Capture de paquets de sécurité IDP
Cette rubrique décrit comment capturer des paquets avant et après une attaque afin de déterminer les détails de l’attaque et de créer des signatures. Il couvre la capture de paquets pour des règles spécifiques, la configuration de l’allocation de mémoire et la transmission des paquets capturés à un périphérique hôte pour analyse. La prise en charge du chiffrement SSL/TLS pour les journaux de paquets est introduite, ainsi que la possibilité de stocker les journaux localement.
La configuration d’un capteur IDP définit les spécifications de l’appareil pour la capture de paquets.
Comprendre la capture de paquets
L’affichage des paquets qui précèdent et suivent une attaque vous aide à déterminer l’objectif et l’étendue d’une tentative d’attaque, si une attaque a réussi et si le réseau a été endommagé par une attaque. L’analyse des paquets permet également de définir des signatures d’attaque afin de minimiser les faux positifs.
Si la capture de paquets est activée lorsqu’une attaque est enregistrée, un nombre spécifié de paquets avant et après l’attaque peut être capturé pour la session. Une fois tous les paquets collectés, ils sont transmis dans l’interface de gestion des équipements (DMI) à un équipement hôte pour une analyse hors ligne.
Une option de notification dans la règle de stratégie IDP active la capture de paquets lorsqu’une correspondance de règle se produit. L’option définit en outre le nombre de paquets à capturer et la durée de capture de paquets pour la session associée.
La configuration d’un capteur IDP définit les spécifications de l’appareil pour la capture de paquets. Les options de cette commande déterminent la mémoire à allouer à la capture de paquets, ainsi que les périphériques source et hôte entre lesquels l’objet de capture de paquets sera transmis.
Une show commande affiche des compteurs de capture de paquets qui fournissent des détails sur la progression, la réussite et l’échec de l’activité de capture de paquets sur l’équipement.
La capture de paquets n’est disponible qu’une seule fois par session.
Lorsque la capture de paquets est configurée avec une valeur de paramètre de configuration pré-attaque améliorée, l’utilisation des ressources augmente proportionnellement et peut affecter les performances de votre équipement.
- Prise en charge du chiffrement pour la capture de paquets IDP
- Prise en charge de la capture de paquets on-box IDP
Prise en charge du chiffrement pour la capture de paquets IDP
Vous pouvez activer une connexion SSL (Secure Sockets Layer) ou TLS (Sécurité de la couche transport) et envoyer un journal de capture de paquets IDP chiffré au destinataire de capture de paquets. Pour établir la connexion SSL ou TLS, vous devez spécifier le nom du profil d’initiation SSL que vous souhaitez utiliser dans la configuration du journal de paquets IDP. Le dispositif de sécurité est le client SSL ou TLS et le récepteur de capture de paquets est le serveur SSL ou TLS.
L’IDP utilise une connexion SSL ou TLS sécurisée pour envoyer les journaux de paquets de l’IDP à l’hôte configuré pour toutes les sessions (chiffrées et non chiffrées) au sein d’un système logique ou d’un système locataire, si la prise en charge du chiffrement est activée dans la configuration des journaux de paquets. Une fois que les journaux de paquets sont envoyés au destinataire de capture de paquets, la connexion SSL est fermée.
Auparavant, lorsque le trafic chiffré était envoyé pour inspection, l’IDP recevait le trafic déchiffré à l’aide d’un proxy SSL et l’inspectait pour détecter les attaques. Si une attaque était détectée et que le journal des paquets était configuré, les paquets déchiffrés étaient envoyés avec le journal des paquets à l’hôte configuré via le trafic UDP. Cette transmission de journaux de paquets sans chiffrement n’est pas sécurisée, en particulier lorsque les journaux de paquets capturés concernent un trafic chiffré.
Lorsque la prise en charge du chiffrement est activée, le profil SSL doit être configuré séparément dans chaque système logique. La configuration du capteur IDP effectuée dans le système logique racine pour les paramètres de transport ne peut pas être utilisée pour les autres systèmes logiques ou systèmes locataires.
