzusetzen. Die Firewalls der SRX-Serie bieten die gleichen IDP-Signaturen, die auch auf den Intrusion Detection and Prevention Appliances der IDP-Serie von Juniper Networks verfügbar sind, um Netzwerke vor Angriffen zu schützen.
Verständnis von IDP für Mandantensysteme
Eine Intrusion Detection and Prevention (IDP)-Richtlinie von Junos OS ermöglicht es Ihnen, verschiedene Angriffserkennungs- und Präventionstechniken für den Netzwerkverkehr, der ein Mandantensystem passiert, selektiv durchzusetzen.
Dieses Thema umfasst die folgenden Abschnitte:
IDP-Richtlinien
Die Konfiguration von IDP-Richtlinien auf Root- und Mandantensystemebene ist ähnlich. Auf der Root-Ebene konfigurierte IDP-Richtlinienvorlagen sind sichtbar und werden von allen Mandantensystemen verwendet. Der Primäradministrator gibt eine IDP-Richtlinie im Sicherheitsprofil an, die an ein Mandantensystem gebunden ist. Um IDP in einem Mandantensystem zu aktivieren, konfiguriert der Primär- oder Mandantensystemadministrator eine Sicherheitsrichtlinie, die den zu untersuchenden Datenverkehr definiert und auf permit application-services idp-policy idp-policy-name Hierarchieebene angibt.
Der primäre Administrator kann mehrere IDP-Richtlinien konfigurieren, und ein Mandantensystem kann mehrere IDP-Richtlinien gleichzeitig haben. Bei Mandantensystemen kann der primäre Administrator entweder dieselbe IDP-Richtlinie an mehrere Mandantensysteme binden oder die erforderlichen IDP-Richtlinien an jedes Mandantensystem binden. Wenn Sie mehr als eine IDP-Richtlinie konfigurieren, ist die Konfiguration einer Standard-IDP-Richtlinie obligatorisch.
Der primäre Administrator konfiguriert die Anzahl der maximalen Reservierungen von IDP-Sitzungen für ein primäres logisches System und ein Mandantensystem. Die Anzahl der für ein primäres logisches System zulässigen IDP-Sitzungen wird mithilfe des Befehls set security idp max-sessions max-sessions definiert und die Anzahl der IDP-Sitzungen, die für ein Mandantensystem zulässig sind, wird mit dem Befehl set security idp tenant-system tenant-system max-sessions max-sessionsdefiniert.
Der Mandantensystemadministrator führt die folgenden Aktionen aus:
Konfigurieren Sie mehrere IDP-Richtlinien und fügen Sie die Firewall-Richtlinien an, die von den Mandantensystemen verwendet werden sollen. Wenn die IDP-Richtlinie nicht für ein Mandantensystem konfiguriert ist, wird die vom primären Administrator konfigurierte STANDARD-IDP-Richtlinie verwendet. Die IDP-Richtlinie ist über eine Sicherheitsrichtlinie für Mandantensysteme an die Mandantensysteme gebunden.
Erstellen oder ändern Sie IDP-Richtlinien für ihr Mandantensystem. Die IDP-Richtlinien sind an Mandantensysteme gebunden. Wenn eine IDP-Richtlinie geändert wird und commit fehlschlägt, wird nur das Mandantensystem, das die Commit-Änderung initiiert hat, über den Commit-Fehler benachrichtigt.
Der Mandantensystemadministrator kann Sicherheitszonen im Mandantensystem erstellen und jeder Sicherheitszone Schnittstellen zuweisen. Zonen, die für Mandantensysteme spezifisch sind, können in IDP-Richtlinien, die vom primären Administrator konfiguriert werden, nicht referenziert werden. Der primäre Administrator kann auf Zonen im primären logischen System in einer IDP-Richtlinie verweisen, die für das primäre logische System konfiguriert ist.
Zeigen Sie die erkannten Angriffsstatistiken und IDP-Zähler, die Angriffstabelle und den Richtlinien-Commit-Status des einzelnen Mandantensystems mithilfe der Befehle
show security idp counters,show security idp attack table, , ,show security idp policies,show security idp policy-commit-statusundshow security idp security-package-version.
