Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP für Mandantensysteme

Mit einer Intrusion Detection and Prevention (IDP)-Richtlinie in Mandantensystemen können Sie selektiv verschiedene Angriffserkennungs- und Verhinderungstechniken für den Netzwerkdatenverkehr durchsetzen, der ein Gerät der SRX-Serie passiert. Die Geräte der SRX-Serie bieten die gleichen IDP-Signaturen wie auf den Intrusion Detection and Prevention-Appliances der IDP-Serie von Juniper Networks, um Netzwerke vor Angriffen zu schützen.

IDP für Mandantensysteme verstehen

Mit einer Junos OS Intrusion Detection and Prevention (IDP)-Richtlinie können Sie selektiv verschiedene Angriffserkennungs- und Verhinderungstechniken für den Netzwerkdatenverkehr durchsetzen, der ein Mandantensystem passiert.

Dieses Thema umfasst die folgenden Abschnitte:

IDP-Richtlinien

Die Konfiguration von IDP-Richtlinien auf Root- und Mandantensystemebene ist ähnlich. Auf Root-Ebene konfigurierte IDP-Richtlinienvorlagen sind sichtbar und werden von allen Mandantensystemen verwendet. Der primäre Administrator gibt im Sicherheitsprofil eine IDP-Richtlinie an, die an ein Mandantensystem gebunden ist. Um IDP in einem Mandantensystem zu aktivieren, konfiguriert der Primäre Administrator oder Mandantensystemadministrator eine Sicherheitsrichtlinie, die den zu prüfenden Datenverkehr definiert und auf der permit application-services idp-policy idp-policy-name Hierarchieebene angibt.

Der primäre Administrator kann mehrere IDP-Richtlinien konfigurieren, und ein Mandantensystem kann mehrere IDP-Richtlinien gleichzeitig haben. Bei Mandantensystemen kann der primäre Administrator entweder dieselbe IDP-Richtlinie an mehrere Mandantensysteme binden oder die erforderlichen IDP-Richtlinien an jedes Mandantensystem binden. Wenn Sie mehr als eine IDP-Richtlinie konfigurieren, ist die Konfiguration einer Standard-IDP-Richtlinie obligatorisch.

Der primäre Administrator konfiguriert die Anzahl der maximalen IDP-Sitzungen für ein primäres logisches System und Mandantensysteme. Die Anzahl der IDP-Sitzungen, die für ein primäres logisches System zulässig sind, werden mithilfe des Befehls set security idp max-sessions max-sessions definiert und die Anzahl der IDP-Sitzungen, die für ein Mandantensystem zulässig sind, werden mithilfe des Befehls set security idp tenant-system tenant-system max-sessions max-sessionsdefiniert.

Der Mandantensystemadministrator führt die folgenden Aktionen aus:

  • Konfigurieren Sie mehrere IDP-Richtlinien und fügen Sie sie an die Firewall-Richtlinien an, die von den Mandantensystemen verwendet werden. Wenn die IDP-Richtlinie nicht für ein Mandantensystem konfiguriert ist, wird die vom primären Administrator konfigurierte Standard-IDP-Richtlinie verwendet. Die IDP-Richtlinie ist über eine Sicherheitsrichtlinie für Mandantensysteme an die Mandantensysteme gebunden.

  • Erstellen oder ändern Sie IDP-Richtlinien für ihr Mandantensystem. Die IDP-Richtlinien sind an Mandantensysteme gebunden. Wenn eine IDP-Richtlinie geändert wird und der Commit fehlschlägt, wird nur das Mandantensystem, das die Commit-Änderung initiiert hat, über den Commit-Fehler benachrichtigt.

  • Der Administrator des Mandantensystems kann Sicherheitszonen im Mandantensystem erstellen und jeder Sicherheitszone Schnittstellen zuweisen. Zonen, die für Mandantensysteme spezifisch sind, können nicht in vom primären Administrator konfigurierten IDP-Richtlinien referenziert werden. Der primäre Administrator kann in einer für das primäre logische System konfigurierten IDP-Richtlinie Zonen im primären logischen System referenzieren.

  • Zeigen Sie die vom einzelnen Mandantensystem erkannten Angriffsstatistiken und IDP-Zähler, Angriffstabellen und Richtlinien-Commit-Status mit den Befehlen show security idp counters, , show security idp attack tableshow security idp policies, show security idp policy-commit-statusund show security idp security-package-version.