La connexion SSL ou TLS pour les journaux de paquets IDP est établie comme suit :
-
Lorsque le processus de journalisation des paquets démarre, s’il n’y a pas de connexion SSL ou TLS à l’hôte, une nouvelle connexion SSL est établie pour l’envoi des journaux de paquets.
-
Lors de la transmission des journaux de paquets, s’il existe une connexion SSL ou TLS, la même connexion est réutilisée.
-
Lorsque la journalisation des paquets s’arrête, les paquets capturés sont transmis via la connexion SSL ou TLS établie.
-
Si une session de transmission de paquets SSL ou TLS est occupée et qu’une nouvelle demande de journal de paquets arrive de l’hôte, les nouveaux journaux de paquets sont mis en file d’attente et envoyés uniquement une fois la session SSL existante terminée.
La configuration des journaux de paquets d’IDP prend désormais en charge la configuration de nom de profil SSL. Vous pouvez utiliser cette configuration mise à jour des journaux de paquets pour établir une connexion SSL sécurisée pour les journaux de paquets IDP.
Les commandes mises à jour du journal des paquets IDP avec configuration SSL sont les suivantes :
set security idp sensor-configuration packet-log ssl-profile-name < profile-name>- Pour les sessions au sein d’un système logique-
set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name> -
Pour les sessions au sein d’un système de locataires-
set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
Le nom de profil mentionné dans ces commandes doit être configuré dans la configuration du profil d’initiation SSL. La configuration du profil d’initiation SSL exécute les certificats SSL requis et les opérations d’établissement de liaison SSL pour établir une connexion sécurisée. Les versions SSL sont choisies en fonction de la configuration de lancement SSL.
Si le nom du profil SSL n’est pas configuré dans Configuration du profil d’initiation SSL, le message suivant s’affiche Le profil d’initiation SSL référencé n’est pas défini.
Pour afficher les nouveaux compteurs de journaux de paquets, utilisez la show security idp counters packet-log commande.
Avantages
-
Garantit la confidentialité et la sécurité des données à l’aide de clés SSL et TLS ainsi que d’un chiffrement basé sur des certificats.
-
Permet la diffusion en continu d’informations privées potentielles à des entités partagées au sein d’un réseau.
Prise en charge de la capture de paquets on-box IDP
Lorsqu’une attaque se produit, les paquets sont capturés à l’aide de la fonctionnalité de journalisation des paquets d’IDP et le comportement de l’attaque est analysé hors ligne. Parfois, un périphérique de collecte de journaux tel que Security Director n’est pas disponible pour la collecte hors connexion des paquets capturés. Dans ce cas, les paquets capturés peuvent être stockés localement et les détails peuvent être consultés sur le J-Web.
Les configurations existantes du journal des paquets IDP sont utilisées comme d’habitude, et vous pouvez utiliser les commandes pour définir le journal des paquets pour la règle IDP. Vous pouvez utiliser la set security idp sensor-configuration packet-log local-storage commande pour stocker les paquets capturés sur l’appareil.
Si vous utilisez cette configuration, il n’y a aucun changement dans l’envoi du journal des paquets à l’hôte ou au collecteur hors boîtier si les détails sont configurés pour l’hôte.
Le trafic capturé est stocké dans /var/log/pcap/idp/. Le nom du fichier PCAP est basé sur l’horodatage, l’ID du journal des attaques et le numéro du paquet déclencheur.
Vous pouvez limiter le nombre de fichiers PCAP créés à l’aide de la fonction de rotation des journaux fournie. Utilisez la configuration suivante pour limiter le nombre de fichiers PCAP qui doivent être créés dans /var/log/pcap/idp :
set security idp sensor-configuration packet-log local-storage max-files <1..5000>
La valeur par défaut est 500.
La configuration suivante est utilisée pour définir la limite de l’espace disque maximal à utiliser pour stocker les fichiers PCAP.
set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>
La valeur par défaut est 100M et la valeur minimale est 1M.
