Capture de paquets de sécurité IDP
Cette rubrique explique comment capturer des paquets avant et après une attaque afin de déterminer les détails de l’attaque et de créer des signatures. Il couvre l’activation de la capture de paquets pour des règles spécifiques, la configuration de l’allocation de mémoire et la transmission des paquets capturés à un équipement hôte pour analyse.
Une configuration de capteur IDP définit les spécifications de l’appareil pour la capture de paquets.
Pour plus d’informations, consultez les rubriques suivantes :
Comprendre la capture de paquets de sécurité
L’affichage des paquets qui précèdent et suivent une attaque vous aide à déterminer le but et l’étendue d’une tentative d’attaque, si une attaque a réussi et si une attaque a causé des dommages au réseau. L’analyse des paquets aide également à définir les signatures d’attaque afin de minimiser les faux positifs.
Si la capture de paquets est activée lorsqu’une attaque est enregistrée, un nombre spécifié de paquets avant et après l’attaque peut être capturé pour la session. Lorsque tous les paquets ont été collectés, ils sont transmis via DMI (Device Management Interface) à un équipement hôte pour une analyse hors ligne.
Une option de notification dans la règle de stratégie IDP active la capture de paquets lorsqu’une correspondance de règle se produit. L’option définit plus en détail le nombre de paquets à capturer et la durée de la capture de paquets pour la session associée.
Une configuration de capteur IDP définit les spécifications de l’appareil pour la capture de paquets. Les options de cette commande déterminent la mémoire à allouer pour la capture de paquets, ainsi que les périphériques source et hôte entre lesquels l’objet de capture de paquets sera transmis.
Une show commande affiche des compteurs de capture de paquets qui fournissent des détails sur la progression, la réussite et l’échec de l’activité de capture de paquets sur l’appareil.
La capture de paquets n’est disponible qu’une seule fois par session.
Lorsque la capture de paquets est configurée avec une valeur de paramètre de configuration pré-attaque améliorée, l’utilisation des ressources augmente proportionnellement et peut affecter les performances de votre équipement.
- Prise en charge du chiffrement pour la capture de paquets IDP
- Prise en charge de la capture de paquets sur site IDP
Prise en charge du chiffrement pour la capture de paquets IDP
À partir de la version 22.1R1 de Junos OS, vous pouvez activer une connexion SSL ou TLS sécurisée et envoyer un journal de capture de paquets IDP chiffré au récepteur de capture de paquets. Pour établir la connexion SSL ou TLS, vous devez spécifier le nom du profil d’initiation SSL que vous souhaitez utiliser dans la configuration du journal de paquets IDP. Le pare-feu SRX Series est le client SSL ou TLS et le récepteur de capture de paquets est le serveur SSL ou TLS.
L’IDP utilise une connexion SSL ou TLS sécurisée pour envoyer les journaux de paquets IDP à l’hôte configuré pour toutes les sessions (chiffrées et non chiffrées) au sein d’un système logique ou d’un système locataire, si la prise en charge du chiffrement est activée dans la configuration du journal des paquets. Une fois les journaux de paquets envoyés au récepteur de capture de paquets, la connexion SSL est fermée.
Auparavant, lorsque le trafic chiffré était envoyé pour inspection, IDP recevait le trafic déchiffré à l’aide d’un proxy SSL et inspectait ce trafic pour détecter les attaques. Si une attaque était détectée et que le journal des paquets était configuré, les paquets déchiffrés étaient envoyés dans le cadre du journal des paquets à l’hôte configuré par le biais du trafic UDP. Cette transmission du journal de paquets sans chiffrement n’est pas sécurisée, en particulier lorsque le journal de paquets capturé est destiné à du trafic chiffré.
Lorsque la prise en charge du chiffrement est activée, le profil SSL doit être configuré séparément dans chaque système logique. La configuration du capteur IDP effectuée dans le système logique racine pour les paramètres de transport ne peut pas être utilisée pour les autres systèmes logiques ou systèmes locataires.
