IDP für Mandantensysteme
Mit einer Intrusion Detection and Prevention (IDP)-Richtlinie in Mandantensystemen können Sie selektiv verschiedene Angriffserkennungs- und Verhinderungstechniken für den Netzwerkdatenverkehr durchsetzen, der ein Gerät der SRX-Serie passiert. Die Geräte der SRX-Serie bieten die gleichen IDP-Signaturen wie auf den Intrusion Detection and Prevention-Appliances der IDP-Serie von Juniper Networks, um Netzwerke vor Angriffen zu schützen.
IDP für Mandantensysteme verstehen
Mit einer Junos OS Intrusion Detection and Prevention (IDP)-Richtlinie können Sie selektiv verschiedene Angriffserkennungs- und Verhinderungstechniken für den Netzwerkdatenverkehr durchsetzen, der ein Mandantensystem passiert.
Dieses Thema umfasst die folgenden Abschnitte:
IDP-Richtlinien
Die Konfiguration von IDP-Richtlinien auf Root- und Mandantensystemebene ist ähnlich. Auf Root-Ebene konfigurierte IDP-Richtlinienvorlagen sind sichtbar und werden von allen Mandantensystemen verwendet. Der primäre Administrator gibt im Sicherheitsprofil eine IDP-Richtlinie an, die an ein Mandantensystem gebunden ist. Um IDP in einem Mandantensystem zu aktivieren, konfiguriert der Primäre Administrator oder Mandantensystemadministrator eine Sicherheitsrichtlinie, die den zu prüfenden Datenverkehr definiert und auf der permit application-services idp-policy idp-policy-name Hierarchieebene angibt.
Der primäre Administrator kann mehrere IDP-Richtlinien konfigurieren, und ein Mandantensystem kann mehrere IDP-Richtlinien gleichzeitig haben. Bei Mandantensystemen kann der primäre Administrator entweder dieselbe IDP-Richtlinie an mehrere Mandantensysteme binden oder die erforderlichen IDP-Richtlinien an jedes Mandantensystem binden. Wenn Sie mehr als eine IDP-Richtlinie konfigurieren, ist die Konfiguration einer Standard-IDP-Richtlinie obligatorisch.
Der primäre Administrator konfiguriert die Anzahl der maximalen IDP-Sitzungen für ein primäres logisches System und Mandantensysteme. Die Anzahl der IDP-Sitzungen, die für ein primäres logisches System zulässig sind, werden mithilfe des Befehls set security idp max-sessions max-sessions definiert und die Anzahl der IDP-Sitzungen, die für ein Mandantensystem zulässig sind, werden mithilfe des Befehls set security idp tenant-system tenant-system max-sessions max-sessionsdefiniert.
Der Mandantensystemadministrator führt die folgenden Aktionen aus:
Konfigurieren Sie mehrere IDP-Richtlinien und fügen Sie sie an die Firewall-Richtlinien an, die von den Mandantensystemen verwendet werden. Wenn die IDP-Richtlinie nicht für ein Mandantensystem konfiguriert ist, wird die vom primären Administrator konfigurierte Standard-IDP-Richtlinie verwendet. Die IDP-Richtlinie ist über eine Sicherheitsrichtlinie für Mandantensysteme an die Mandantensysteme gebunden.
Erstellen oder ändern Sie IDP-Richtlinien für ihr Mandantensystem. Die IDP-Richtlinien sind an Mandantensysteme gebunden. Wenn eine IDP-Richtlinie geändert wird und der Commit fehlschlägt, wird nur das Mandantensystem, das die Commit-Änderung initiiert hat, über den Commit-Fehler benachrichtigt.
Der Administrator des Mandantensystems kann Sicherheitszonen im Mandantensystem erstellen und jeder Sicherheitszone Schnittstellen zuweisen. Zonen, die für Mandantensysteme spezifisch sind, können nicht in vom primären Administrator konfigurierten IDP-Richtlinien referenziert werden. Der primäre Administrator kann in einer für das primäre logische System konfigurierten IDP-Richtlinie Zonen im primären logischen System referenzieren.
Zeigen Sie die vom einzelnen Mandantensystem erkannten Angriffsstatistiken und IDP-Zähler, Angriffstabellen und Richtlinien-Commit-Status mit den Befehlen
show security idp counters, ,show security idp attack tableshow security idp policies,show security idp policy-commit-statusundshow security idp security-package-version.