Zeigen Sie die erkannten Angriffsstatistiken und IDP-Zähler, die Angriffstabelle und den Richtlinien-Commit-Status aus dem Stammverzeichnis mithilfe der Befehle show security idp counters counters tenant tenant-name, show security idp attack table tenant tenant-name, show security idp policies tenant tenant-name, show security idp policy-commit-status tenant tenant-nameund show security idp security-package-version tenant tenant-name.

Einschränkung

  • Die Kompilierung von IDP-Richtlinien in Packet Forwarding Engine erfolgt auf globaler Ebene. Alle Richtlinienänderungen, die für ein logisches System oder ein Mandantensystem vorgenommen wurden, führen zur Zusammenstellung von Richtlinien aller logischen Systeme oder Mandantensysteme, da die IDP sie intern als eine einzige globale Richtlinie behandelt.

  • Alle Richtlinienänderungen, die für ein logisches System oder ein Mandantensystem vorgenommen wurden, führen zum Löschen der Angriffstabelle aller logischen Systeme oder Mandantensysteme.

IDP-Installation und Lizenzierung für Mandantensysteme

Auf Root-Ebene muss eine idp-sig-Lizenz installiert werden. Sobald IDP auf Root-Ebene aktiviert ist, kann es mit jedem Mandantensystem auf dem Gerät verwendet werden.

Für alle Mandantensysteme auf dem Gerät auf Root-Ebene wird ein einzelnes IDP-Sicherheitspaket installiert. Die Download- und Installationsoptionen können nur auf Root-Ebene ausgeführt werden. Dieselbe Version der IDP-Angriffsdatenbank wird von allen Mandantensystemen gemeinsam genutzt.

IDP-Funktionen in Mandantensystemen verstehen

Dieses Thema umfasst die folgenden Abschnitte:

Regelsätze

Eine einzelne IDP-Richtlinie kann nur eine Instanz jeder Art von Regeldatenbank enthalten. Die Intrusion Prevention System (IPS)-Regeldatenbank verwendet Angriffsobjekte, um bekannte und unbekannte Angriffe zu erkennen. Es erkennt Angriffe basierend auf zustandsbehafteten Signatur- und Protokollanomalien.

Hinweis:

Die Statusüberwachung für IPS ist global für das Gerät und nicht auf Systembasis pro Mandant.

Multi-Detektoren

Wenn ein neues IDP-Sicherheitspaket empfangen wird, enthält es Angriffsdefinitionen und einen Detektor. Nachdem eine neue Richtlinie geladen wurde, wird sie auch mit einem Detektor verbunden. Wenn die geladene Richtlinie über einen zugehörigen Detektor verfügt, der dem bereits von der vorhandenen Richtlinie verwendeten Detektor entspricht, wird der neue Detektor nicht geladen, und beide Richtlinien verwenden einen einzigen zugehörigen Detektor. Wenn der neue Detektor jedoch nicht mit dem aktuellen Detektor übereinstimmt, wird der neue Detektor zusammen mit der neuen Richtlinie geladen. In diesem Fall wird jede geladene Richtlinie dann einen eigenen detektor für die Angriffserkennung verwenden.

Die Version des Detektors ist für alle Mandantensysteme üblich.

Protokollierung und Überwachung

Statusüberwachungsoptionen sind nur für den primären Administrator verfügbar. Alle Statusüberwachungsoptionen unter den Betriebsbefehlen und clear security idp der show security idp Befehlszeilenschnittstelle stellen globale Informationen dar, jedoch nicht auf Systembasis pro Mandant.

Hinweis:
  • Die SNMP-Überwachung für IDP wird auf Mandantensystemen nicht unterstützt.

  • Die Mandantensysteme unterstützen nur den Stream-Modus für syslog und den Ereignismodus nicht.

IDP generiert Ereignisprotokolle, wenn ein Ereignis mit einer IDP-Richtlinienregel übereinstimmt, in der die Protokollierung aktiviert ist.

Die Identifizierung von Mandantensystemen wird den folgenden Arten von IDP-Datenverkehrsverarbeitungsprotokollen hinzugefügt:

  • Angriffsprotokolle. Das folgende Beispiel zeigt ein Angriffsprotokoll für das TSYS1 Mandantensystem:

  • IP-Aktionsprotokolle. Das folgende Beispiel zeigt ein IP-Aktionsprotokoll für das TSYS1 Mandantensystem:

Beispiel: Konfigurieren von IDP-Richtlinien und -Angriffen für Mandantensysteme

In diesem Beispiel wird gezeigt, wie IDP-Richtlinien und -Angriffe für Mandantensysteme konfiguriert werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Geräte der SRX-Serie, die mit mandantenfähigen Systemen konfiguriert sind.