La connexion SSL ou TLS pour les journaux de paquets IDP est établie comme suit :
-
Lorsque le processus de journalisation des paquets démarre, s’il n’y a pas de connexion SSL ou TLS à l’hôte, une nouvelle connexion SSL est établie pour l’envoi des journaux de paquets.
-
Lors de la transmission du journal des paquets, s’il existe déjà une connexion SSL ou TLS, la même connexion est réutilisée.
-
Lorsque la journalisation des paquets s’arrête, les paquets capturés sont envoyés via la connexion SSL ou TLS établie.
- Lorsqu’une session de transmission de paquets SSL ou TLS est occupée et que l’hôte reçoit une nouvelle demande de journal de paquets, ces journaux de paquets sont repoussés et envoyés uniquement lorsque la session SSL existante est terminée.
La configuration du journal des paquets d’IDP prend désormais en charge la configuration du nom de profil SSL. Vous pouvez utiliser cette configuration de journal de paquets mise à jour pour établir une connexion SSL sécurisée pour les journaux de paquets IDP.
Les commandes mises à jour du journal des paquets IDP avec configuration SSL sont les suivantes :
set security idp sensor-configuration packet-log ssl-profile-name < profile-name>- Pour les sessions au sein d’un système logique,
set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name> -
Pour les sessions au sein d’un système de locataire-
set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
Le nom de profil mentionné dans ces commandes doit être configuré dans la configuration du profil d’initiation SSL. La configuration du profil d’initiation SSL effectue les certificats SSL et les opérations d’établissement de liaison SSL nécessaires pour établir une connexion sécurisée. Les versions SSL sont choisies en fonction de la configuration d’initiation SSL.
Si le nom du profil SSL n’est pas configuré dans la configuration du profil d’initiation SSL, le message suivant s’affiche Le profil d’initiation SSL référencé n’est pas défini.
Pour afficher les nouveaux compteurs de journaux de paquets, utilisez la show security idp counters packet-log commande.
Avantages
-
Assure la confidentialité et la sécurité des données à l’aide de clés SSL et TLS et d’un mécanisme de cryptage de certificats.
-
Permet la diffusion en continu d’informations privées potentielles vers des entités partagées sur un réseau.
Prise en charge de la capture de paquets sur site IDP
Lorsqu’une attaque se produit, les paquets sont capturés à l’aide de la fonctionnalité de journalisation des paquets IDP et le comportement de l’attaque est analysé hors ligne. Parfois, un périphérique de collecte de journaux tel que Security Director n’est pas disponible pour la collecte hors ligne des paquets capturés. Dans ce cas, à partir de la version 23.1R1 de Junos OS, les paquets capturés peuvent désormais être stockés localement sur le pare-feu SRX Series et les détails peuvent être consultés sur l’interface utilisateur ou sur J-Web.
Les configurations existantes du journal des paquets IDP sont utilisées comme d’habitude, et vous pouvez utiliser les commandes pour définir le journal des paquets de la règle IDP. Vous pouvez utiliser la set security idp sensor-configuration packet-log local-storage commande pour stocker les paquets capturés sur l’appareil.
Si vous utilisez cette configuration, il n’y a aucun changement dans l’envoi du journal de paquets à l’hôte ou au collecteur hors boîtier si les détails sont configurés pour l’hôte.
Le trafic capturé est stocké dans /var/log/pcap/idp/. Le nom du fichier PCAP est basé sur l’horodatage, l’ID du journal des attaques et le numéro du paquet déclencheur.
Vous pouvez limiter le nombre de fichiers PCAP créés à l’aide de la fonction de rotation des journaux fournie. Utilisez la configuration suivante pour limiter le nombre de fichiers PCAP à créer dans /var/log/pcap/idp :
set security idp sensor-configuration packet-log local-storage max-files <1..5000>
La valeur par défaut est 500.
La configuration suivante permet de définir la limite de l’espace disque maximal à utiliser pour stocker les fichiers PCAP.
set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>
La valeur par défaut est 100M et la valeur minimale est 1M.