Zeigen Sie die erkannten Angriffsstatistiken und IDP-Zähler, die Angriffstabelle und den Richtlinien-Commit-Status aus dem Stammverzeichnis mithilfe der Befehle show security idp counters counters tenant tenant-name, show security idp attack table tenant tenant-name, show security idp policies tenant tenant-name, show security idp policy-commit-status tenant tenant-nameund show security idp security-package-version tenant tenant-name.
Einschränkung
Die Kompilierung von IDP-Richtlinien in Packet Forwarding Engine erfolgt auf globaler Ebene. Alle Richtlinienänderungen, die für ein logisches System oder ein Mandantensystem vorgenommen wurden, führen zur Zusammenstellung von Richtlinien aller logischen Systeme oder Mandantensysteme, da die IDP sie intern als eine einzige globale Richtlinie behandelt.
Alle Richtlinienänderungen, die für ein logisches System oder ein Mandantensystem vorgenommen wurden, führen zum Löschen der Angriffstabelle aller logischen Systeme oder Mandantensysteme.
IDP-Installation und Lizenzierung für Mandantensysteme
Auf Root-Ebene muss eine idp-sig-Lizenz installiert werden. Sobald IDP auf Root-Ebene aktiviert ist, kann es mit jedem Mandantensystem auf dem Gerät verwendet werden.
Für alle Mandantensysteme auf dem Gerät auf Root-Ebene wird ein einzelnes IDP-Sicherheitspaket installiert. Die Download- und Installationsoptionen können nur auf Root-Ebene ausgeführt werden. Dieselbe Version der IDP-Angriffsdatenbank wird von allen Mandantensystemen gemeinsam genutzt.
IDP-Funktionen in Mandantensystemen verstehen
Dieses Thema umfasst die folgenden Abschnitte:
Regelsätze
Eine einzelne IDP-Richtlinie kann nur eine Instanz jeder Art von Regeldatenbank enthalten. Die Intrusion Prevention System (IPS)-Regeldatenbank verwendet Angriffsobjekte, um bekannte und unbekannte Angriffe zu erkennen. Es erkennt Angriffe basierend auf zustandsbehafteten Signatur- und Protokollanomalien.
Die Statusüberwachung für IPS ist global für das Gerät und nicht auf Systembasis pro Mandant.
Multi-Detektoren
Wenn ein neues IDP-Sicherheitspaket empfangen wird, enthält es Angriffsdefinitionen und einen Detektor. Nachdem eine neue Richtlinie geladen wurde, wird sie auch mit einem Detektor verbunden. Wenn die geladene Richtlinie über einen zugehörigen Detektor verfügt, der dem bereits von der vorhandenen Richtlinie verwendeten Detektor entspricht, wird der neue Detektor nicht geladen, und beide Richtlinien verwenden einen einzigen zugehörigen Detektor. Wenn der neue Detektor jedoch nicht mit dem aktuellen Detektor übereinstimmt, wird der neue Detektor zusammen mit der neuen Richtlinie geladen. In diesem Fall wird jede geladene Richtlinie dann einen eigenen detektor für die Angriffserkennung verwenden.
Die Version des Detektors ist für alle Mandantensysteme üblich.
Protokollierung und Überwachung
Statusüberwachungsoptionen sind nur für den primären Administrator verfügbar. Alle Statusüberwachungsoptionen unter den Betriebsbefehlen und clear security idp der show security idp Befehlszeilenschnittstelle stellen globale Informationen dar, jedoch nicht auf Systembasis pro Mandant.
Die SNMP-Überwachung für IDP wird auf Mandantensystemen nicht unterstützt.
Die Mandantensysteme unterstützen nur den Stream-Modus für syslog und den Ereignismodus nicht.
IDP generiert Ereignisprotokolle, wenn ein Ereignis mit einer IDP-Richtlinienregel übereinstimmt, in der die Protokollierung aktiviert ist.