Les compteurs indiquent les statistiques de capture intégrées. De nouveaux compteurs sont ajoutés aux compteurs de journaux de paquets existants. Vous pouvez afficher le détail des compteurs de journaux de paquets à l’aide de la commande suivante :
user@host> show security idp counters packet-log
IDP counters: Total packets sent for local packet capture 0 Total sessions enabled for local packet capture 0 Sessions currently enabled for local packet capture 0 Packets currently captured for local enabled sessions 0 Packet clone failures for local capture 0 Total failures sending packets captured to RE 0
Un indicateur est maintenant défini sur le syslog de fermeture de session existant lorsqu’un fichier de capture de paquets intégré est généré pour cette session. L’avant-dernier paramètre de l’exemple suivant (128 - statistiques de fonctionnalités pour la session) l’indique. Voici un exemple :
RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A
Voici les autres commandes utiles :
-
Utilisez
delete security idp sensor-configuration packet-log local-storageet validez pour supprimer la configuration et validez pour désactiver la journalisation intégrée. -
Utilisez la commande
clear security idp counters packet-logeffacer le compteur pour supprimer les détails de capture intégrés. -
Permet
request security idp storage-cleanup packet-captured’effacer tous les fichiers capturés.
Voir aussi
Exemple : Configurer la capture de paquets de sécurité
Cet exemple montre comment configurer la capture de paquets de sécurité.
Exigences
Avant de commencer, configurez les interfaces réseau.
Vue d’ensemble
Dans cet exemple, vous configurez une capture de paquets pour la règle 1 de la stratégie pol0. La règle spécifie qu’en cas d’attaque, 1 paquet avant l’attaque et 3 paquets après l’attaque seront capturés, et que la capture après l’attaque doit expirer au bout de 60 secondes. La configuration des capteurs est modifiée pour allouer 5 % de la mémoire disponible et 15 % des sessions IDP à la capture de paquets. Lorsque l’objet de capture de paquets est préparé, il est transmis du périphérique 10.56.97.3 au port 5 du périphérique 10.24.45.7.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez en commit mode configuration.
set security idp idp-policy pol0 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60 set security idp sensor-configuration packet-log total-memory 5 max-sessions 15 source-address 10.56.97.3 host 10.24.45.7 port 5 set security idp sensor-configuration log suppression disable set security idp idp-policy pol0 rulebase-ips rule 1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy pol0 rulebase-ips rule 1 then action drop-packet
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer la capture de paquets de sécurité :
-
Créez une politique d’IDP.
[edit] user@host# edit security idp idp-policy pol0
-
Associez une base de règles à la stratégie.
[edit edit security idp idp-policy pol0] user@host# edit rulebase-ips
-
Ajouter des règles à la base de règles.
[edit edit security idp idp-policy pol0 rulebase-ips] user@host# edit rule 1
-
Spécifier la notification, définir la taille et les contraintes de temps pour chaque capture de paquet.
[edit security idp idp-policy pol0 rulebase-ips rule 1 ] user@host# set then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60
-
Définissez une attaque comme critère de correspondance.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
-
Spécifiez une action pour la règle.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host#set then action drop-packet
-
Activez la configuration du capteur idp de sécurité.
[edit] user@host# edit security idp sensor-configuration
-
(Facultatif) Désactivez la suppression des journaux de configuration des capteurs IDP de sécurité.
[edit] user@host# set security idp sensor-configuration log suppression disable
Lorsque la suppression des journaux IDP est activée (ce qui est le comportement par défaut), lors d’incidents impliquant un volume élevé ou des attaques répétitives correspondant à une seule signature, une capture de paquets (PCAP) peut ne pas être générée par le pare-feu SRX Series et transmise au collecteur. Il est recommandé de désactiver la suppression des journaux IDP si vous avez besoin d’enregistrements PCAP pour chaque attaque.
-
Allouez les ressources de l’appareil à utiliser pour la capture de paquets.
[edit security idp sensor-configuration] user@host# set packet-log total-memory 5 max-sessions 15
-
Identifiez les périphériques source et hôte pour transmettre l’objet de capture de paquets.
