Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zu IPS-Signaturen

Das Intrusion Prevention System (IPS) vergleicht den Datenverkehr mit den Signaturen bekannter Bedrohungen und blockiert den Datenverkehr, wenn eine Bedrohung erkannt wird. Bei Netzwerkeindringlingen handelt es sich um Angriffe auf oder deren Missbrauch bzw. deren Missbrauch. Um solche Aktivitäten zu erkennen, verwendet IPS Signaturen. Eine Signatur gibt die Arten von Netzwerkeindringlingen an, die das Gerät erkennen und melden soll. Wann immer ein Datenverkehrsmuster gefunden wird, das mit einer Signatur übereinstimmt, löst IPS den Alarm aus und blockiert, dass der Datenverkehr sein Ziel erreicht. Die Signaturdatenbank ist eine der Hauptkomponenten von IPS. Sie enthält Definitionen verschiedener Objekte, wie z. B. Angriffsobjekte, Anwendungssignaturobjekte und Dienstobjekte, die bei der Definition von IPS-Richtlinienregeln verwendet werden.

Um IPS-Richtlinien organisiert und verwaltbar zu halten, können Angriffsobjekte gruppiert werden. Eine Angriffsobjektgruppe kann einen oder mehrere Typen von Angriffsobjekten enthalten. Junos OS unterstützt die folgenden drei Arten von Angriffsgruppen:

  • IPS-Signatur: Enthält Objekte, die in der Signaturdatenbank vorhanden sind.

  • Dynamische Gruppe: Enthält Angriffsobjekte, die auf bestimmten Übereinstimmungskriterien basieren. Während einer Signaturaktualisierung wird die dynamische Gruppenmitgliedschaft automatisch basierend auf den Übereinstimmungskriterien für diese Gruppe aktualisiert. Sie können z. B. die Angriffe, die sich auf eine bestimmte Anwendung beziehen, mithilfe von dynamischen Angriffsgruppenfiltern dynamisch gruppieren.

  • Statische Gruppe: Enthält eine Liste der Angriffe, die in der Angriffsdefinition angegeben sind.

Signaturangriffsobjekte verwenden eine zustandsbehaftete Angriffssignatur (ein Muster, das immer innerhalb eines bestimmten Angriffsabschnitts vorhanden ist), um bekannte Angriffe zu erkennen. Dazu gehören auch:

  • Das Protokoll oder der Dienst, das bzw. der für den Angriff verwendet wurde, und der Kontext, in dem der Angriff stattfindet.

  • Die Eigenschaften, die für Signaturangriffe spezifisch sind: Angriffskontext, Angriffsrichtung, Angriffsmuster und protokollspezifische Parameter (TCP-, UDP-, ICMP- oder IP-Header-Felder).

Signaturen können zu Fehlalarmen führen, da bestimmte normale Netzwerkaktivitäten als bösartig ausgelegt werden können. Beispielsweise senden einige Netzwerkanwendungen oder Betriebssysteme zahlreiche ICMP-Nachrichten, die ein signaturbasiertes Erkennungssystem als Versuch eines Angreifers interpretieren könnte, ein Netzwerksegment abzubilden. Sie können Fehlalarme minimieren, indem Sie Ihre Signaturparameter bearbeiten (um Ihre Signaturen zu optimieren).

Sie können IPS-Signaturen auf der Seite IPS-Richtliniensignaturen in Security Director erstellen, filtern, ändern oder löschen. Sie können die Signaturdatenbank herunterladen und auf Sicherheitsgeräten installieren. Sie können den Download- und Installationsvorgang automatisieren, indem Sie die Download- und Installationsaufgaben planen und diese Aufgaben so konfigurieren, dass sie in bestimmten Zeitintervallen wiederholt werden. Dadurch wird sichergestellt, dass Ihre Signaturdatenbank auf dem neuesten Stand ist.

Zugehörige Dokumentation