SUR CETTE PAGE
Exemple : Désactivation et activation de règles dans une base de règles IDP
Comprendre les bases de règles DDoS au niveau des applications IDP
Exemple : Définition de règles pour une base de règles IPS IDP
Exemple : Définition de règles pour une base de règles exemptée de PCI
Exemple : Définition de règles de terminal dans des bases de règles
Exemple : Configuration de règles DSCP dans une stratégie IDP
Règles de stratégie IDP et bases de règles IDP
Cette rubrique explique la structure et les composants des stratégies IDP, y compris les bases de règles qui sont des ensembles de règles qui définissent la manière dont le trafic est inspecté et les menaces détectées. Il couvre également les différents types de bases de règles. Les administrateurs peuvent utiliser les règles de stratégie IDP et les bases de règles pour protéger efficacement leurs réseaux contre diverses menaces.
Les stratégies IDP consistent en des règles organisées au sein de bases de règles qui analysent le trafic réseau pour détecter et atténuer les menaces. Ces stratégies définissent comment des méthodes de détection spécifiques sont appliquées pour identifier les attaques potentielles et déterminer les actions de sécurité appropriées.
Comprendre les bases de règles de stratégie IDP
Une base de règles est un ensemble ordonné de règles qui utilisent une méthode de détection spécifique pour identifier et prévenir les attaques.
Les règles sont des instructions qui contextualisent les mécanismes de détection en spécifiant quelle partie du trafic réseau le système IDP doit examiner pour détecter les attaques. Lorsqu’une règle correspond à une règle, cela signifie qu’une attaque a été détectée dans le trafic réseau, ce qui déclenche l’action pour cette règle. Le système IDP effectue l’action spécifiée et protège votre réseau contre cette attaque.
Chaque base de règles peut avoir plusieurs règles : vous déterminez l’ordre dans lequel les règles sont appliquées au trafic réseau en les plaçant dans l’ordre souhaité. Chaque base de règles du système IDP utilise des méthodes de détection spécifiques pour identifier et prévenir les attaques. Junos OS prend en charge deux types de bases de règles : la base de règles du système de prévention d’intrusion (IPS) et la base de règles exemptée.
Comprendre les règles de stratégie IDP
Chaque instruction d’une stratégie de détection et de prévention d’intrusion (IDP) est appelée règle. Les règles sont créées dans des bases de règles.
Les bases de règles sont un ensemble de règles qui se combinent pour définir une stratégie IDP. Les règles contextualisent les mécanismes de détection en spécifiant quelle partie du trafic réseau le système IDP doit examiner pour détecter les attaques. Lorsqu’une règle correspond à une règle, cela signifie qu’une attaque a été détectée dans le trafic réseau, ce qui déclenche l’action pour cette règle. Le système IDP effectue l’action spécifiée et protège votre réseau contre cette attaque.
Les règles de stratégie IDP sont constituées des éléments suivants :
- Comprendre les conditions de correspondance des règles IDP
- Présentation des objets de règle IDP
- Comprendre les actions des règles IDP
- Comprendre les actions IP des règles IDP
- Comprendre les notifications de règles IDP
Comprendre les conditions de correspondance des règles IDP
Les conditions de correspondance spécifient le type de trafic réseau que vous souhaitez qu’IDP surveille pour détecter les attaques.
Les conditions de correspondance utilisent les caractéristiques suivantes pour spécifier le type de trafic réseau à surveiller :
From-zoneetto-zone: tout le trafic circule d’une zone source vers une zone de destination. Vous pouvez sélectionner n’importe quelle zone comme source ou destination. Vous pouvez également utiliser des exceptions de zone pour spécifier des zones de destination et de départ uniques pour chaque appareil. Spécifiezanypour surveiller le trafic réseau provenant de et à destination de n’importe quelle zone. La valeur par défaut estany.Note:Vous pouvez spécifier
source-addressetsource-exceptles adresses lorsquefrom-zonela valeur estany. De même, lorsqueto-zoneestany, vous pouvez spécifierdestination-addressetdestination-exceptadresses.Source IP address: spécifie l’adresse IP source d’où provient le trafic réseau. Vous pouvez spécifieranyde surveiller le trafic réseau provenant de n’importe quelle adresse IP. Vous pouvez également spécifiersource-exceptde spécifier toutes les sources à l’exception des adresses spécifiées. La valeur par défaut estany.Destination IP address: spécifie l’adresse IP de destination vers laquelle le trafic réseau est envoyé. Vous pouvez définir cette option pouranysurveiller le trafic réseau envoyé à n’importe quelle adresse IP. Vous pouvez également spécifierdestination-exceptde spécifier toutes les destinations, à l’exception des adresses spécifiées. La valeur par défaut estany.-
Application: spécifie les protocoles de couche applicative pris en charge par l’adresse IP de destination. Vous pouvez spécifieranypour toutes les applications ou spécifier une application, par exemple,junos-bgp. Vous pouvez spécifierdefaultpour l’application configurée dans l’objet d’attaque que la règle doit correspondre aux ports par défaut et détectés automatiquement vers les applications impliquées dans les objets d’attaque.