[edit security idp sensor-configuration] user@host# set packet-log source-address 10.56.97.3 host 10.24.45.7 port 5
- Activez la connexion SSL ou TLS sécurisée pour chiffrer le journal de paquets IDP envoyé à l’hôte configuré (récepteur PCAP).
[edit security idp sensor-configuration] user@host# set packet-log ssl-profile-name ssl3
[edit](Logical Systems) user@host# set logical system LS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
[edit(Tenant Systems) user@host# set tenants TS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
Configurez le nom du profil SSL mentionné précédemment dans la configuration du profil d’initiation SSL. Toutes les versions SSL et TLS prises en charge par la configuration d’initiation SSL sont prises en charge pour cette connexion SSL ou TLS du journal de paquets IDP. Vous pouvez choisir uniquement la version SSL ou TLS configurée dans la configuration d’initiation SSL.
Exécutez le user@host# show services ssl initiation | display set pour afficher le nom du profil SSL configuré dans le lancement SSL et utilisez la version SSL ou TLS requise.
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security idp
idp-policy pol0 {
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attack-groups TELNET-Critical;
}
}
then {
action {
drop-packet;
}
notification {
packet-log {
pre-attack 1;
post-attack 3;
post-attack-timeout 60;
}
}
}
}
}
}
sensor-configuration {
log {
suppression {
disable;
}
}
packet-log {
total-memory {
5;
}
max-sessions {
15;
}
source-address 10.56.97.3;
host {
10.24.45.7;
port 5;
}
##
## Warning: Referenced SSL initiation profile is not defined
##
ssl-profile-name ssl3;
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la capture de paquets de sécurité
Objet
Vérifiez la capture des paquets de sécurité.
Mesures à prendre
À partir du mode opérationnel, entrez la show security idp counters packet-log commande.
user@host> show security idp counters packet-log
IDP counters: Value Total packets captured since packet capture was activated 0 Total sessions enabled since packet capture was activated 0 Sessions currently enabled for packet capture 0 Packets currently captured for enabled sessions 0 Packet clone failures 0 Session log object failures 0 Session packet log object failures 0 Sessions skipped because session limit exceeded 0 Packets skipped because packet limit exceeded 0 Packets skipped because total memory limit exceeded 0
Exemple : Configurer la capture de paquets pour le débogage des chemins de données
Cet exemple montre comment configurer la capture de paquets pour surveiller le trafic qui passe par l’appareil. La capture de paquets vide ensuite les paquets dans un format de fichier PCAP qui peut être examiné ultérieurement par l’utilitaire tcpdump.
Exigences
Avant de commencer, reportez-vous à la section Définir le débogage du chemin de données (procédure CLI).
Vue d’ensemble
Un filtre est défini pour filtrer le trafic ; un profil d’action est ensuite appliqué au trafic filtré. Le profil d’action spécifie une variété d’actions sur l’unité de traitement. L’une des actions prises en charge est packet dump, qui envoie le paquet au moteur de routage et le stocke sous une forme propriétaire pour être lu à l’aide de la show security datapath-debug capture commande.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer la capture de paquets :
Modifiez l’option de débogage du chemin des données de sécurité pour les multiples unités de traitement le long du chemin de traitement des paquets :
[edit] user@host# edit security datapath-debug
Activez le fichier de capture, le format de fichier, la taille du fichier et le nombre de fichiers. Le nombre de taille limite la taille du fichier de capture. Une fois la taille limite atteinte, si le numéro de fichier est spécifié, le fichier de capture sera tourné vers le nom xde fichier , où x est auto-incrémenté jusqu’à ce qu’il atteigne l’index spécifié, puis revient à zéro. Si aucun index de fichiers n’est spécifié, les paquets sont ignorés une fois la limite de taille atteinte. La taille par défaut est de 512 kilo-octets.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Activez le profil d’action et définissez l’événement. Définissez le profil d’action sur do-capture et le type d’événement sur np-ingress :
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Activer le vidage de paquets pour le profil d’action :
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Activer le filtre de paquets, l’action et les options de filtrage. Le filtre de paquets est défini sur my-filter, le profil d’action est défini sur do-capture et l’option de filtre est définie sur source-prefix 10.2.3.4/32.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security datapath-debug commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 10.2.3.4/32
action-profile do-capture
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérifier la capture des paquets
- Vérification de la capture du débogage du chemin de données
- Vérifier le compteur de débogage du chemin de données
Vérifier la capture des paquets
Objet
Vérifiez si la capture de paquets fonctionne.
