Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre la migration IDP

Cette rubrique fournit des détails sur l’installation et la configuration d’IDP.

Pour plus d’informations, consultez les sujets suivants :

Présentation de la configuration initiale

L’activation d’un service IPS entièrement fonctionnel sur les passerelles de services SRX Series comprend les étapes de configuration de base suivantes :

Configurations de base

  1. Configurez les composants de base de la mise en réseau, de la sécurité et de l’accès (dans la plupart des cas, cela sera déjà configuré).

  2. Configurez et activez la stratégie IPS.

  3. Configurez la stratégie de pare-feu pour associer des règles spécifiques à l’IPS.

  4. Téléchargez les objets d’attaque, y compris les mises à jour des capteurs.

  5. Configurez la journalisation.

  6. Mettre à jour le package de sécurité.

  7. Vérifiez la configuration et les fonctionnalités de test.

Hypothèses de configuration initiale

Avant de commencer la configuration de la stratégie IPS, ce document suppose qu’une configuration réseau initiale existe et qu’un utilisateur administrateur dispose d’un accès complet au SRX Series. La configuration initiale de l’équipement sur notre système d’exemple est la suivante :

Note:

Tout au long de ce document, nous fournissons les commandes requises pour configurer des fonctionnalités spécifiques ; toutefois, pour activer les fonctionnalités associées, les modifications de configuration doivent être validées avec succès (à l’aide de la commande de validation).

Cette fonctionnalité nécessite une licence. Pour en savoir plus sur la licence IPS, consultez installation de la licence IPS (CLI). Reportez-vous au Juniper Licensing Guide pour obtenir des informations générales sur la gestion des licences. Pour plus d’informations, reportez-vous aux fiches techniques du produit sur les passerelles de services SRX Series , ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.

Configuration IPS (CLI)

Configuration des interfaces

  1. Afficher les interfaces actuelles (en supposant que les interfaces ont été correctement câblées)
  2. Configurez les interfaces de transfert.
  3. Vérifiez la configuration.

Configuration des zones de sécurité

  1. Configurez des zones de sécurité.
    1. Afficher les zones existantes :

    2. Configurez les zones abc-trust et abc-untrust et attribuez des interfaces en conséquence.

  2. Vérifiez la configuration.

Configuration de la stratégie de sécurité IPS

  1. Configurez la stratégie IPS abc-idp-policy.

    La configuration simple de cette section implique de configurer une règle qui recherche toutes les attaques critiques et, en cas de correspondance, d’abandonner la connexion associée, de définir cet événement comme critique et de le consigner avec une alerte. La deuxième règle est configurée pour rechercher les attaques majeures et pour effectuer une action recommandée lors de la détection d’une attaque grave, ainsi que pour journaliser l’événement.

    Note:

    La journalisation signifie envoyer un message de journal système (syslog) à un serveur syslog approprié et préconfiguré. Les étapes de configuration de la journalisation sont fournies dans les sections suivantes.

  2. Vérifiez la stratégie IPS abc-idp-policy.
  3. Définissez des options de traçage.
    1. Pour fournir des informations détaillées sur les événements du processus IPS (résultat de compilation des stratégies, résultats de chargement des stratégies, correspondances dfa, etc.) qui permettent d’analyser le système, d’ajuster et de faciliter le dépannage, il est fortement recommandé d’activer les options de traçage. Voici un exemple de paramètre qui configure le traçage pour écrire tous les événements de sécurité englobant tous les niveaux de débogage (erreur, informations, avis, verbose et avertissement). Le nom de fichier de trace n’est pas spécifié trace s’il n’est pas écrit dans le fichier nommé après le processus de traçabilité, ce qui est le cas avec IDP/var/log/idpd :
    2. Dans cet exemple, nous limitons la taille du fichier à 100 Mo. Cela signifie que le processus va écrire ce fichier et une fois qu’il atteint 100 Mo, il le renomme en idpd.0 et continue avec un nouvel idpd. Le nombre de fichiers par défaut est 3 et si les numéros de fichier sont épuisés, le fichier le plus ancien (idpd.2) est écrasé.
  4. Vérifiez les paramètres des options de suivi.
  5. Activez la stratégie IPS Series.
  6. Vérifiez la stratégie IPS active.
Note:

Pour déployer une stratégie IPS sur les équipements SRX Series, une étape supplémentaire est nécessaire : configurer la stratégie de sécurité du pare-feu afin d’identifier le trafic à traiter par le service IPS. C’est ce qui est décrit dans la section suivante.

Configuration de la stratégie de sécurité du pare-feu

Pour que le trafic entrant dans l’équipement SRX Series soit traité par le pare-feu de stratégie de sécurité IPS, la stratégie de sécurité doit être configurée en conséquence.

Voici les étapes requises pour configurer la stratégie de sécurité du pare-feu et finaliser la configuration du système de prévention d’intrusion sur la passerelle SRX Series. Ainsi, le trafic entre les zones de sécurité abc-untrust et abc-trust sera inspecté par la stratégie de sécurité IPS abc-idp-policy.

  1. Assurez-vous que le système est configuré avec la stratégie par défaut refusant tout trafic. Cela signifie essentiellement que le trafic sera 1. sont refusés sur l’ensemble de la passerelle, sauf si la politique de sécurité du pare-feu l’autorise expressément.
  2. Configurez la stratégie.
  3. Vérifier la configuration.

Journalisation IPS

L’IPS génère des journaux d’événements lorsqu’un événement correspond à une règle de stratégie IPS dans laquelle la journalisation est activée. Lorsque vous configurez une règle pour la journalisation, l’équipement crée une entrée de journal pour chaque événement qui correspond à cette règle.

Lorsqu’il est configuré pour le faire, un service IPS envoie des événements correspondant à l’entrée de la stratégie au serveur de journalisation directement à partir du plan de données via une adresse IP émulée, encapsulée dans 514/udp.

Configurer la journalisation :

  1. Configurez le plan de données de l’interface pour envoyer des messages syslog à partir de :
  2. Choisissez le format (standard ou structuré).
  3. Définissez l’adresse IP source émulée (l’interface ne peut pas être fxp0).
  4. Définissez la gravité.
  5. Indiquez l’adresse IP du serveur syslog (à laquelle les journaux sont envoyés via 514/udp).
  6. Vérifier la configuration des journaux.