Présentation des objets de règle IDP
Les objets sont des entités logiques réutilisables que vous pouvez appliquer à des règles. Chaque objet que vous créez est ajouté à une base de données correspondant au type d’objet.
Vous pouvez configurer les types d’objets suivants pour les règles IDP.
- Objets de zone
- Adresses ou objets réseau
- Objets d’application ou de service
- Objets d’attaque
- Groupes d’objets d’attaque
Objets de zone
Une zone ou zone de sécurité est un ensemble d’une ou plusieurs interfaces réseau. IDP utilise des objets de zone configurés dans le système de base.
Adresses ou objets réseau
Les objets d’adresse représentent des composants de votre réseau, tels que les machines hôtes, les serveurs et les sous-réseaux. Vous utilisez des objets d’adresse dans les règles de stratégie IDP pour spécifier les composants réseau que vous souhaitez protéger.
Objets d’application ou de service
Les objets service représentent des services réseau qui utilisent des protocoles de couche transport tels que TCP, UDP, RPC et ICMP. Vous utilisez des objets de service dans les règles pour spécifier le service qu’une attaque utilise pour accéder à votre réseau. Juniper Networks fournit des objets de service prédéfinis, c’est-à-dire une base de données d’objets de service basée sur des services standard de l’industrie. Si vous devez ajouter des objets de service qui ne sont pas inclus dans les objets de service prédéfinis, vous pouvez créer des objets de service personnalisés. IDP prend en charge les types d’objets de service suivants :
Any: permet à IDP de correspondre à tous les protocoles de couche transport.TCP: spécifie un port TCP ou une plage de ports correspondant aux services réseau pour les ports TCP spécifiés. Vous pouvez spécifierjunos-tcp-anydes services correspondants pour tous les ports TCP.UDP: spécifie un port UDP ou une plage de ports correspondant aux services réseau pour les ports UDP spécifiés. Vous pouvez spécifierjunos-udp-anydes services correspondants pour tous les ports UDP.RPC: spécifie un numéro de programme d’appel de procédure à distance (RPC de Sun Microsystems) ou une plage de numéros de programme. IDP utilise ces informations pour identifier les sessions RPC.ICMP: spécifie un type et un code faisant partie d’un paquet ICMP. Vous pouvez spécifierjunos-icmp-allqu’ils correspondent à tous les services ICMP.default: permet à IDP de faire correspondre les protocoles par défaut et détectés automatiquement aux applications impliquées dans les objets d’attaque.