Les compteurs indiquent les statistiques de capture dans la boîte. De nouveaux compteurs sont ajoutés aux compteurs de journaux de paquets existants. Vous pouvez afficher les détails des compteurs de journaux de paquets à l’aide de la commande suivante :
user@host> show security idp counters packet-log
IDP counters: Total packets sent for local packet capture 0 Total sessions enabled for local packet capture 0 Sessions currently enabled for local packet capture 0 Packets currently captured for local enabled sessions 0 Packet clone failures for local capture 0 Total failures sending packets captured to RE 0
Un indicateur est désormais défini sur le syslog de fermeture de session existant lorsqu’un fichier de capture de paquets intégré est généré pour cette session. L’avant-dernier paramètre de l’exemple suivant (128 - statistiques des fonctionnalités pour la session) l’indique. Voici un exemple :
RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A
Voici les autres commandes utiles :
-
Utilisez
delete security idp sensor-configuration packet-log local-storageet validez pour supprimer la configuration et validez pour désactiver la journalisation intégrée. -
Utilisez la commande
clear security idp counters packet-logclear counter pour supprimer les détails de capture intégrés. -
Permet
request security idp storage-cleanup packet-captured’effacer tous les fichiers capturés.
Voir aussi
Exemple : Configuration de la capture de paquets de sécurité
Cet exemple montre comment configurer la capture de paquets de sécurité.
Exigences
Avant de commencer, configurez les interfaces réseau.
Aperçu
Dans cet exemple, vous configurez une capture de paquets pour la règle 1 de la stratégie pol0. La règle spécifie que, si une attaque se produit, 1 paquet avant l’attaque et 3 paquets après l’attaque seront capturés, et que la capture post-attaque doit expirer après 60 secondes. La configuration du capteur est modifiée pour allouer 5 % de la mémoire disponible et 15 % des sessions IDP à la capture de paquets. Lorsque l’objet de capture de paquets est préparé, il est transmis du périphérique 10.56.97.3 au port 5 du périphérique 10.24.45.7.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp idp-policy pol0 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60 set security idp sensor-configuration packet-log total-memory 5 max-sessions 15 source-address 10.56.97.3 host 10.24.45.7 port 5 set security idp sensor-configuration log suppression disable set security idp idp-policy pol0 rulebase-ips rule 1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy pol0 rulebase-ips rule 1 then action drop-packet
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer la capture de paquets de sécurité :
-
Créez une stratégie IDP.
[edit] user@host# edit security idp idp-policy pol0
-
Associez une base de règles à la stratégie.
[edit edit security idp idp-policy pol0] user@host# edit rulebase-ips
-
Ajoutez des règles à la base de règles.
[edit edit security idp idp-policy pol0 rulebase-ips] user@host# edit rule 1
-
Spécifiez la notification, définissez la taille et les contraintes de synchronisation pour chaque capture de paquets.
[edit security idp idp-policy pol0 rulebase-ips rule 1 ] user@host# set then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60
-
Définissez une attaque comme critère de correspondance.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
-
Spécifiez une action pour la règle.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host#set then action drop-packet
-
Activez la configuration du capteur idp de sécurité.
[edit] user@host# edit security idp sensor-configuration
-
(Facultatif) Désactivez la suppression du journal de la configuration du capteur idp de sécurité.
[edit] user@host# set security idp sensor-configuration log suppression disable
Note:Lorsque la suppression des journaux IDP est activée (ce qui est le comportement par défaut), lors d’incidents d’attaques à volume élevé ou répétitives correspondant à une signature unique, une capture de paquets (PCAP) peut ne pas être générée par le pare-feu SRX Series et transférée au collecteur. Il est recommandé de désactiver la suppression des journaux IDP si vous avez besoin d’enregistrements PCAP pour chaque attaque.
-
Allouez les ressources de l’appareil à utiliser pour la capture de paquets.
[edit security idp sensor-configuration] user@host# set packet-log total-memory 5 max-sessions 15
-
Identifiez les périphériques source et hôte pour la transmission de l’objet de capture de paquets.
