Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS-Signaturen verstehen

Das Intrusion Prevention System (IPS) vergleicht den Datenverkehr mit den Signaturen bekannter Bedrohungen und blockiert den Datenverkehr, wenn eine Bedrohung erkannt wird. Netzwerkeindringlinge sind Angriffe auf Netzwerkressourcen oder ein anderweitiger Missbrauch von Netzwerkressourcen. Um solche Aktivitäten zu erkennen, verwendet IPS Signaturen. Eine Signatur gibt die Arten von Netzwerkeindringlingen an, die das Gerät erkennen und melden soll. Wenn ein Datenverkehrsmuster gefunden wird, das einer Signatur entspricht, löst IPS einen Alarm aus und verhindert, dass der Datenverkehr sein Ziel erreicht. Die Signaturdatenbank ist eine der Hauptkomponenten von IPS. Sie enthält Definitionen verschiedener Objekte, wie Angriffsobjekte, Anwendungssignaturobjekte und Serviceobjekte, die beim Definieren von IPS-Richtlinienregeln verwendet werden.

Um die IPS-Richtlinien organisiert und überschaubar zu halten, können Angriffsobjekte gruppiert werden. Eine Angriffsobjektgruppe kann einen oder mehrere Arten von Angriffsobjekten enthalten. Junos OS unterstützt die folgenden drei Arten von Angriffsgruppen:

  • IPS-Signatur: Enthält Objekte, die in der Signaturdatenbank vorhanden sind.

  • Dynamische Gruppe: Enthält Angriffsobjekte, die auf bestimmten Übereinstimmungskriterien basieren. Während einer Signaturaktualisierung wird die dynamische Gruppenmitgliedschaft automatisch basierend auf den Übereinstimmungskriterien für diese Gruppe aktualisiert. Beispielsweise können Sie die Angriffe im Zusammenhang mit einer bestimmten Anwendung mithilfe von dynamischen Angriffsgruppenfiltern dynamisch gruppieren.

  • Statische Gruppe: Enthält eine Liste der Angriffe, die in der Angriffsdefinition angegeben sind.

Signaturangriffsobjekte verwenden eine zustandsbehaftete Angriffssignatur (ein Muster, das immer innerhalb eines bestimmten Abschnitts des Angriffs vorhanden ist), um bekannte Angriffe zu erkennen. Dazu gehören auch:

  • Das Protokoll oder der Dienst, mit dem der Angriff ausgeführt wurde, und der Kontext, in dem der Angriff stattfindet.

  • Die Eigenschaften, die für Signaturangriffe spezifisch sind – Angriffskontext, Angriffsrichtung, Angriffsmuster und protokollspezifische Parameter (TCP-, UDP-, ICMP- oder IP-Header-Felder).

Signaturen können zu Fehlalarmen führen, da bestimmte normale Netzwerkaktivitäten als bösartig ausgelegt werden können. Beispielsweise senden einige Netzwerkanwendungen oder Betriebssysteme zahlreiche ICMP-Nachrichten aus, die ein signaturbasiertes Erkennungssystem als Versuch eines Angreifers interpretieren könnte, ein Netzwerksegment abzubilden. Sie können Fehlalarme minimieren, indem Sie Ihre Signaturparameter bearbeiten (zur Feinabstimmung Ihrer Signaturen).

Sie können IPS-Signaturen auf der Seite "IPS-Richtliniensignaturen" in Security Director erstellen, filtern, ändern oder löschen. Sie können die Signaturdatenbank herunterladen und auf Sicherheitsgeräten installieren. Sie können den Download- und Installationsprozess automatisieren, indem Sie die Download- und Installationsaufgaben planen und diese Aufgaben so konfigurieren, dass sie in bestimmten Zeitintervallen wiederholt werden. Dadurch wird sichergestellt, dass Ihre Signaturdatenbank aktuell ist.

Zugehörige Dokumentation