Mesures à prendre
À partir du mode opérationnel, entrez la commande pour démarrer la request security datapath-debug capture start capture de paquets et entrez la commande pour arrêter la request security datapath-debug capture stop capture de paquets.
Pour afficher les résultats, à partir du mode opérationnel de la CLI, accédez à l’interpréteur de commandes UNIX local et accédez au répertoire /var/log/my-capture. Le résultat peut être lu à l’aide de l’utilitaire tcpdump.
Vérification de la capture du débogage du chemin de données
Objet
Vérifiez les détails du fichier de capture de débogage du chemin de données.
Mesures à prendre
À partir du mode opérationnel, entrez la show security datapath-debug capture commande.
user@host> show security datapath-debug capture
Une fois le dépannage terminé, veillez à supprimer ou désactiver toutes les configurations traceoptions (sans se limiter aux traceoptions de flux) et la strophe complète de configuration de débogage des chemins de données de sécurité. Si des configurations de débogage restent actives, elles continueront d'utiliser les ressources CPU et mémoire de l'appareil.
Vérifier le compteur de débogage du chemin de données
Objet
Vérifiez les détails du compteur de débogage du chemin de données.
Mesures à prendre
À partir du mode opérationnel, entrez la show security datapath-debug counter commande.
Journalisation des paquets de sécurité IDP pour les systèmes logiques et les systèmes de location
Vous pouvez capturer les journaux de paquets de sécurité IDP pour les systèmes logiques et les systèmes de location. Lorsque la capture de paquets est activée sur votre équipement de sécurité, vous pouvez également spécifier un nombre de paquets post-attaque ou pré-attaque à capturer. Une fois que vous avez configuré la capture de paquets sur votre équipement de sécurité, celui-ci collecte les informations capturées et les stocke sous forme de fichier de capture de paquets (.pcap) au niveau des systèmes logiques et des systèmes de location.
Lorsque vous configurez les journaux de paquets de sécurité IDP pour les systèmes logiques et les systèmes de location, votre configuration ressemble à l’exemple suivant :
Exemple de configuration de journalisation des paquets IDP
[edit logical-systems LSYS-1]
user@host# show
security {
idp {
sensor-configuration {
packet-log {
threshold-logging-interval 2;
source-address 192.168.0.0;
host {
172.16.0.0;
port 2050;
}
}
}
}
}
Route et accessibilité
Vous pouvez spécifier des capteurs de journalisation des paquets au niveau des systèmes logiques et des systèmes de location pour stocker les paquets capturés sur un périphérique de destination (récepteur de capture de paquets). Pour envoyer et stocker les paquets capturés, vous devez ajouter l’adresse IP de l’appareil de destination dans la configuration de vos systèmes logiques et de vos systèmes de location. Sinon, l’appareil utilise l’adresse IP de l’appareil configuré au niveau des systèmes logiques racines et des systèmes de location pour envoyer le paquet capturé. Dans ce cas, les paquets capturés ne sont pas stockés au niveau des systèmes logiques et des systèmes de location.
Le périphérique de sécurité n'envoie pas le paquet capturé si vos systèmes logiques racines et vos systèmes locataires ne disposent pas de l'adresse IP du périphérique de destination.
Utilisez la show security idp counters packet log logical-system logical-system-name commande. Cochez l’option Packet log host route lookup failures . Déterminez la fréquence à laquelle l’équipement de sécurité n’a pas envoyé de paquets en raison de détails d’itinéraire manquants.
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.