Objets d’attaque
Les objets d’attaque IDP représentent des attaques connues et inconnues. L’IDP inclut une base de données d’objets d’attaque prédéfinie qui est régulièrement mise à jour par Juniper Networks. Les objets d’attaque sont spécifiés dans des règles pour identifier les activités malveillantes. Chaque attaque est définie comme un objet d’attaque, qui représente un modèle d’attaque connu. Chaque fois que ce schéma d’attaque connu est rencontré dans le trafic réseau surveillé, l’objet de l’attaque est mis en correspondance. Les trois principaux types d’objets d’attaque sont décrits dans le tableau 1 :
Objets d’attaque |
Description |
|---|---|
Objets d’attaque emblématiques |
Les objets d’attaque de signature détectent les attaques connues à l’aide de signatures d’attaque dynamiques. Une signature d’attaque est un modèle qui existe toujours au sein d’une attaque ; Si l’attaque est présente, la signature de l’attaque l’est aussi. Grâce aux signatures dynamiques, IDP peut rechercher le protocole ou le service spécifique utilisé pour perpétrer l’attaque, la direction et le flux de l’attaque, ainsi que le contexte dans lequel l’attaque se produit. Les signatures dynamiques produisent peu de faux positifs, car le contexte de l’attaque est défini, ce qui élimine de vastes pans de trafic réseau dans lesquels l’attaque ne se produirait pas. |
Objets d’attaque d’anomalies de protocole |
Les objets d’attaque par anomalie de protocole identifient une activité inhabituelle sur le réseau. Ils détectent les messages anormaux ou ambigus au sein d’une connexion en fonction de l’ensemble des règles du protocole utilisé. La détection des anomalies de protocole fonctionne en trouvant les écarts par rapport aux normes de protocole, le plus souvent définis par les RFC et les extensions RFC courantes. La plupart des trafics légitimes respectent les protocoles établis. Le trafic qui ne le fait pas produit une anomalie, qui peut être créée par des attaquants à des fins spécifiques, telles que le contournement d’un système de prévention d’intrusion (IPS). |
Objets d’attaque composés |
Un objet d’attaque composé combine plusieurs signatures et/ou anomalies de protocole en un seul objet. Le trafic doit correspondre à l’ensemble des signatures et/ou anomalies de protocole combinées pour correspondre à l’objet d’attaque composé. Vous pouvez spécifier l’ordre dans lequel les signatures ou les anomalies doivent correspondre. Utilisez des objets d’attaque composés pour affiner vos règles de stratégie IDP, réduire le nombre de faux positifs et augmenter la précision de la détection. Un objet d’attaque composé vous permet d’être très précis sur les événements qui doivent se produire avant qu’IDP n’identifie le trafic comme une attaque. Vous pouvez utiliser |
Groupes d’objets d’attaque
L’IDP contient un grand nombre d’objets d’attaque prédéfinis. Pour faciliter l’organisation et la gestion des stratégies IDP, les objets d’attaque peuvent être regroupés. Un groupe d’objets d’attaque peut contenir un ou plusieurs objets d’attaque de différents types. Junos OS prend en charge les trois types de groupes d’attaques suivants :
Groupes d’objets d’attaque prédéfinis : contiennent les objets présents dans la base de données de signatures. Les groupes d’objets d’attaque prédéfinis sont de nature dynamique. Par exemple, le groupe FTP : Mineur sélectionne toutes les attaques de l’application - FTP et la gravité - Mineur. Si une nouvelle attaque FTP de gravité mineure est introduite dans la base de données de sécurité, elle est ajoutée par défaut au groupe FTP : Mineur.
Groupes d’attaques dynamiques : contiennent des objets d’attaque en fonction d’un certain critère de correspondance. Par exemple, un groupe dynamique peut contenir toutes les attaques liées à une application. Lors de la mise à jour de la signature, l’appartenance dynamique au groupe est automatiquement mise à jour en fonction des critères de correspondance de ce groupe.
Pour un groupe d’attaque dynamique utilisant le filtre de direction, l’expression
anddoit être utilisée dans les valeurs d’exclusion. Comme c’est le cas pour tous les filtres, l’expression par défaut estor. Cependant, il y a un choix deanddans le cas du filtre de direction.Par exemple, si vous souhaitez choisir toutes les attaques avec la direction client-serveur, configurez le filtre de direction à l’aide
set security idp dynamic-attack-group dyn1 filters direction values client-to-serverde la commandeDans le cas d’attaques en chaîne, chacun des membres multiples a sa propre direction. Si une stratégie inclut des attaques en chaîne, un filtre client-serveur sélectionne toutes les attaques en chaîne dont l’un des membres est le client-serveur. Cela signifie que les attaques en chaîne qui incluent des membres avec le serveur vers le client ou ANY comme direction sont sélectionnées si la chaîne a au moins un membre avec le client vers le serveur comme direction.
Vous pouvez afficher les objets d’attaque présents dans un groupe d’objets d’attaque particulier (groupes d’attaques prédéfinis, dynamiques et personnalisés) et le groupe auquel appartient un objet d’attaque prédéfini à l’aide des commandes suivantes :
show security idp attack attack-list attack-group group-nameshow security idp attack group-list attack-name
Utilisez la
show security idp attack attack-list attack-group group-namecommande pour :Affichez la liste de toutes les attaques présentes dans le groupe d’attaques spécifié, par exemple les groupes personnalisés, dynamiques et prédéfinis.
Spécifiez les noms du groupe, tels que predefined-group <predefined-group-name> ou dynamic-group <dynamic-group-name> ou custom-group <custom-group-name> pour afficher la liste des attaques dans ce groupe.