Zeigen Sie die erkannten Angriffsstatistiken und IDP-Zähler, Die Angriffstabelle und den Richtlinien-Commit-Status von der Wurzel aus mithilfe der Befehle show security idp counters counters tenant tenant-name, , , , show security idp policies tenant tenant-nameund show security idp policy-commit-status tenant tenant-nameshow security idp security-package-version tenant tenant-name. show security idp attack table tenant tenant-name
Einschränkung
Die Erstellung von IDP-Richtlinien in der Packet Forwarding Engine erfolgt auf globaler Ebene. Jede Änderung der Richtlinie für ein logisches System oder ein Mandantensystem führt zur Erstellung von Richtlinien aller logischen Systeme oder Mandantensysteme, da sie vom IDP intern als eine einzige globale Richtlinie behandelt werden.
Jede Änderung der Richtlinien für ein logisches System oder ein Mandantensystem führt dazu, dass die Angriffstabelle aller logischen oder Mandantensysteme aus dem Weg geräumt wird.
IDP-Installation und Lizenzierung für Mandantensysteme
Eine idp-sig-Lizenz muss auf der Root-Ebene installiert werden. Sobald IDP auf der Root-Ebene aktiviert ist, kann es mit jedem Mandantensystem auf dem Gerät verwendet werden.
Ein einzelnes IDP-Sicherheitspaket wird für alle Mandantensysteme auf dem Gerät auf der Root-Ebene installiert. Die Download- und Installationsoptionen können nur auf Root-Ebene ausgeführt werden. Dieselbe Version der IDP-Angriffsdatenbank wird von allen Mandantensystemen gemeinsam genutzt.
Verständnis der IDP-Funktionen in Mandantensystemen
Dieses Thema umfasst die folgenden Abschnitte:
Regelbasen
Eine einzelne IDP-Richtlinie kann nur eine Instanz einer beliebigen Regelbasis enthalten. Die Regelbasis des Intrusion Prevention Systems (IPS) nutzt Angriffsobjekte, um bekannte und unbekannte Angriffe zu erkennen. Es erkennt Angriffe basierend auf zustandsbehafteten Signaturen und Protokollanomalien.
Die Statusüberwachung für IPS erfolgt global für das Gerät und nicht pro Mandantensystem.
Multidetektoren
Wenn ein neues IDP-Sicherheitspaket empfangen wird, enthält es Angriffsdefinitionen und einen Detektor. Nach dem Laden einer neuen Richtlinie wird sie auch mit einem Detektor verknüpft. Wenn die zu ladende Richtlinie über einen zugehörigen Detektor verfügt, der dem bereits von der bestehenden Richtlinie verwendeten Detektor entspricht, wird der neue Detektor nicht geladen, und beide Richtlinien verwenden einen einzigen zugehörigen Detektor. Wenn der neue Detektor jedoch nicht mit dem aktuellen Detektor übereinstimmt, wird der neue Detektor zusammen mit der neuen Richtlinie geladen. In diesem Fall verwendet jede geladene Richtlinie ihren eigenen zugehörigen Detektor für die Angriffserkennung.
Die Version des Detektors ist allen Mandantensystemen gemeinsam.
Protokollierung und Überwachung
Die Optionen zur Statusüberwachung stehen nur dem primären Administrator zur Verfügung. Alle Optionen zur Statusüberwachung unter den show security idp clear security idp Cli-Betriebsbefehlen enthalten globale Informationen, jedoch nicht pro Mandantensystem.
SNMP-Überwachung für IDP wird auf Mandantensystemen nicht unterstützt.
Die Mandantensysteme unterstützen nur den Stream-Modus für syslog und den Ereignismodus nicht.
IDP generiert Ereignisprotokolle, wenn ein Ereignis einer IDP-Richtlinienregel entspricht, in der die Protokollierung aktiviert ist.