  • Junos OS Version 19.2R1 und höher.

Bevor Sie IDP-Richtlinien und -Angriffe für Mandantensysteme konfigurieren, müssen Sie Folgendes beachten:

Übersicht

In diesem Beispiel konfigurieren Sie IDP-benutzerdefinierte Angriffe, Richtlinien, benutzerdefinierte Angriffsgruppe, vordefinierte Angriffe und Angriffsgruppe sowie dynamische Angriffsgruppe im Mandantensystem TSYS1.

Konfiguration

Konfigurieren eines benutzerdefinierten Angriffs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie ein benutzerdefiniertes Angriffsobjekt:

  1. Erstellen Sie das benutzerdefinierte Angriffsobjekt und legen Sie den Schweregrad fest.

  2. Konfigurieren Sie Zustandssignaturparameter.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp custom-attack my-http Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren einer IDP-Richtlinie

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie eine IDP-Richtlinie:

  1. Erstellen Sie die IDP-Richtlinie und konfigurieren Sie Übereinstimmungsbedingungen.

  2. Konfigurieren Sie Aktionen für die IDP-Richtlinie.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp idp-policy idpengine Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren mehrerer IDP-Richtlinien mit einer Standard-IDP-Richtlinie

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie mehrere IDP-Richtlinien:

  1. Erstellen Sie mehrere IDP-Richtlinien und konfigurieren Sie Übereinstimmungsbedingungen.

  2. Konfigurieren Sie Sicherheitsrichtlinien und fügen Sie ihnen IDP-Richtlinien bei.

  3. Konfigurieren Sie eine Standard-IDP-Richtlinie.

    Hinweis:

    Wenn Sie mehr als eine IDP-Richtlinie konfigurieren, ist die Konfiguration einer Standard-IDP-Richtlinie obligatorisch.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show security idp idp-policy idpengineBefehle , , show security idp idp-policy idpengine1show security policiesundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration einer benutzerdefinierten IDP-Angriffsgruppe

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie die benutzerdefinierte IDP-Angriffsgruppe:

  1. Erstellen Sie die IDP-Richtlinie.

  2. Konfigurieren Sie den Übereinstimmungszustand der IDP-Richtlinie.

  3. Konfigurieren Sie Zustandssignaturparameter.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren vordefinierter Angriffs- und Angriffsgruppe

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie die vordefinierte Angriffs- und Angriffsgruppe:

  1. Konfigurieren Sie den vordefinierten Angriff.

  2. Konfigurieren Sie die vordefinierte Angriffsgruppe.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp idp-policy idpengine Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren der dynamischen IDP-Angriffsgruppe

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie die dynamische IDP-Angriffsgruppe:

  1. Konfigurieren Sie die dynamischen Parameter der Angriffsgruppe.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security idp Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

IDP-Richtlinien und Commit-Status überprüfen

Zweck

Vergewissern Sie sich, dass die IDP-Richtlinien und der Commit-Status nach der Richtlinienkompilierung für das Mandantensystem TSYS1angezeigt werden.

Aktion

Geben Sie im Betriebsmodus den show security idp policies Befehl ein.

Geben Sie im Betriebsmodus den show security idp policy-commit-status Befehl ein.

Bedeutung

Die Ausgabe zeigt die im Mandantensystem TSYS1 konfigurierte IDP-Richtlinie und die Commit-Statusinformationen an.

Überprüfung der Erkennung von IDP-Angriffen

Zweck

Vergewissern Sie sich, dass die Erkennung von IDP-Angriffen für das Mandantensystem TSYS1 erfolgreich ist und in der Angriffstabelle angezeigt wird.

Aktion

Geben Sie im Betriebsmodus den show security idp attack table Befehl ein.

Bedeutung

Die Ausgabe zeigt die für den benutzerdefinierten Angriff erkannten Angriffe an, die im Mandantensystem TSYS1konfiguriert sind.

IDP-Leistungsindikatoren überprüfen

Zweck

Überprüfen Sie, ob einer der IDP-Leistungsindikatoren für das Mandantensystem TSYS1angezeigt wird.

Aktion

Geben Sie im Betriebsmodus den show security idp counters flow Befehl ein.

Bedeutung

Die Ausgabe zeigt an, dass der IDP-Leistungsflussstatus für das Mandantensystem TSYS1ordnungsgemäß angezeigt wird.