Utilisez la
show security idp attack group-listcommande pour afficher la liste des groupes d’attaque auxquels appartient l’attaque prédéfinie.Note:Dans le cas de groupes d’attaque prédéfinis qui n’ont pas de filtre défini, ces groupes ne sont pas affichés en tant que membres d’une attaque.
Utilisez la
show security idp attack attack-list policy policy-namecommande pour afficher les attaques disponibles dans une stratégie IDP configurée. Si une stratégie IDP est configurée pour contenir une attaque particulière appartenant à différents groupes d’attaques, les noms des attaques redondantes s’affichent dans le cadre de l’attaque dans une sortie de commande de stratégie IDP.Auparavant, les mises à jour de signatures IDP ne prenaient en charge que neuf balises sous filtres. Les sept balises sont la catégorie, la direction, les faux positifs, les performances, le produit, les recommandés, le service, la gravité et le fournisseur. En plus des neuf balises existantes, les mises à jour de signature IDP prennent désormais en charge quatre nouvelles balises supplémentaires sous filtres pour créer des groupes dynamiques plus sophistiqués.
Les balises supplémentaires sont les suivantes :
Système commun d’évaluation des vulnérabilités (CVSS) (mesuré en termes de nombres numériques compris entre 0 et 10. La valeur est un nombre réel comprenant des valeurs décimales. Ainsi, une valeur numérique telle que 5,5 est également un score CVSS valide.)
Âge de l’attaque (en termes d’années et de rage entre (0 et 100 ans). Par exemple : supérieur ou inférieur à en termes d’années)
Type de fichier (par exemple : MPEG, MP4, PPT, *.doc, etc.)
Type de vulnérabilité (par exemple : débordement de la mémoire tampon, injection, utilisation après gratuit, scripts intersites (XSS), exécution de code à distance (RCE), etc.
De plus, l’interface CLI pour la configuration des balises Produit et Fournisseur existantes est rendue plus conviviale et des complétions possibles sont disponibles pour la configuration.
Fournisseur (par exemple : Microsoft, Apple, Red Hat, Google, Juniper, Cisco, Oracle, etc.)
Produit (par exemple : Office, Base de données, Firefox, Chrome, Flash, DirectX, Java, Kerberos, etc.)
Pour éviter que ces attaques en chaîne ne soient ajoutées à la stratégie, configurez le groupe dynamique comme suit :
set security idp dynamic-attack-group dyn1 filters direction expression andset security idp dynamic-attack-group dyn1 filters direction values client-to-serverset security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-clientset security idp dynamic-attack-group dyn1 filters direction values exclude-any
Groupes d’attaque personnalisés : contiennent des groupes d’attaque définis par le client et peuvent être configurés via l’interface de ligne de commande. Ils peuvent contenir des attaques prédéfinies spécifiques, des attaques personnalisées, des groupes d’attaques prédéfinis ou des groupes d’attaques dynamiques. Elles sont de nature statique, car les attaques sont spécifiées dans le groupe. Par conséquent, les groupes d’attaque ne changent pas lorsque la base de données de sécurité est mise à jour.
Vous pouvez afficher la stratégie IPS dans des attaques et des groupes d’attaques prédéfinis sous IPS/Règle d’exemption en mode locataire et système logique. Utilisez les commandes show security idp attack attack-group-entries, , show security idp attack attack-listet show security idp attack group-list pour afficher les stratégies IPS en mode système logique et locataire.
Comprendre les actions des règles IDP
Actions spécifiez les actions que vous souhaitez qu’IDP entreprenne lorsque le trafic surveillé correspond aux objets d’attaque spécifiés dans les règles.
Le tableau 2 indique les actions que vous pouvez spécifier pour les règles IDP :
Terme |
Définition |
|---|---|
No Action |
Aucune mesure n’est prise. Utilisez cette action lorsque vous souhaitez uniquement générer des journaux pour une partie du trafic. |
Ignore Connection |
Arrête l’analyse du trafic pour le reste de la connexion si une correspondance d’attaque est trouvée. IDP désactive la base de règles pour la connexion spécifique.