[edit security idp sensor-configuration] user@host# set packet-log source-address 10.56.97.3 host 10.24.45.7 port 5
- Activez la connexion SSL ou TLS sécurisée pour chiffrer le journal de paquets IDP envoyé à l’hôte configuré (récepteur PCAP).
[edit security idp sensor-configuration] user@host# set packet-log ssl-profile-name ssl3
[edit](Logical Systems) user@host# set logical system LS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
[edit(Tenant Systems) user@host# set tenants TS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
Le nom du profil SSL mentionné ci-dessus doit être configuré dans la configuration du profil d’initiation SSL. Toutes les versions SSL et TLS prises en charge par la configuration d’initiation SSL sont prises en charge pour cette connexion IDP, de journal de paquets, SSL ou TLS. Vous ne pouvez choisir que la version SSL ou TLS configurée dans la configuration d’initiation SSL.
Exécutez le user@host# show services ssl initiation | display set pour afficher le nom du profil SSL configuré lors de l’initiation SSL et utilisez la version SSL ou TLS requise.
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security idp
idp-policy pol0 {
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attack-groups TELNET-Critical;
}
}
then {
action {
drop-packet;
}
notification {
packet-log {
pre-attack 1;
post-attack 3;
post-attack-timeout 60;
}
}
}
}
}
}
sensor-configuration {
log {
suppression {
disable;
}
}
packet-log {
total-memory {
5;
}
max-sessions {
15;
}
source-address 10.56.97.3;
host {
10.24.45.7;
port 5;
}
##
## Warning: Referenced SSL initiation profile is not defined
##
ssl-profile-name ssl3;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la capture de paquets de sécurité
But
Vérifiez la capture de paquets de sécurité.
Action
À partir du mode opérationnel, entrez la show security idp counters packet-log commande.
user@host> show security idp counters packet-log
IDP counters: Value Total packets captured since packet capture was activated 0 Total sessions enabled since packet capture was activated 0 Sessions currently enabled for packet capture 0 Packets currently captured for enabled sessions 0 Packet clone failures 0 Session log object failures 0 Session packet log object failures 0 Sessions skipped because session limit exceeded 0 Packets skipped because packet limit exceeded 0 Packets skipped because total memory limit exceeded 0
Exemple : Configurer la capture de paquets pour le débogage du chemin de données
Cet exemple montre comment configurer la capture de paquets pour surveiller le trafic qui passe par l’appareil. La capture de paquets vide ensuite les paquets dans un format de fichier PCAP qui peut être examiné ultérieurement par l’utilitaire tcpdump.
Exigences
Aperçu
Un filtre est défini pour filtrer le trafic ; Ensuite, un profil d’action est appliqué au trafic filtré. Le profil d’action spécifie une variété d’actions sur l’unité de traitement. L’une des actions prises en charge est le vidage de paquets, qui envoie le paquet au moteur de routage et le stocke sous forme propriétaire pour être lu à l’aide de la show security datapath-debug capture commande.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configurationdans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer la capture de paquets, procédez comme suit :
Modifiez l’option de débogage du chemin de données de sécurité pour les unités de traitement multiples le long du chemin de traitement des paquets :
[edit] user@host# edit security datapath-debug
Activez le fichier de capture, le format de fichier, la taille du fichier et le nombre de fichiers. Le nombre de taille limite la taille du fichier de capture. Une fois la taille limite atteinte, si le numéro de fichier est spécifié, le fichier de capture est pivoté vers filename x, où x il est auto-incrémenté jusqu’à ce qu’il atteigne l’index spécifié, puis retourne à zéro. Si aucun index de fichiers n’est spécifié, les paquets seront supprimés une fois la limite de taille atteinte. La taille par défaut est de 512 kilo-octets.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Activez le profil d’action et définissez l’événement. Définissez le profil d’action sur do-capture et le type d’événement sur np-ingress :
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Activez le vidage de paquets pour le profil d’action :
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Activez les options de filtrage de paquets, d’action et de filtrage. Le filtre de paquets est défini sur my-filter, le profil d’action est défini sur do-capture et l’option de filtre est définie sur source-prefix 1.2.3.4/32.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security datapath-debug commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 1.2.3.4/32
action-profile do-capture
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la capture de paquets
- Vérification de la capture de débogage du chemin de données
- Vérification du compteur de débogage du chemin de données
Vérification de la capture de paquets
But
Vérifiez si la capture de paquets fonctionne.
