Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Introduction à la migration des PDI

Cette rubrique fournit un bref aperçu de certains éléments de base à prendre en compte lors du passage d’appliances de détection et de protection d’intrusion autonomes Juniper Networks série IDP ou de passerelles de sécurité intégrées Juniper Networks ISG Series avec module de sécurité IDP aux pare-feu Juniper Networks SRX Series.

Pour plus d’informations, consultez les rubriques suivantes :

Présentation de la migration des appliances IDP Series vers les pare-feu SRX Series

Introduction

Les pare-feu SRX Series sont équipés de fonctionnalités de sécurité et de mise en réseau complètes et représentent les pare-feu les plus performants avec la technologie de système de prévention d’intrusion (IPS) complète intégrée en natif des appliances de détection et de prévention d’intrusion IDP Series de Juniper Networks, fournissant une protection en ligne contre les menaces actuelles et émergentes sur l’ensemble du réseau.

Bien qu’une stratégie IDP SRX Series puisse être entièrement configurée à partir du logiciel J-Web de Juniper Networks, ce document se concentre principalement sur les étapes de configuration CLI et Junos Space Security Director, dans le but de faciliter la transition et le parcours d’apprentissage pour les ingénieurs système qui découvrent IDP Series et ceux qui maîtrisent déjà la gestion des solutions IDP Series et ISG Series autonomes avec IDP.

Étant donné que les équipements IDP Series autonomes sont généralement déployés en mode renifleur ou transparent, des considérations supplémentaires concernant la conception du réseau doivent être prises en compte. Il s’agit de :

  • Configuration des interfaces réseau

  • Configuration des zones de sécurité

En outre, il faut tenir compte des fonctionnalités de sécurité suivantes :

  • Protection contre les inondations et déni de service (DoS).

  • Écrans ou détection des anomalies du trafic (ainsi que certaines méthodes de détection applicables aux pare-feu SRX Series).

  • Les paramètres et les actions configurés doivent être analysés de près, car l’ajout d’un nouvel appareil peut potentiellement avoir un impact sur le trafic réseau, en particulier en ce qui concerne le traitement de couche 3.

SRX Series Les pare-feu peuvent être déployés en mode renifleur (uniquement sur les appareils SRX5400, SRX5600 et SRX5800). Le mode renifleur n’est pas pris en charge sur les équipements SRX300, SRX340, SRX345 et SRX550HM.

Détection multi-méthodes

Les pare-feu SRX Series déploient deux bases de règles : une base de règles IDP principale et une base de règles exemptée.

En outre, les pare-feu SRX Series utilisent des zones de sécurité basées sur la technologie disponible avec les dispositifs de sécurité basés sur ScreenOS et fournissent une protection d’écran détaillée comme alternative à certaines méthodes de détection autonomes de base ou bases de règles.

Exploitation forestière

La journalisation sur un pare-feu SRX Series doit être configurée pour envoyer des enregistrements en réponse à des événements de sécurité via la journalisation système vers un serveur syslog préconfiguré, tel que Juniper Secure Analytics (JSA) de Juniper Networks.

Paramètres de configuration du capteur

Sur les pare-feu autonomes IDP Series et SRX Series, un certain nombre de paramètres de configuration des capteurs peuvent être configurés pour affiner le comportement de l’IDP Series et sont accessibles depuis la CLI et Junos Space Security Director (SD). Si l’un des paramètres a été modifié par rapport à la valeur par défaut ou doit être modifié davantage, vous devez le modifier manuellement. Il n’existe aucun processus automatisé permettant d’exporter ou d’importer des paramètres modifiés.

Points clés à prendre en compte

Notez les points clés suivants lorsque vous migrez des équipements IDP Series vers les pare-feu SRX Series :

  • Par rapport à l’inspection approfondie sur ScreenOS, les capacités fondamentales de détection IPS sur les pare-feu SRX Series ne diffèrent pas de celles disponibles sur les équipements IDP Series ou ISG Series avec des modules de sécurité IDP.

  • Toutes les fonctionnalités IPS ne sont pas disponibles sur les IDP SRX Series. Nous vous recommandons de vous familiariser avec la documentation qui détaille ces différences.

  • Seuls les appareils SRX5400, SRX5600 et SRX5800 peuvent être configurés en mode renifleur (mode transparent).

