Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre la migration IDP

Cette rubrique fournit des détails sur l’installation et la configuration d’IDP.

Pour plus d’informations, consultez les rubriques suivantes :

Vue d’ensemble de la configuration initiale

L’activation d’un service IPS pleinement fonctionnel sur les pare-feu SRX Series comprend les étapes de configuration de base suivantes :

Configurations de base

  1. Configurez les composants de base de mise en réseau, de sécurité et d’accès (dans la plupart des cas, ils sont déjà configurés).

  2. Configurez et activez la stratégie IPS.

  3. Configurez la stratégie de pare-feu afin d’associer des règles spécifiques à l’IPS.

  4. Téléchargez les objets d’attaque, y compris les mises à jour des capteurs.

  5. Configurez la journalisation.

  6. Mettre à jour security-package.

  7. Vérifiez la configuration et testez le fonctionnement.

Hypothèses de configuration initiales

Avant de commencer la configuration de la stratégie IPS, ce document suppose qu’une configuration réseau initiale existe et qu’un utilisateur administrateur dispose d’un accès complet à la SRX Series. La configuration initiale de l’appareil sur notre exemple de système est la suivante :

Note:

Tout au long de ce document, nous fournissons les commandes nécessaires pour configurer des fonctionnalités spécifiques ; Toutefois, pour activer les fonctionnalités associées, les modifications de configuration doivent être validées avec succès (à l’aide de la commande commit).

Cette fonctionnalité nécessite une licence. Pour en savoir plus sur la licence IPS, reportez-vous à la section Installation de la licence IPS (CLI). Reportez-vous au Guide des licences Juniper pour obtenir des informations générales sur la gestion des licences. Pour plus de détails, reportez-vous aux fiches techniques des produits sur les passerelles de services SRX Series ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.

Configuration de l’IPS (CLI)

Configuration des interfaces

  1. Afficher les interfaces actuelles (en supposant que les interfaces ont été correctement câblées)
  2. Configurez les interfaces de transfert.
  3. Vérifiez la configuration.

Configuration des zones de sécurité

  1. Configurez les zones de sécurité.
    1. Afficher les zones existantes :

    2. Configurez les zones abc-trust et abc-untrust et attribuez des interfaces en conséquence.

  2. Vérifiez la configuration.

Configuration de la stratégie de sécurité IPS

  1. Configurez la stratégie IPS abc-idp-policy.

    La configuration simple décrite dans cette section implique la mise en place d’une règle de recherche de toutes les attaques critiques et, si une correspondance est trouvée, l’abandon de la connexion associée, la définition de cet événement comme critique et sa journalisation avec une alerte. La deuxième règle est configurée pour rechercher les attaques majeures et pour effectuer une action recommandée lors de la détection d’une attaque grave, ainsi que pour consigner l’événement.

    Note:

    La journalisation signifie l’envoi d’un message de journal système (syslog) à un serveur syslog approprié et préconfiguré. Les étapes de configuration de la journalisation sont fournies dans les sections suivantes.

  2. Vérifiez la stratégie IPS abc-idp-policy.
  3. Définissez les options de traçage.
    1. Pour fournir des informations détaillées sur les événements du processus IPS (résultat de la compilation des stratégies, résultats du chargement des stratégies, correspondances dfa, etc.) permettant une analyse et un réglage ultérieurs du système, ainsi qu’un dépannage plus facile, il est fortement recommandé d’activer les options de suivi. Voici un exemple de paramètre qui configure trace pour écrire tous les événements de sécurité englobant tous les niveaux de débogage (erreur, info, notification, détaillé et avertissement). Le nom du fichier trace n’est pas spécifié trace s’il n’est pas écrit dans le fichier nommé d’après le processus en cours de suivi, ce qui est le cas avec IDP/var/log/idpd :
    2. Pour cet exemple, nous limitons la taille du fichier à 100 Mo. Cela signifie que le processus écrira ce fichier et une fois qu’il aura atteint 100 Mo, il le renommera en idpd.0 et continuera avec un nouvel idpd. Le nombre par défaut de fichiers est de 3 et si les numéros de fichiers sont épuisés, le fichier le plus ancien (idpd.2) est écrasé.
  4. Vérifiez les paramètres des options de traçage.
  5. Activez la stratégie IPS Series.
  6. Vérifiez la stratégie IPS active.
Note:

Pour déployer une stratégie IPS sur les pare-feu SRX Series, une étape supplémentaire est nécessaire : configurer la stratégie de sécurité du pare-feu afin d’identifier le trafic à traiter par le service IPS. Ceci est décrit dans la section suivante.

Configuration de la stratégie de sécurité du pare-feu

Pour que le trafic entrant dans le pare-feu SRX Series soit traité par le pare-feu de stratégie de sécurité IPS, la stratégie de sécurité doit être configurée en conséquence.

Voici les étapes requises pour configurer la stratégie de sécurité du pare-feu et finaliser la configuration du système de prévention d’intrusion sur la passerelle SRX Series. Ainsi, le trafic entre les zones de sécurité abc-untrust et abc-trust sera inspecté par la politique de sécurité IPS abc-idp-policy.

  1. Assurez-vous que le système est configuré avec la stratégie par défaut qui refuse tout le trafic. Cela signifie essentiellement que le trafic sera 1. être refusé sur l’ensemble de la passerelle, sauf autorisation expresse de la stratégie de sécurité du pare-feu.
  2. Configurez la stratégie.
  3. Vérifiez la configuration.

Journalisation IPS

IPS génère des journaux d’événements lorsqu’un événement correspond à une règle de stratégie IPS dans laquelle la journalisation est activée. Lorsque vous configurez une règle de journalisation, l’appareil crée une entrée de journal pour chaque événement qui correspond à cette règle.

Lorsqu’il est configuré pour le faire, un service IPS envoie des événements qui correspondent à l’entrée de stratégie au serveur de journalisation directement à partir du plan de données via une adresse IP émulée, encapsulée dans 514/udp.

Configurez la journalisation :

  1. Configurez le plan de données de l’interface pour envoyer des messages syslog à partir de :
  2. Choisissez le format (format standard ou structuré).
  3. Définissez l’adresse IP source émulée (l’interface ne peut pas être fxp0).
  4. Définissez la gravité.
  5. Indiquez l’adresse IP du serveur syslog (auquel les journaux sont envoyés via 514/udp).
  6. Vérifiez la configuration du journal.