Note:
Cette action ne signifie pas ignorer une attaque. |
Diffserv Marking |
Attribue la valeur DSCP (Differentiated Services Codepoint) indiquée au paquet lors d’une attaque, puis transmet le paquet normalement. Notez que la valeur DSCP n’est pas appliquée au premier paquet détecté comme une attaque, mais aux paquets suivants. |
Drop Packet |
Supprime un paquet correspondant avant qu’il n’atteigne sa destination, mais ne ferme pas la connexion. Utilisez cette action pour supprimer des paquets pour des attaques dans le trafic sujet à l’usurpation d’identité, tel que le trafic UDP. L’interruption de connexion pour ce type de trafic peut entraîner un déni de service qui vous empêche de recevoir du trafic à partir d’une adresse IP source légitime.
Note:
Lorsqu’une stratégie IDP est configurée à l’aide d’un contexte autre que les paquets défini dans une signature personnalisée pour une application et que l’action d’abandon est un paquet, lorsque l’IDP identifie une attaque, le décodeur promeut drop_packet au drop_connection. Dans le cas d’une attaque de protocole DNS, ce n’est pas le cas. Le décodeur DNS ne favorisera pas drop_packet à drop_connection lorsqu’une attaque est identifiée. Ainsi, seul le trafic d’attaque DNS sera abandonné et les requêtes DNS valides continueront d’être traitées. Cela évitera également la retransmission TCP pour les requêtes DNS TCP valides. |
Drop Connection |
Supprime tous les paquets associés à la connexion, empêchant ainsi le trafic de la connexion d’atteindre sa destination. Utilisez cette action pour supprimer les connexions pour le trafic qui n’est pas sujet à l’usurpation d’identité. |
Close Client |
Ferme la connexion et envoie un paquet RST au client, mais pas au serveur. |
Close Server |
Ferme la connexion et envoie un paquet RST au serveur, mais pas au client. |
Close Client and Server |
Ferme la connexion et envoie un paquet RST au client et au serveur. |
Recommended |
Une action par défaut est associée à tous les objets d’attaque prédéfinis. C’est l’action que Juniper Networks recommande lorsqu’une telle attaque est détectée.
Note:
Cette action n’est prise en charge que pour les bases de règles IPS. Recommandé : liste de tous les objets d’attaque que Juniper Networks considère comme des menaces sérieuses, classés par catégories.
|
Comprendre les actions IP des règles IDP
Les actions IP sont des actions qui s’appliquent aux connexions futures et qui utilisent les mêmes attributs d’action IP. Par exemple, vous pouvez configurer une action IP dans la règle pour bloquer toutes les futures sessions HTTP entre deux hôtes si une attaque est détectée sur une session entre les hôtes. Vous pouvez également spécifier une valeur de délai d’expiration qui définit que l’action ne doit être appliquée que si de nouvelles sessions sont lancées dans cette valeur de délai d’expiration spécifiée. La valeur par défaut du délai d’expiration des actions IP est 0, ce qui signifie que les actions IP n’ont jamais expiré.
Les actions IP sont similaires aux autres actions ; ils ordonnent à l’IDP d’abandonner ou de fermer la connexion. Cependant, comme vous disposez maintenant également de l’adresse IP de l’attaquant, vous pouvez choisir de bloquer l’attaquant pendant une durée spécifiée. Si les attaquants ne parviennent pas à rétablir immédiatement une connexion à votre réseau, ils peuvent essayer d’attaquer des cibles plus faciles. Utilisez les actions IP en conjonction avec les actions et la journalisation pour sécuriser votre réseau.
Les attributs d’action IP sont une combinaison des champs suivants :
Adresse IP source
Adresse IP de destination
Port de destination
De la zone
Protocole
Le tableau 3 récapitule les types d’actions IP prises en charge par les règles IDP :
Terme |
Définition |
|---|---|
Notify |
N’effectue aucune action contre le trafic futur, mais consigne l’événement. Il s’agit de l’option par défaut. |
Drop/Block Session |
Tous les paquets de toute session correspondant à la règle d’action IP sont abandonnés silencieusement. |
Close Session |
Toute nouvelle session correspondant à cette règle d’action IP est fermée par l’envoi de paquets RST au client et au serveur. |
Lorsque le trafic correspond à plusieurs règles, l’action IP la plus sévère de toutes les règles correspondantes est appliquée. L’action IP la plus grave est l’action Fermer la session, la suivante en gravité est l’action Abandonner/Bloquer la session, puis l’action Notifier.