  • IPS n’a pas besoin d’une licence distincte pour fonctionner en tant que service sur le pare-feu SRX Series ; cependant, une licence est requise pour les mises à jour IPS.

  • Une stratégie de pare-feu de base est requise et doit inclure une instruction application-service IPS pour permettre l’inspection IPS.

  • L’activation de toutes les attaques n’est pas prise en charge. Si la stratégie ne se charge pas, vérifiez la taille de la stratégie dans les fichiers journaux du service et les résultats du chargement.

  • Un serveur de journaux système (syslog) est requis pour collecter les messages relatifs aux événements de sécurité lorsque les messages sont identifiés sur le plan de données SRX Series.

  • Il est important de comprendre que la compilation et l’application d’une stratégie IPS peuvent prendre un certain temps, en fonction du nombre d’objets d’attaque et de la taille de la stratégie. Depuis Junos OS version 12.1 et Junos OS version 17.3R1, les pare-feu SRX Series sont exploités pour créer un moteur de compilation plus intelligent et mettre en cache les informations compilées, de sorte que le processus de compilation prend beaucoup moins de temps. Le processus de compilation est effectué de manière asynchrone, ce qui signifie que le pare-feu SRX Series démarre le processus, mais ne bloque pas la session CLI ou SD, mais vous permet de revenir ultérieurement sur l’état.

Comprendre le système de prévention d’intrusion

Aperçu

La fonction du système de prévention d’intrusion (IPS) de Juniper Networks détecte et empêche les attaques dans le trafic réseau.

Les pare-feu SRX Series fournissent la fonctionnalité IPS intégrée au logiciel Junos OS ; Aucun matériel spécial n’est nécessaire. Les administrateurs IPS ont la possibilité de déployer et d’administrer IPS à l’aide de la CLI ou de Junos Space Security Director.

IPS Architecture

L’architecture IPS est composée des éléments suivants :

  • Pare-feu SRX Series avec IPS—La fonctionnalité IPS est intégrée à Junos OS et aucun matériel spécial requis.

  • Gestion : les pare-feu SRX Series peuvent être entièrement gérés à l’aide des commandes CLI. Toutefois, si le déploiement IPS implique plusieurs pare-feu SRX Series, nous vous recommandons d’utiliser l’application Junos Space Security Director.

  • Journalisation : Juniper Secure Analytics (JSA) est la solution de gestion des événements et informations de sécurité (SIEM) de Juniper Networks. JSA dispose de tableaux de bord et de rapports prédéfinis pour la solution IPS de pare-feu SRX Series. En plus de la journalisation, JSA assure la corrélation des événements, la gestion des incidents et la surveillance des flux. Les journaux SRX Series sont au format syslog (syslog de données structurées) et peuvent être envoyés à JSA ou à tout autre serveur syslog déjà en place par les utilisateurs.

IPS avec limitations de la mise en cluster du châssis

IPS est pris en charge dans les modes de cluster de châssis actif/passif et actif/actif sur les pare-feu SRX Series avec les limitations suivantes :

  • Aucune inspection n’est effectuée sur les sessions qui basculent ou restaient libres. Seules les nouvelles sessions après un basculement sont inspectées par IPS, et les anciennes sessions deviennent des sessions de pare-feu.

  • La table d’actions IP n’est pas synchronisée entre les nuds. Si une action IP est effectuée pour une session et que l’adresse IP source, l’adresse IP de destination ou les deux sont ajoutées à la table des actions IP, cette information n’est pas synchronisée avec le nœud secondaire. Par conséquent, les sessions de l’adresse IP source, de l’adresse IP de destination ou des deux seront transférées jusqu’à ce qu’une nouvelle attaque soit détectée.

  • Le cache d’ID de session SSL n’est pas synchronisé entre les nuds. Si une session SSL réutilise un ID de session et qu’il se trouve être traité sur un nœud autre que celui sur lequel l’ID de session est mis en cache, la session SSL ne peut pas être déchiffrée et sera ignorée pour l’inspection IPS.

Voir aussi

Comprendre les modes de déploiement du système de prévention d’intrusion

Cette rubrique présente les différents types de modes de déploiement IPS pour les pare-feu SRX Series.

L’IPS propose trois modes de déploiement différents :

  • Mode intégré

  • Mode renifleur

Mode intégré

Le mode intégré est pris en charge sur les pare-feu SRX Series. Le mode intégré est le mode par défaut dans lequel IPS fonctionne sur les pare-feu SRX Series (aucune indication spécifique indiquant que le périphérique est en mode intégré.)