Action
À partir du mode opérationnel, entrez la commande pour démarrer la request security datapath-debug capture start capture de paquets, puis entrez la commande pour arrêter la request security datapath-debug capture stop capture de paquets.
Pour afficher les résultats, à partir du mode opérationnel de l’interface de ligne de commande, accédez à l’interpréteur de commandes UNIX local et accédez au répertoire /var/log/my-capture. Le résultat peut être lu à l’aide de l’utilitaire tcpdump.
Vérification de la capture de débogage du chemin de données
But
Vérifiez les détails du fichier de capture de débogage du chemin d’accès aux données.
Action
À partir du mode opérationnel, entrez la show security datapath-debug capture commande.
user@host>show security datapath-debug capture
Lorsque vous avez terminé le dépannage, assurez-vous de supprimer ou de désactiver toutes les configurations de traceoptions (sans vous limiter aux traceoptions de flux) et la strophe complète de configuration datapath-debug de sécurité. Si des configurations de débogage restent actives, elles continueront d'utiliser les ressources CPU et mémoire de l'appareil.
Vérification du compteur de débogage du chemin de données
But
Vérifiez les détails du compteur de débogage du chemin d’accès aux données.
Action
À partir du mode opérationnel, entrez la show security datapath-debug counter commande.
Journalisation des paquets de sécurité IDP pour les systèmes logiques et les systèmes de location
À partir de Junos OS version 21.3R1, vous pouvez capturer les journaux de paquets de sécurité IDP pour les systèmes logiques et les systèmes locataires. Lorsque la capture de paquets est activée sur votre équipement de sécurité, vous pouvez également spécifier un nombre de paquets post-attaque ou pré-attaque à capturer. Une fois que vous avez configuré la capture de paquets sur votre équipement de sécurité, celui-ci collecte les informations capturées et les stocke sous forme de fichier de capture de paquets (.pcap) au niveau des systèmes logiques et des systèmes de location.
Lorsque vous configurez les journaux de paquets de sécurité IDP pour les systèmes logiques et les systèmes de location, votre configuration ressemble à l’exemple suivant :
Exemple de configuration de la journalisation des paquets IDP
[edit logical-systems LSYS-1]
user@host# show
security {
idp {
sensor-configuration {
packet-log {
threshold-logging-interval 2;
source-address 192.168.0.0;
host {
172.16.0.0;
port 2050;
}
}
}
}
}
Itinéraire et accessibilité
Vous pouvez spécifier des capteurs de journalisation des paquets au niveau des systèmes logiques et des systèmes locataires pour stocker les paquets capturés sur un périphérique de destination (récepteur PCAP). Pour envoyer et stocker les paquets capturés, vous devez ajouter l’adresse IP de l’équipement de destination dans la configuration de vos systèmes logiques et locataires. Dans le cas contraire, l’appareil utilise l’adresse IP du périphérique configuré au niveau des systèmes logiques racines et des systèmes locataires pour envoyer le paquet capturé. Dans ce cas, les paquets capturés ne sont pas stockés au niveau des systèmes logiques et des systèmes locataires.
Si vos systèmes logiques racines et vos systèmes locataires n’incluent pas l’adresse IP de l’appareil de destination, l’appareil de sécurité ne parvient pas à envoyer le paquet capturé à la destination.
Vous pouvez utiliser la show security idp counters packet log logical-system <logical-system-name> commande et cocher le champ d’option Packet log host route lookup failures pour voir le nombre de fois où le dispositif de sécurité n’a pas envoyé de paquets capturés en raison de détails de route manquants.