IDP für Mandantensysteme
Eine IDP-Richtlinie (Intrusion Detection and Prevention) in Mandantensystemen ermöglicht es Ihnen, selektiv verschiedene Techniken zur Erkennung und Verhinderung von Angriffen auf den Netzwerkverkehr durchzusetzen, der eine Firewall der SRX-Serie passiert. Die Firewalls der SRX-Serie bieten die gleichen IDP-Signaturen wie die Intrusion Detection and Prevention Appliances der IDP-Serie von Juniper Networks, um Netzwerke gegen Angriffe zu sichern.
Verständnis von IDP für Mandantensysteme
Mit einer Junos OS Intrusion Detection and Prevention (IDP)-Richtlinie können Sie selektiv verschiedene Techniken zur Erkennung und Verhinderung von Angriffen auf den Netzwerkverkehr erzwingen, der ein Mandantensystem passiert.
Dieses Thema enthält die folgenden Abschnitte:
Richtlinien für IDP
Die Konfiguration von IDP-Richtlinien auf der Root-Ebene und der Ebene der Mandantensysteme ist ähnlich. Auf der Root-Ebene konfigurierte IDP-Richtlinienvorlagen sind sichtbar und werden von allen Mandantensystemen verwendet. Der primäre Administrator gibt im Sicherheitsprofil eine IDP-Richtlinie an, die an ein Mandantensystem gebunden ist. Um IDP in einem Mandantensystem zu aktivieren, konfiguriert der primäre Administrator oder Mandantensystemadministrator eine Sicherheitsrichtlinie, die den zu untersuchenden Datenverkehr definiert und auf Hierarchieebene permit application-services idp-policy idp-policy-name angibt.
Der primäre Administrator kann mehrere IDP-Richtlinien konfigurieren, und ein Mandantensystem kann mehrere IDP-Richtlinien gleichzeitig haben. Bei Mandantensystemen kann der primäre Administrator entweder dieselbe IDP-Richtlinie an mehrere Mandantensysteme binden oder die erforderlichen IDP-Richtlinien an jedes Mandantensystem binden. Wenn Sie mehr als eine IDP-Richtlinie konfigurieren, ist die Konfiguration einer Standard-IDP-Richtlinie obligatorisch.
Der primäre Administrator konfiguriert die Anzahl der maximalen Reservierung von IDP-Sitzungen für ein primäres logisches System und Mandantensysteme. Die Anzahl der IDP-Sitzungen, die für ein primäres logisches System zulässig sind, wird mit dem Befehl set security idp max-sessions max-sessions definiert, und die Anzahl der IDP-Sitzungen, die für ein Mandantensystem zulässig sind, wird mit dem Befehl set security idp tenant-system tenant-system max-sessions max-sessionsdefiniert.
Der Mandantensystemadministrator führt die folgenden Aktionen aus:
Konfigurieren Sie mehrere IDP-Richtlinien und fügen Sie sie an die Firewall-Richtlinien an, die von den Mandantensystemen verwendet werden sollen. Wenn die IDP-Richtlinie nicht für ein Mandantensystem konfiguriert ist, wird die vom primären Administrator konfigurierte standardmäßige IDP-Richtlinie verwendet. Die IDP-Richtlinie ist über eine Sicherheitsrichtlinie für Mandantensysteme an die Mandantensysteme gebunden.
Erstellen oder ändern Sie IDP-Richtlinien für ihr Mandantensystem. Die IDP-Richtlinien sind an Mandantensysteme gebunden. Wenn eine IDP-Richtlinie geändert wird und der Commit fehlschlägt, wird nur das Mandantensystem, das die Commit-Änderung initiiert hat, über den Commit-Fehler benachrichtigt.
Der Mandantensystemadministrator kann Sicherheitszonen im Mandantensystem erstellen und jeder Sicherheitszone Schnittstellen zuweisen. Zonen, die für Mandantensysteme spezifisch sind, können nicht in IDP-Richtlinien referenziert werden, die vom primären Administrator konfiguriert wurden. Der primäre Administrator kann in einer für das primäre logische System konfigurierten IDP-Richtlinie auf Zonen im primären logischen System verweisen.