Die Mandantensystemidentifizierung wird den folgenden Arten von IDP-Datenverkehrsverarbeitungsprotokollen hinzugefügt:
Angriffsprotokolle. Das folgende Beispiel zeigt ein Angriffsprotokoll für das
TSYS1Mandantensystem:"<14>1 2019-02-18T02:17:56+05:30 4.0.0.254 pamba RT_IDP - - IDP_ATTACK_LOG_EVENT_LS: Lsys TSYS1: IDP: At 1550485076, SIG Attack log <4.0.0.1/51480->5.0.0.1/21> for TCP protocol and service SERVICE_IDP application FTP by rule 1 of rulebase IPS in policy new. attack: id=4641, repeat=0, action=NONE, threat-severity=MEDIUM, name=FTP:USER:ROOT, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:l1z1:xe-4/0/0.0->l1z2:xe-4/0/1.0, packet-log-id: 0, alert=no, username=N/A, roles=N/A and misc-message -
IP-Aktionsprotokolle. Das folgende Beispiel zeigt ein IP-Aktionsprotokoll für das
TSYS1Mandantensystem:"<14>1 2019-02-19T02:21:43+05:30 4.0.0.254 pamba RT_FLOW - - FLOW_IP_ACTION_LS: Lsys TSYS1: Flow IP action detected attack attempt:4.0.0.1/51492 --> 5.0.0.1/21 from interface xe -4/0/0.0, from zone l1z1, action close. "<14>1 2019-02-19T02:21:45+05:30 4.0.0.254 pamba RT_FLOW - - APPTRACK_SESSION_CLOSE_LS: Lsys TSYS1: AppTrack session closed Closed by junos-tcp-clt-emul: 4.0.0.1/51492->5.0.0.1/ 21 junos-ftp FTP UNKNOWN 4.0.0.1/51492->5.0.0.1/21 N/A N/A 6 l1z1-l1z2 l1z1 l1z2 50000058 6(287) 5(281) 6 N/A N/A No N/A N/A VR1 xe-4/0/1.0 0 0 Infrastructure File-Servers N/A N/A
Beispiel: Konfigurieren von IDP-Richtlinien und -Angriffen für Mandantensysteme
Dieses Beispiel zeigt, wie Sie IDP-Richtlinien und -Angriffe für Mandantensysteme konfigurieren.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewall der SRX-Serie mit mandantenfähigen Systemen konfiguriert.
Junos OS Version 19.2R1 und höher.
Bevor Sie IDP-Richtlinien und -Angriffe für Mandantensysteme konfigurieren, stellen Sie sicher, dass Sie Folgendes haben:
Lesen Sie die Übersicht über Mandantensysteme , um zu verstehen, wie diese Aufgabe in den gesamten Konfigurationsprozess passt.
Mandantensystem
TSYS1erstellen. Siehe Beispiel: Erstellen von Mandantensystemen, Mandantensystemadministratoren und einem Interconnect-VPLS-Switch.Erstellen Sie Sicherheitszonen für mandantenfähige Systeme
TSYS1. Siehe Beispiel: Konfigurieren von Zonen im Mandantensystem.-
Melden Sie sich beim Mandantensystem als Mandantensystemadministrator an. Siehe Mandantensystemkonfigurationsübersicht.
Übersicht
In diesem Beispiel konfigurieren Sie IDP-benutzerdefinierte Angriffe, Richtlinien, benutzerdefinierte Angriffsgruppe, vordefinierte Angriffsgruppe und dynamische Angriffsgruppe im Mandantensystem TSYS1.
Konfiguration
- Konfigurieren eines benutzerdefinierten Angriffs
- Konfigurieren einer IDP-Richtlinie
- Konfigurieren mehrerer IDP-Richtlinien mit einer Standard-IDP-Richtlinie
- Konfigurieren der benutzerdefinierten IDP-Angriffsgruppe
- Konfiguration vordefinierter Angriffs- und Angriffsgruppe
- Konfiguration der dynamischen IDP-Angriffsgruppe
Konfigurieren eines benutzerdefinierten Angriffs
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*testing.* set security idp custom-attack my-http attack-type signature direction any
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie ein benutzerdefiniertes Angriffsobjekt:
Erstellen Sie das benutzerdefinierte Angriffsobjekt, und legen Sie den Schweregrad fest.