Note:

Nous recommandons de déployer l’IPS en mode intégré.

Mode renifleur

Le mode renifleur n’est pris en charge que sur les appareils SRX5400, SRX5600 et SRX5800. Vous pouvez utiliser le mode renifleur du déploiement IPS en configurant les interfaces en mode promiscuité et en manipulant la configuration du trafic et des flux à l’aide du routage.

Sur les appareils SRX5400, SRX5600 et SRX5800, en mode renifleur, les interfaces d’entrée et de sortie fonctionnent avec un flux affichant à la fois l’interface source et l’interface de destination en tant qu’interface de sortie.

Pour contourner ce problème, en mode renifleur, utilisez les interfaces balisées. Par conséquent, les mêmes noms d’interface sont affichés dans les journaux. Par exemple, ge-0/0/2.0 en tant qu’interface d’entrée (sniffer) et ge-0/0/2.100 en tant qu’interface de sortie sont affichés dans les journaux pour afficher l’interface source comme ge-0/0/2.100.

Voir aussi

Premiers pas avec IPS

Avant de configurer le pare-feu SRX Series pour la fonctionnalité IPS, effectuez les opérations suivantes :

  1. Install the License: vous devez installer une licence IDP avant de pouvoir télécharger des objets d’attaque. Si vous utilisez uniquement des objets d’attaque personnalisés, vous n’avez pas besoin d’installer de licence, mais si vous souhaitez télécharger des objets d’attaque prédéfinis Juniper Networks, vous devez disposer de cette licence. Juniper vous offre la possibilité de télécharger une licence d’essai de 30 jours pour activer cette fonctionnalité pendant une courte période afin de l’évaluer. Tout ce dont vous avez besoin est d’exécuter la request system license add commande en spécifiant un emplacement de stockage de fichiers ou de la copier et de la coller dans le terminal.

  2. Configure Network Access: avant de pouvoir télécharger les objets d’attaque, vous devez disposer d’une connectivité réseau au serveur de téléchargement Juniper ou à un serveur local à partir duquel les signatures peuvent être téléchargées. Cela nécessite généralement une configuration réseau (IP/Netmask, routage et DNS) et un accès autorisé pour atteindre le serveur. Au moment de la rédaction de cet article, les proxys HTTP ne sont pas pris en charge, mais vous pouvez configurer un serveur Web local à partir duquel servir les fichiers.

  3. Download Attack Objects: avant de déployer l’IPS, vous devez d’abord télécharger les objets d’attaque à partir desquels la stratégie sera compilée. Le déclenchement d’un téléchargement manuel ne configure pas le pare-feu SRX Series pour qu’il les télécharge à l’avenir. Vous devez donc configurer les mises à jour automatiques pour les télécharger.

  4. Install Attack Objects: une fois le téléchargement terminé, vous devez installer les mises à jour d’attaque avant qu’elles ne soient réellement utilisées dans une stratégie. Si vous avez déjà configuré une stratégie, vous n’avez pas besoin de la valider à nouveau : l’installation des mises à jour les ajoute à la stratégie. Le processus d’installation compile les objets d’attaque qui ont été téléchargés dans un répertoire d’étape dans la stratégie configurée.

  5. Download Policy Templates (optional)—Pour commencer, vous pouvez télécharger et installer des stratégies IPS prédéfinies, appelées modèles de stratégie, fournies par Juniper. Après avoir terminé ce chapitre, vous devriez être en mesure de configurer votre propre stratégie, vous n’aurez donc probablement pas besoin de modèles de stratégie.

Note:

À partir de Junos OS version 12.1 et Junos OS version 17.3R1, les pare-feu SRX Series transmettent automatiquement le package de signatures au membre secondaire du cluster de châssis. Avant Junos OS version 12.1 et Junos OS version 17.3R1, vous deviez utiliser fxp0 sur les deux membres du cluster, car les deux membres devaient télécharger leur propre instance. Avec les versions de Junos OS postérieures aux versions 12.1 et 17.3R1, il n’existe aucune configuration explicite. Le pare-feu SRX Series téléchargera le package de signatures et l’enverra au membre secondaire pendant le processus de téléchargement.

Documentation connexe