Après les améliorations apportées au point central, le système présente les limitations suivantes :
Le nombre maximal de modes
ip-actionactifs pour chaque SPU est limité à 600000 entrées. Lorsque cette limite est atteinte, vous ne pouvez pas créer une nouvelle entrée en modeip-actionactif sur le SPU.Le nombre maximum de tous les modes (mode actif et mode passif)
ip-actionpour chaque SPU est limité à 1200000 entrées. Lorsque cette limite est atteinte, vous ne pouvez pas créer une nouvelle entrée en modeip-actionactif sur le SPU.Lorsque vous exécutez la
clear ip-actioncommande, les entrées sont supprimées par leip-actionbiais de messages en anneau. Lorsque l’utilisation du processeur est élevée, les messages de sonnerie supprimés sont abandonnés et renvoyés par le modeip-actionactif. Comme le processus de suppression prend du temps, vous pouvez voir peu d’entréesip-actionlorsque vous exécutez lashow ip-actioncommande.
Sur les appareils pour lesquels les améliorations du point central ne sont pas effectuées, seul le mode ip-action actif existe et le nombre maximum ip-action est limité à 600000. Lorsque cette limite est atteinte, vous ne pouvez pas créer une nouvelle entrée en mode ip-action actif.
Comprendre les notifications de règles IDP
La notification définit la manière dont les informations doivent être consignées lorsqu’une action est effectuée. Lorsque des attaques sont détectées, vous pouvez choisir de consigner une attaque et de créer des enregistrements de journal contenant des informations sur les attaques, puis d’envoyer ces informations au serveur de journaux.
À l’aide de notifications, vous pouvez également configurer les options suivantes qui indiquent au serveur de journaux d’effectuer des actions spécifiques sur les journaux générés pour chaque règle :
Set Alerts: spécifiez une option d’alerte pour une règle dans la stratégie IDP. Lorsque la règle est mise en correspondance, l’enregistrement de journal correspondant affiche une alerte dans la colonne d’alerte de la visionneuse de journaux. Les administrateurs de sécurité utilisent les alertes pour être informés des événements de sécurité importants et y réagir.Set Severity Level: définissez des niveaux de gravité dans la journalisation pour améliorer l’organisation et la présentation des enregistrements de journaux sur le serveur de journaux. Vous pouvez utiliser les paramètres de gravité par défaut des objets d’attaque sélectionnés ou choisir une gravité spécifique pour votre règle. La gravité que vous configurez dans les règles l’emporte sur la gravité héritée de l’attaque. Vous pouvez définir le niveau de gravité sur les niveaux suivants :Info—2
Avertissement : 3
Mineur : 4
Majeur : 5
Critique : 7
Exemple : insertion d’une règle dans la base de règles IDP
Cet exemple montre comment insérer une règle dans la base de règles IDP.
Exigences
Avant de commencer :
Configurez les interfaces réseau.
Définissez des règles dans une base de règles. Reportez-vous à la section Exemple : Définition de règles pour une base de règles IPS IDP.
Aperçu
L’algorithme de correspondance de règles IDP commence par le haut de la base de règles et vérifie le trafic par rapport à toutes les règles de la base de règles qui correspondent aux conditions de correspondance spécifiées. Vous déterminez l’ordre dans lequel les règles sont appliquées au trafic réseau en les plaçant dans l’ordre souhaité. Lorsque vous ajoutez une règle à la base de règles, elle est placée à la fin de la liste de règles existante. Pour placer une règle à un autre emplacement qu’à la fin de la base de règles, vous devez insert la placer à l’emplacement souhaité dans la base de règles. Cet exemple place la règle R2 avant la règle R1 dans la base de règles IPS IDP dans une stratégie appelée base-policy.
Configuration
Procédure
Procédure étape par étape
Pour insérer une règle dans la base de règles :
Définissez la position de la règle dans la base de règles en fonction de l’ordre dans lequel vous souhaitez qu’elle soit évaluée.
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security idp status commande.
Exemple : Désactivation et activation de règles dans une base de règles IDP
Cet exemple montre comment désactiver et activer une règle dans une base de règles.
Exigences
Avant de commencer :
Configurez les interfaces réseau.
Définissez des règles dans une base de règles. Reportez-vous à la section Exemple : Définition de règles pour une base de règles IPS IDP.