Die Identifizierung von Mandantensystemen wird den folgenden Arten von IDP-Datenverkehrsverarbeitungsprotokollen hinzugefügt:
Angriffsprotokolle. Das folgende Beispiel zeigt ein Angriffsprotokoll für das
TSYS1Mandantensystem:"<14>1 2019-02-18T02:17:56+05:30 4.0.0.254 pamba RT_IDP - - IDP_ATTACK_LOG_EVENT_LS: Lsys TSYS1: IDP: At 1550485076, SIG Attack log <4.0.0.1/51480->5.0.0.1/21> for TCP protocol and service SERVICE_IDP application FTP by rule 1 of rulebase IPS in policy new. attack: id=4641, repeat=0, action=NONE, threat-severity=MEDIUM, name=FTP:USER:ROOT, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:l1z1:xe-4/0/0.0->l1z2:xe-4/0/1.0, packet-log-id: 0, alert=no, username=N/A, roles=N/A and misc-message -
IP-Aktionsprotokolle. Das folgende Beispiel zeigt ein IP-Aktionsprotokoll für das
TSYS1Mandantensystem:"<14>1 2019-02-19T02:21:43+05:30 4.0.0.254 pamba RT_FLOW - - FLOW_IP_ACTION_LS: Lsys TSYS1: Flow IP action detected attack attempt:4.0.0.1/51492 --> 5.0.0.1/21 from interface xe -4/0/0.0, from zone l1z1, action close. "<14>1 2019-02-19T02:21:45+05:30 4.0.0.254 pamba RT_FLOW - - APPTRACK_SESSION_CLOSE_LS: Lsys TSYS1: AppTrack session closed Closed by junos-tcp-clt-emul: 4.0.0.1/51492->5.0.0.1/ 21 junos-ftp FTP UNKNOWN 4.0.0.1/51492->5.0.0.1/21 N/A N/A 6 l1z1-l1z2 l1z1 l1z2 50000058 6(287) 5(281) 6 N/A N/A No N/A N/A VR1 xe-4/0/1.0 0 0 Infrastructure File-Servers N/A N/A
Beispiel: Konfigurieren von IDP-Richtlinien und -Angriffen für Mandantensysteme
In diesem Beispiel wird gezeigt, wie IDP-Richtlinien und -Angriffe für Mandantensysteme konfiguriert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Geräte der SRX-Serie, die mit mandantenfähigen Systemen konfiguriert sind.
Junos OS Version 19.2R1 und höher.
Bevor Sie IDP-Richtlinien und -Angriffe für Mandantensysteme konfigurieren, müssen Sie Folgendes beachten:
Lesen Sie die Übersicht über Mandantensysteme , um zu verstehen, wie sich diese Aufgabe in den gesamten Konfigurationsprozess einfügt.
Mandantensystem
TSYS1erstellen. Siehe Beispiel: Erstellen von Mandantensystemen, Mandantensystemadministratoren und einem Interconnect VPLS-Switch.Sicherheitszonen für Mandantensystem
TSYS1erstellen. Siehe Beispiel: Konfigurieren von Zonen im Mandantensystem.-
Melden Sie sich beim Mandantensystem als Mandantensystemadministrator an. Siehe Übersicht über die Konfiguration des Mandantensystems.
Übersicht
In diesem Beispiel konfigurieren Sie IDP-benutzerdefinierte Angriffe, Richtlinien, benutzerdefinierte Angriffsgruppe, vordefinierte Angriffe und Angriffsgruppe sowie dynamische Angriffsgruppe im Mandantensystem TSYS1.
Konfiguration
- Konfigurieren eines benutzerdefinierten Angriffs
- Konfigurieren einer IDP-Richtlinie
- Konfigurieren mehrerer IDP-Richtlinien mit einer Standard-IDP-Richtlinie
- Konfiguration einer benutzerdefinierten IDP-Angriffsgruppe
- Konfigurieren vordefinierter Angriffs- und Angriffsgruppe
- Konfigurieren der dynamischen IDP-Angriffsgruppe
Konfigurieren eines benutzerdefinierten Angriffs
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*testing.* set security idp custom-attack my-http attack-type signature direction any
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.
So konfigurieren Sie ein benutzerdefiniertes Angriffsobjekt:
Erstellen Sie das benutzerdefinierte Angriffsobjekt und legen Sie den Schweregrad fest.
[edit security idp] user@host:TSYS1# set custom-attack my-http severity info
Konfigurieren Sie Zustandssignaturparameter.