[edit security idp] user@host:TSYS1# set custom-attack my-http severity info
Konfigurieren Sie zustandsbehaftete Signaturparameter.
[edit security idp] user@host:TSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:TSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:TSYS1# set custom-attack my-http attack-type signature pattern .*testing.* user@host:TSYS1# set custom-attack my-http attack-type signature direction any
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security idp custom-attack my-http Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*testing.*;
direction any;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren einer IDP-Richtlinie
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine IDP-Richtlinie:
Erstellen Sie die IDP-Richtlinie und konfigurieren Sie die Übereinstimmungsbedingungen.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
Konfigurieren Sie Aktionen für die IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security idp idp-policy idpengine Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren mehrerer IDP-Richtlinien mit einer Standard-IDP-Richtlinie
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp idp-policy idpengine1 rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine1 rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 set security policies from-zone l1z1 to-zone l1z2 policy 2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match application any set security policies from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP set security policies from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine set security idp default-policy idpengine1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie mehrere IDP-Richtlinien:
Erstellen Sie mehrere IDP-Richtlinien und konfigurieren Sie die Übereinstimmungsbedingungen.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks
Konfigurieren Sie Sicherheitsrichtlinien und fügen Sie ihnen IDP-Richtlinien an.
[edit security policies] user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine
Konfigurieren Sie eine Standard-IDP-Richtlinie.
Hinweis:Wenn Sie mehr als eine IDP-Richtlinie konfigurieren, ist die Konfiguration einer Standard-IDP-Richtlinie obligatorisch.
[edit security idp] user@host:TSYS1# set default-policy idpengine1
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show security idp idp-policy idpengineBefehle , show security idp idp-policy idpengine1, show security policiesund show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
predefined-attacks HTTP:AUDIT:URL;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
[edit]
user@host:TSYS1# show security idp idp-policy idpengine1
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
[edit]
user@host:TSYS1# show security policies
from-zone l1z1 to-zone l1z2 {
policy l1z1-l1z2 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:FTP;
}
then {
permit {
application-services {
idp-policy idpengine1;
}
}
}
}
policy 2 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:HTTP;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren der benutzerdefinierten IDP-Angriffsgruppe
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp custom-attack customftp severity warning set security idp custom-attack customftp attack-type signature context ftp-username set security idp custom-attack customftp attack-type signature pattern .*guest.* set security idp custom-attack customftp attack-type signature direction client-to-server set security idp custom-attack-group cust-group group-members customftp set security idp custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP set security idp custom-attack-group cust-group group-members "FTP - Minor" set security idp custom-attack-group cust-group group-members dyn1 set security idp dynamic-attack-group dyn1 filters category values HTTP
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine benutzerdefinierte IDP-Angriffsgruppe:
Erstellen Sie die IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group
Konfigurieren Sie die Übereinstimmungsbedingung der IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Konfigurieren Sie zustandsbehaftete Signaturparameter.
[edit security idp] user@host:TSYS1# set security idp custom-attack customftp severity warning user@host:TSYS1# set custom-attack customftp attack-type signature context ftp-username user@host:TSYS1# set custom-attack customftp attack-type signature pattern .*guest.* user@host:TSYS1# set custom-attack customftp attack-type signature direction client-to-server user@host:TSYS1# set custom-attack-group cust-group group-members customftp user@host:TSYS1# set custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP user@host:TSYS1# set custom-attack-group cust-group group-members "FTP - Minor" user@host:TSYS1# set custom-attack-group cust-group group-members dyn1 user@host:TSYS1# set dynamic-attack-group dyn1 filters category values HTTP
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security idp Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp
idp-policy idpengine {
rulebase-ips {
rule 1 {
match {
attacks {
custom-attack-groups cust-group;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
}
custom-attack customftp {
severity warning;
attack-type {
signature {
context ftp-username;
pattern .*guest.*;
direction client-to-server;
}
}
}
custom-attack-group cust-group {
group-members [ customftp ICMP:INFO:TIMESTAMP "FTP - Minor" dyn1 ];
}
dynamic-attack-group dyn1 {
filters {
category {
values HTTP;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration vordefinierter Angriffs- und Angriffsgruppe
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die vordefinierte Angriffs- und Angriffsgruppe:
Konfigurieren Sie den vordefinierten Angriff.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT
Konfigurieren Sie die vordefinierte Angriffsgruppe.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security idp idp-policy idpengine Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attacks FTP:USER:ROOT;
predefined-attack-groups "HTTP - All";
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration der dynamischen IDP-Angriffsgruppe
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp dynamic-attack-group dyn1 filters direction values server-to-client
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die dynamische IDP-Angriffsgruppe:
Konfigurieren Sie den Parameter der dynamischen Angriffsgruppe.