Zeigen Sie die erkannten Angriffsstatistiken und IDP-Zähler, die Angriffstabelle und den Richtlinien-Commit-Status des einzelnen Mandantensystems mit den Befehlen
show security idp counters,show security idp attack table,show security idp policies,show security idp policy-commit-statusundshow security idp security-package-versionan.
Zeigen Sie die erkannten Angriffsstatistiken und IDP-Zähler, die Angriffstabelle und den Richtlinien-Commit-Status von der Wurzel aus mit den Befehlen show security idp counters counters tenant tenant-name, show security idp attack table tenant tenant-name, show security idp policies tenant tenant-name, show security idp policy-commit-status tenant tenant-nameund show security idp security-package-version tenant tenant-namean.
Einschränkung
Die Erstellung von IDP-Richtlinien in der Packet Forwarding Engine erfolgt auf globaler Ebene. Alle Änderungen an Richtlinien, die für ein logisches System oder ein Mandantensystem vorgenommen werden, führen zur Zusammenstellung von Richtlinien aller logischen Systeme oder Mandantensysteme, da der IDP sie intern als eine einzige globale Richtlinie behandelt.
Jede Änderung der Richtlinie, die für ein logisches System oder ein Mandantensystem vorgenommen wird, führt dazu, dass die Angriffstabelle von allen logischen Systemen oder Mandantensystemen gelöscht wird.
IDP-Installation und -Lizenzierung für Mandantensysteme
Auf der Root-Ebene muss eine idp-sig-Lizenz installiert sein. Sobald IDP auf der Root-Ebene aktiviert ist, kann es mit jedem Mandantensystem auf dem Gerät verwendet werden.
Ein einzelnes IDP-Sicherheitspaket wird für alle Mandantensysteme auf dem Gerät auf der Root-Ebene installiert. Die Download- und Installationsoptionen können nur auf der Root-Ebene ausgeführt werden. Dieselbe Version der IDP-Angriffsdatenbank wird von allen Mandantensystemen gemeinsam genutzt.
Grundlegendes zu IDP-Funktionen in Mandantensystemen
Dieses Thema enthält die folgenden Abschnitte:
Regelbasen
Eine einzelne IDP-Richtlinie kann nur eine Instanz eines beliebigen Regelbasistyps enthalten. Die Regelbasis des Intrusion Prevention Systems (IPS) verwendet Angriffsobjekte, um bekannte und unbekannte Angriffe zu erkennen. Es erkennt Angriffe basierend auf zustandsbehafteten Signaturen und Protokollanomalien.
Die Statusüberwachung für IPS ist global für das Gerät und nicht auf Mandantensystembasis.
Multi-Detektoren
Wenn ein neues IDP-Sicherheitspaket empfangen wird, enthält es Angriffsdefinitionen und einen Detektor. Nachdem eine neue Richtlinie geladen wurde, wird sie auch einem Detektor zugeordnet. Wenn der zu ladenden Richtlinie ein Detektor zugeordnet ist, der mit dem Detektor übereinstimmt, der bereits von der vorhandenen Richtlinie verwendet wird, wird der neue Detektor nicht geladen, und beide Richtlinien verwenden einen einzigen zugeordneten Detektor. Wenn der neue Detektor jedoch nicht mit dem aktuellen Detektor übereinstimmt, wird der neue Detektor zusammen mit der neuen Richtlinie geladen. In diesem Fall verwendet jede geladene Richtlinie dann einen eigenen zugeordneten Detektor für die Angriffserkennung.
Die Version des Melders ist für alle Mandantensysteme gleich.
Protokollierung und Überwachung
Die Optionen zur Statusüberwachung stehen nur dem primären Administrator zur Verfügung. Alle Statusüberwachungsoptionen unter den show security idp Betriebsbefehlen und clear security idp CLI stellen globale Informationen dar, jedoch nicht auf Mandantensystembasis.
Die SNMP-Überwachung für IDP wird auf Mandantensystemen nicht unterstützt.
Die Mandantensysteme unterstützen nur den Streammodus für Syslog und nicht den Ereignismodus.
IDP generiert Ereignisprotokolle, wenn ein Ereignis mit einer IDP-Richtlinienregel übereinstimmt, in der die Protokollierung aktiviert ist.