[edit security idp] user@host:TSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:TSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:TSYS1# set custom-attack my-http attack-type signature pattern .*testing.* user@host:TSYS1# set custom-attack my-http attack-type signature direction any
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp custom-attack my-http Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*testing.*;
direction any;
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfigurieren einer IDP-Richtlinie
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.
So konfigurieren Sie eine IDP-Richtlinie:
Erstellen Sie die IDP-Richtlinie und konfigurieren Sie Übereinstimmungsbedingungen.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
Konfigurieren Sie Aktionen für die IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp idp-policy idpengine Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfigurieren mehrerer IDP-Richtlinien mit einer Standard-IDP-Richtlinie
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp idp-policy idpengine1 rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine1 rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 set security policies from-zone l1z1 to-zone l1z2 policy 2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match application any set security policies from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP set security policies from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine set security idp default-policy idpengine1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.
So konfigurieren Sie mehrere IDP-Richtlinien:
Erstellen Sie mehrere IDP-Richtlinien und konfigurieren Sie Übereinstimmungsbedingungen.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks
Konfigurieren Sie Sicherheitsrichtlinien und fügen Sie ihnen IDP-Richtlinien bei.
[edit security policies] user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine
Konfigurieren Sie eine Standard-IDP-Richtlinie.
Hinweis:Wenn Sie mehr als eine IDP-Richtlinie konfigurieren, ist die Konfiguration einer Standard-IDP-Richtlinie obligatorisch.
[edit security idp] user@host:TSYS1# set default-policy idpengine1
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show security idp idp-policy idpengineBefehle , , show security idp idp-policy idpengine1show security policiesundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
predefined-attacks HTTP:AUDIT:URL;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
[edit]
user@host:TSYS1# show security idp idp-policy idpengine1
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
[edit]
user@host:TSYS1# show security policies
from-zone l1z1 to-zone l1z2 {
policy l1z1-l1z2 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:FTP;
}
then {
permit {
application-services {
idp-policy idpengine1;
}
}
}
}
policy 2 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:HTTP;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfiguration einer benutzerdefinierten IDP-Angriffsgruppe
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp custom-attack customftp severity warning set security idp custom-attack customftp attack-type signature context ftp-username set security idp custom-attack customftp attack-type signature pattern .*guest.* set security idp custom-attack customftp attack-type signature direction client-to-server set security idp custom-attack-group cust-group group-members customftp set security idp custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP set security idp custom-attack-group cust-group group-members "FTP - Minor" set security idp custom-attack-group cust-group group-members dyn1 set security idp dynamic-attack-group dyn1 filters category values HTTP
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.
So konfigurieren Sie die benutzerdefinierte IDP-Angriffsgruppe:
Erstellen Sie die IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group
Konfigurieren Sie den Übereinstimmungszustand der IDP-Richtlinie.
[edit security idp] user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Konfigurieren Sie Zustandssignaturparameter.
[edit security idp] user@host:TSYS1# set security idp custom-attack customftp severity warning user@host:TSYS1# set custom-attack customftp attack-type signature context ftp-username user@host:TSYS1# set custom-attack customftp attack-type signature pattern .*guest.* user@host:TSYS1# set custom-attack customftp attack-type signature direction client-to-server user@host:TSYS1# set custom-attack-group cust-group group-members customftp user@host:TSYS1# set custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP user@host:TSYS1# set custom-attack-group cust-group group-members "FTP - Minor" user@host:TSYS1# set custom-attack-group cust-group group-members dyn1 user@host:TSYS1# set dynamic-attack-group dyn1 filters category values HTTP
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp
idp-policy idpengine {
rulebase-ips {
rule 1 {
match {
attacks {
custom-attack-groups cust-group;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
}
custom-attack customftp {
severity warning;
attack-type {
signature {
context ftp-username;
pattern .*guest.*;
direction client-to-server;
}
}
}
custom-attack-group cust-group {
group-members [ customftp ICMP:INFO:TIMESTAMP "FTP - Minor" dyn1 ];
}
dynamic-attack-group dyn1 {
filters {
category {
values HTTP;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfigurieren vordefinierter Angriffs- und Angriffsgruppe
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.