[edit security idp] user@host:TSYS1# set dynamic-attack-group dyn1 filters direction values server-to-client
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security idp Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp
dynamic-attack-group dyn1 {
filters {
direction {
values server-to-client;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
- IDP-Richtlinien und Commit-Status überprüfen
- Überprüfung der IDP-Angriffserkennung
- IDP-Zähler überprüfen
IDP-Richtlinien und Commit-Status überprüfen
Zweck
Stellen Sie sicher, dass die IDP-Richtlinien und der Commit-Status nach der Richtlinienkompilierung für das Mandantensystem TSYS1angezeigt werden.
Aktion
Geben Sie im Betriebsmodus den show security idp policies Befehl ein.
user@host:TSYS1> show security idp policies ID Name Sessions Memory Detector 1 idpengine 0 186024 12.6.130180122
Geben Sie im Betriebsmodus den show security idp policy-commit-status Befehl ein.
user@host:TSYS1> show security idp policy-commit-statusIDP policy[/var/db/idpd/bins//idp-policy-unified.bin.gz.v] and detector[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v] loaded successfully. The loaded policy size is:2912 Bytes
Bedeutung
Die Ausgabe zeigt die im Mandantensystem TSYS1 konfigurierte IDP-Richtlinie und die Commit-Statusinformationen an.
Überprüfung der IDP-Angriffserkennung
Zweck
Stellen Sie sicher, dass die IDP-Angriffserkennung für das Mandantensystem TSYS1 erfolgreich ist und in der Angriffstabelle angezeigt wird.
Aktion
Geben Sie im Betriebsmodus den show security idp attack table Befehl ein.
user@host:TSYS1> show security idp attack table IDP attack statistics: Attack name #Hits my-http 1
Bedeutung
Die Ausgabe zeigt die für den benutzerdefinierten Angriff erkannten Angriffe an, der im Mandantensystem TSYS1konfiguriert wird.
IDP-Zähler überprüfen
Zweck
Stellen Sie sicher, dass einer des IDP-Zählerstatus für das Mandantensystem TSYS1angezeigt wird.
Aktion
Geben Sie im Betriebsmodus den show security idp counters flow Befehl ein.
user@host:TSYS1> show security idp counters flow IDP counters: IDP counter type Value Fast-path packets 38 Slow-path packets 1 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 1 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 1 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 1 Policy init failed 0 Policy reinit failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 1 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 2 SM Sessions not interested 0 SM Sessions interest error 0 Sessions destructed 1 SM Session Create 1 SM Packet Process 38 SM ftp data session ignored by idp 1 SM Session close 1 SM Client-to-server packets 15 SM Server-to-client packets 23 SM Client-to-server L7 bytes 99 SM Server-to-client L7 bytes 367 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Server-to-client flows tcp optimized 0 Client-to-server flows tcp optimized 0 Both directions flows ignored 1 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 NGAppID Events with no L7 App 0 NGAppID Events with no active-policy 0 NGAppID Detector failed from event handler 0 NGAppID Detector failed from API 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 37 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0 IDP sessions ignored for content decompression in intel inspect mode 0 IDP sessions ignored for bytes depth limit in intel inspect mode 0 IDP sessions ignored for protocol decoding in intel inspect mode 0 IDP sessions detected CPU usage crossed intel inspect CPU threshold 0 IDP sessions detected mem drop below intel inspect low mem threshold 0
Bedeutung
Die Ausgabe zeigt an, dass der IDP-Zählerflussstatus für das Mandantensystem TSYS1korrekt angezeigt wird.