Die Mandantensystemidentifikation wird den folgenden Typen von IDP-Datenverkehrsverarbeitungsprotokollen hinzugefügt:
Angriffsprotokolle. Das folgende Beispiel zeigt ein Angriffsprotokoll für das
TSYS1Mandantensystem:"<14>1 2019-02-18T02:17:56+05:30 4.0.0.254 pamba RT_IDP - - IDP_ATTACK_LOG_EVENT_LS: Lsys TSYS1: IDP: At 1550485076, SIG Attack log <4.0.0.1/51480->5.0.0.1/21> for TCP protocol and service SERVICE_IDP application FTP by rule 1 of rulebase IPS in policy new. attack: id=4641, repeat=0, action=NONE, threat-severity=MEDIUM, name=FTP:USER:ROOT, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:l1z1:xe-4/0/0.0->l1z2:xe-4/0/1.0, packet-log-id: 0, alert=no, username=N/A, roles=N/A and misc-message -
IP-Aktionsprotokolle. Das folgende Beispiel zeigt ein IP-Aktionsprotokoll für das
TSYS1Mandantensystem:"<14>1 2019-02-19T02:21:43+05:30 4.0.0.254 pamba RT_FLOW - - FLOW_IP_ACTION_LS: Lsys TSYS1: Flow IP action detected attack attempt:4.0.0.1/51492 --> 5.0.0.1/21 from interface xe -4/0/0.0, from zone l1z1, action close. "<14>1 2019-02-19T02:21:45+05:30 4.0.0.254 pamba RT_FLOW - - APPTRACK_SESSION_CLOSE_LS: Lsys TSYS1: AppTrack session closed Closed by junos-tcp-clt-emul: 4.0.0.1/51492->5.0.0.1/ 21 junos-ftp FTP UNKNOWN 4.0.0.1/51492->5.0.0.1/21 N/A N/A 6 l1z1-l1z2 l1z1 l1z2 50000058 6(287) 5(281) 6 N/A N/A No N/A N/A VR1 xe-4/0/1.0 0 0 Infrastructure File-Servers N/A N/A
Beispiel: Konfigurieren von IDP-Richtlinien und Angriffen für Mandantensysteme
Dieses Beispiel zeigt, wie IDP-Richtlinien und Angriffe für Mandantensysteme konfiguriert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewall der SRX-Serie, die mit den Mandantensystemen konfiguriert ist.
Junos OS Version 19.2R1 und höher.
Bevor Sie IDP-Richtlinien und Angriffe für Mandantensysteme konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Lesen Sie Übersicht über Mandantensysteme , um zu verstehen, wie sich diese Aufgabe in den gesamten Konfigurationsprozess einfügt.
Mandantensystem
TSYS1anlegen . Siehe Beispiel: Erstellen von Mandantensystemen, Mandantensystemadministratoren und einem Interconnect-VPLS-Switch.Erstellen Sie Sicherheitszonen für das Mandantensystem
TSYS1. Siehe Beispiel: Konfigurieren von Zonen im Mandantensystem.-
Melden Sie sich beim Mandantensystem als Mandantensystemadministrator an. Weitere Informationen finden Sie unter Übersicht über die Konfiguration des Mandantensystems.
Überblick
In diesem Beispiel konfigurieren Sie benutzerdefinierte IDP-Angriffe, Richtlinien, benutzerdefinierte Angriffsgruppen, vordefinierte Angriffe und Angriffsgruppen sowie dynamische Angriffsgruppen im Mandantensystem TSYS1.
Konfiguration
- Konfigurieren eines benutzerdefinierten Angriffs
- Konfigurieren einer IDP-Richtlinie
- Konfigurieren mehrerer IDP-Richtlinien mit einer Standard-IDP-Richtlinie
- Konfiguration der benutzerdefinierten IDP-Angriffsgruppe
- Konfigurieren von vordefinierten Angriffen und Angriffsgruppen
- Konfiguration der dynamischen IDP-Angriffsgruppe
Konfigurieren eines benutzerdefinierten Angriffs
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*testing.* set security idp custom-attack my-http attack-type signature direction any
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie ein benutzerdefiniertes Angriffsobjekt:
Erstellen Sie das benutzerdefinierte Angriffsobjekt und legen Sie den Schweregrad fest.