So konfigurieren Sie die vordefinierte Angriffs- und Angriffsgruppe:
Konfigurieren Sie den vordefinierten Angriff.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT
Konfigurieren Sie die vordefinierte Angriffsgruppe.
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp idp-policy idpengine Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attacks FTP:USER:ROOT;
predefined-attack-groups "HTTP - All";
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfigurieren der dynamischen IDP-Angriffsgruppe
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security idp dynamic-attack-group dyn1 filters direction values server-to-client
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.
So konfigurieren Sie die dynamische IDP-Angriffsgruppe:
Konfigurieren Sie die dynamischen Parameter der Angriffsgruppe.
[edit security idp] user@host:TSYS1# set dynamic-attack-group dyn1 filters direction values server-to-client
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host:TSYS1# show security idp
dynamic-attack-group dyn1 {
filters {
direction {
values server-to-client;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
- IDP-Richtlinien und Commit-Status überprüfen
- Überprüfung der Erkennung von IDP-Angriffen
- IDP-Leistungsindikatoren überprüfen
IDP-Richtlinien und Commit-Status überprüfen
Zweck
Vergewissern Sie sich, dass die IDP-Richtlinien und der Commit-Status nach der Richtlinienkompilierung für das Mandantensystem TSYS1angezeigt werden.
Aktion
Geben Sie im Betriebsmodus den show security idp policies Befehl ein.
user@host:TSYS1> show security idp policies ID Name Sessions Memory Detector 1 idpengine 0 186024 12.6.130180122
Geben Sie im Betriebsmodus den show security idp policy-commit-status Befehl ein.
user@host:TSYS1> show security idp policy-commit-statusIDP policy[/var/db/idpd/bins//idp-policy-unified.bin.gz.v] and detector[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v] loaded successfully. The loaded policy size is:2912 Bytes
Bedeutung
Die Ausgabe zeigt die im Mandantensystem TSYS1 konfigurierte IDP-Richtlinie und die Commit-Statusinformationen an.
Überprüfung der Erkennung von IDP-Angriffen
Zweck
Vergewissern Sie sich, dass die Erkennung von IDP-Angriffen für das Mandantensystem TSYS1 erfolgreich ist und in der Angriffstabelle angezeigt wird.
Aktion
Geben Sie im Betriebsmodus den show security idp attack table Befehl ein.
user@host:TSYS1> show security idp attack table IDP attack statistics: Attack name #Hits my-http 1
Bedeutung
Die Ausgabe zeigt die für den benutzerdefinierten Angriff erkannten Angriffe an, die im Mandantensystem TSYS1konfiguriert sind.
IDP-Leistungsindikatoren überprüfen
Zweck
Überprüfen Sie, ob einer der IDP-Leistungsindikatoren für das Mandantensystem TSYS1angezeigt wird.
Aktion
Geben Sie im Betriebsmodus den show security idp counters flow Befehl ein.
user@host:TSYS1> show security idp counters flow IDP counters: IDP counter type Value Fast-path packets 38 Slow-path packets 1 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 1 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 1 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 1 Policy init failed 0 Policy reinit failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 1 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 2 SM Sessions not interested 0 SM Sessions interest error 0 Sessions destructed 1 SM Session Create 1 SM Packet Process 38 SM ftp data session ignored by idp 1 SM Session close 1 SM Client-to-server packets 15 SM Server-to-client packets 23 SM Client-to-server L7 bytes 99 SM Server-to-client L7 bytes 367 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Server-to-client flows tcp optimized 0 Client-to-server flows tcp optimized 0 Both directions flows ignored 1 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 NGAppID Events with no L7 App 0 NGAppID Events with no active-policy 0 NGAppID Detector failed from event handler 0 NGAppID Detector failed from API 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 37 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0 IDP sessions ignored for content decompression in intel inspect mode 0 IDP sessions ignored for bytes depth limit in intel inspect mode 0 IDP sessions ignored for protocol decoding in intel inspect mode 0 IDP sessions detected CPU usage crossed intel inspect CPU threshold 0 IDP sessions detected mem drop below intel inspect low mem threshold 0
Bedeutung
Die Ausgabe zeigt an, dass der IDP-Leistungsflussstatus für das Mandantensystem TSYS1ordnungsgemäß angezeigt wird.