[edit security idp] user@host:TSYS1# set custom-attack my-http severity info
Konfigurieren Sie zustandsbehaftete Signaturparameter.
[edit security idp] user@host:TSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:TSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:TSYS1# set custom-attack my-http attack-type signature pattern .*testing.* user@host:TSYS1# set custom-attack my-http attack-type signature direction any
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security idp custom-attack my-http Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*testing.*;
direction any;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren einer IDP-Richtlinie
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine IDP-Richtlinie:
Erstellen Sie die IDP-Richtlinie und konfigurieren Sie die Übereinstimmungsbedingungen.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
Konfigurieren Sie Aktionen für die IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security idp idp-policy idpengine Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren mehrerer IDP-Richtlinien mit einer Standard-IDP-Richtlinie
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp idp-policy idpengine1 rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine1 rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 set security policies from-zone l1z1 to-zone l1z2 policy 2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match application any set security policies from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP set security policies from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine set security idp default-policy idpengine1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie mehrere IDP-Richtlinien:
Erstellen Sie mehrere IDP-Richtlinien und konfigurieren Sie Übereinstimmungsbedingungen.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks
Konfigurieren Sie Sicherheitsrichtlinien und fügen Sie ihnen IDP-Richtlinien hinzu.
[edit security policies] user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine
Konfigurieren Sie eine standardmäßige IDP-Richtlinie.
Hinweis:Wenn Sie mehr als eine IDP-Richtlinie konfigurieren, ist die Konfiguration einer Standard-IDP-Richtlinie obligatorisch.
[edit security idp] user@host:TSYS1# set default-policy idpengine1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show security idp idp-policy idpengineBefehle , show security idp idp-policy idpengine1, show security policiesund show security policies . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
predefined-attacks HTTP:AUDIT:URL;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
[edit]
user@host:TSYS1# show security idp idp-policy idpengine1
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
[edit]
user@host:TSYS1# show security policies
from-zone l1z1 to-zone l1z2 {
policy l1z1-l1z2 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:FTP;
}
then {
permit {
application-services {
idp-policy idpengine1;
}
}
}
}
policy 2 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:HTTP;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfiguration der benutzerdefinierten IDP-Angriffsgruppe
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp custom-attack customftp severity warning set security idp custom-attack customftp attack-type signature context ftp-username set security idp custom-attack customftp attack-type signature pattern .*guest.* set security idp custom-attack customftp attack-type signature direction client-to-server set security idp custom-attack-group cust-group group-members customftp set security idp custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP set security idp custom-attack-group cust-group group-members "FTP - Minor" set security idp custom-attack-group cust-group group-members dyn1 set security idp dynamic-attack-group dyn1 filters category values HTTP
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine benutzerdefinierte IDP-Angriffsgruppe:
Erstellen Sie die IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group
Konfigurieren Sie die Übereinstimmungsbedingung der IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Konfigurieren Sie zustandsbehaftete Signaturparameter.
[edit security idp] user@host:TSYS1# set security idp custom-attack customftp severity warning user@host:TSYS1# set custom-attack customftp attack-type signature context ftp-username user@host:TSYS1# set custom-attack customftp attack-type signature pattern .*guest.* user@host:TSYS1# set custom-attack customftp attack-type signature direction client-to-server user@host:TSYS1# set custom-attack-group cust-group group-members customftp user@host:TSYS1# set custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP user@host:TSYS1# set custom-attack-group cust-group group-members "FTP - Minor" user@host:TSYS1# set custom-attack-group cust-group group-members dyn1 user@host:TSYS1# set dynamic-attack-group dyn1 filters category values HTTP
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security idp Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp
idp-policy idpengine {
rulebase-ips {
rule 1 {
match {
attacks {
custom-attack-groups cust-group;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
}
custom-attack customftp {
severity warning;
attack-type {
signature {
context ftp-username;
pattern .*guest.*;
direction client-to-server;
}
}
}
custom-attack-group cust-group {
group-members [ customftp ICMP:INFO:TIMESTAMP "FTP - Minor" dyn1 ];
}
dynamic-attack-group dyn1 {
filters {
category {
values HTTP;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von vordefinierten Angriffen und Angriffsgruppen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie den vordefinierten Angriff und die Angriffsgruppe:
Konfigurieren Sie den vordefinierten Angriff.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT
Konfigurieren Sie die vordefinierte Angriffsgruppe.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security idp idp-policy idpengine Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attacks FTP:USER:ROOT;
predefined-attack-groups "HTTP - All";
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfiguration der dynamischen IDP-Angriffsgruppe
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security idp dynamic-attack-group dyn1 filters direction values server-to-client
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die dynamische IDP-Angriffsgruppe:
Konfigurieren Sie den Parameter für dynamische Angriffsgruppen.
[edit security idp] user@host:TSYS1# set dynamic-attack-group dyn1 filters direction values server-to-client
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security idp Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp
dynamic-attack-group dyn1 {
filters {
direction {
values server-to-client;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
- Überprüfen der IDP-Richtlinien und des Commit-Status
- Überprüfen Sie die Erkennung von IDP-Angriffen
- Überprüfen Sie die IDP-Zähler
Überprüfen der IDP-Richtlinien und des Commit-Status
Zweck
Stellen Sie sicher, dass die IDP-Richtlinien und der Commit-Status nach der Richtlinienkompilierung für das Mandantensystem TSYS1angezeigt werden.
Aktion
Geben Sie im Betriebsmodus den show security idp policies Befehl ein.
user@host:TSYS1> show security idp policies ID Name Sessions Memory Detector 1 idpengine 0 186024 12.6.130180122
Geben Sie im Betriebsmodus den show security idp policy-commit-status Befehl ein.
user@host:TSYS1> show security idp policy-commit-statusIDP policy[/var/db/idpd/bins//idp-policy-unified.bin.gz.v] and detector[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v] loaded successfully. The loaded policy size is:2912 Bytes
Bedeutung
Die Ausgabe zeigt die im Mandantensystem TSYS1 konfigurierte IDP-Richtlinie und die Commit-Statusinformationen an.
Überprüfen Sie die Erkennung von IDP-Angriffen
Zweck
Stellen Sie sicher, dass die IDP-Angriffserkennung für das Mandantensystem TSYS1 erfolgreich ist und in der Angriffstabelle angezeigt wird.
Aktion
Geben Sie im Betriebsmodus den show security idp attack table Befehl ein.
user@host:TSYS1> show security idp attack table IDP attack statistics: Attack name #Hits my-http 1
Bedeutung
Die Ausgabe zeigt die Angriffe an, die für den benutzerdefinierten Angriff erkannt wurden, der im Mandantensystem TSYS1konfiguriert ist.
Überprüfen Sie die IDP-Zähler
Zweck
Stellen Sie sicher, dass einer der IDP-Zählerstatus für das Mandantensystem TSYS1angezeigt wird.
Aktion
Geben Sie im Betriebsmodus den show security idp counters flow Befehl ein.
user@host:TSYS1> show security idp counters flow IDP counters: IDP counter type Value Fast-path packets 38 Slow-path packets 1 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 1 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 1 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 1 Policy init failed 0 Policy reinit failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 1 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 2 SM Sessions not interested 0 SM Sessions interest error 0 Sessions destructed 1 SM Session Create 1 SM Packet Process 38 SM ftp data session ignored by idp 1 SM Session close 1 SM Client-to-server packets 15 SM Server-to-client packets 23 SM Client-to-server L7 bytes 99 SM Server-to-client L7 bytes 367 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Server-to-client flows tcp optimized 0 Client-to-server flows tcp optimized 0 Both directions flows ignored 1 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 NGAppID Events with no L7 App 0 NGAppID Events with no active-policy 0 NGAppID Detector failed from event handler 0 NGAppID Detector failed from API 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 37 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0 IDP sessions ignored for content decompression in intel inspect mode 0 IDP sessions ignored for bytes depth limit in intel inspect mode 0 IDP sessions ignored for protocol decoding in intel inspect mode 0 IDP sessions detected CPU usage crossed intel inspect CPU threshold 0 IDP sessions detected mem drop below intel inspect low mem threshold 0
Bedeutung
Die Ausgabe zeigt an, dass der IDP-Zählerflussstatus für das Mandantensystem TSYS1korrekt angezeigt wird.