Aperçu
Dans une base de règles, vous pouvez désactiver et activer des règles à l’aide des deactivate commandes et activate . La deactivate commande commente l’instruction spécifiée à partir de la configuration. Les règles qui ont été désactivées ne prennent pas effet lorsque vous émettez la commit commande. La activate commande rajoute l’instruction spécifiée à la configuration. Les règles qui ont été activées prennent effet lors de la prochaine exécution de la commit commande. Cet exemple montre comment désactiver et réactiver la règle R2 dans une base de règles IPS IDP associée à une stratégie appelée base-policy.
Configuration
Procédure
Procédure étape par étape
Pour désactiver et activer une règle dans une base de règles :
Spécifiez la règle que vous souhaitez désactiver.
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
Activez la règle.
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security idp status commande.
Comprendre les bases de règles DDoS au niveau des applications IDP
La base de règles DDoS au niveau de l’application définit les paramètres utilisés pour protéger les serveurs, tels que DNS ou HTTP, contre les attaques par déni de service distribué (DDoS) au niveau de l’application. Vous pouvez configurer des métriques d’application personnalisées basées sur les demandes d’activité normale du serveur pour déterminer quand les clients doivent être considérés comme des clients d’attaque. La base de règles DDoS au niveau de l’application est ensuite utilisée pour définir la condition de correspondance de la source pour le trafic à surveiller, puis exécute l’action définie : fermer le serveur, abandonner la connexion, abandonner le paquet ou aucune action. Il peut également effectuer une action IP : ip-block, ip-close, ip-notify, ip-connection-rate-limit ou timeout. Le Tableau 4 récapitule les options que vous pouvez configurer dans les règles de base de règles DDoS au niveau de l’application.
Terme |
Définition |
|---|---|
Match condition |
Spécifiez le trafic réseau que vous souhaitez que l’appareil surveille pour détecter les attaques. |
Action |
Spécifiez les actions que vous souhaitez que la détection et prévention d’intrusion (IDP) entreprenne lorsque le trafic surveillé correspond aux objets application-ddos spécifiés dans la règle DDoS au niveau de l’application. |
IP Action |
Permet de bloquer implicitement une adresse source afin de protéger le réseau contre de futures intrusions tout en autorisant le trafic légitime. Vous pouvez configurer l’une des options d’action IP suivantes dans les attaques DDoS au niveau de l’application : ip-block, ip-close, ip-notify et ip-connection-rate-limit. |
Comprendre les bases de règles IPS IDP
La base de règles du système de prévention d’intrusion (IPS) protège votre réseau contre les attaques en utilisant des objets d’attaque pour détecter les attaques connues et inconnues. Il détecte les attaques basées sur des signatures dynamiques et des anomalies de protocole. Le Tableau 5 récapitule les options que vous pouvez configurer dans les règles de la base de règles IPS.
Terme |
Définition |
|---|---|
Match condition |
Spécifiez le type de trafic réseau que vous souhaitez que l’appareil surveille pour détecter les attaques. Pour plus d’informations sur les conditions de correspondance, consultez Présentation des règles de stratégie IDP. |
Attack objects/groups |
Spécifiez les attaques auxquelles vous souhaitez que l’appareil corresponde dans le trafic réseau surveillé. Chaque attaque est définie comme un objet d’attaque, qui représente un modèle d’attaque connu. Pour plus d’informations sur les objets d’attaque, consultez Présentation des règles de stratégie IDP. |
Terminal flag |
Spécifiez une règle de terminal. L’appareil arrête de faire correspondre les règles d’une session lorsqu’une règle de terminal est mise en correspondance. Pour plus d’informations sur les règles de terminal, reportez-vous à la section Présentation des règles de terminal IDP . |
Action |
Spécifiez l’action que vous souhaitez que le système entreprenne lorsque le trafic surveillé correspond aux objets d’attaque spécifiés dans les règles. Si une attaque déclenche plusieurs actions de règles, l’action la plus grave parmi ces règles est exécutée. Pour plus d’informations sur les actions, consultez Présentation des règles de stratégie IDP. |
IP Action |
Permet de protéger le réseau contre de futures intrusions tout en autorisant le trafic licite. Vous pouvez configurer l’une des options d’action IP suivantes dans la base de règles IPS : notifier, supprimer ou fermer. Pour plus d’informations sur les actions IP, consultez Présentation des règles de stratégie IDP. |
Notification |
Définit la manière dont les informations doivent être consignées lorsqu’une action est effectuée. Vous pouvez choisir d’enregistrer une attaque, de créer des enregistrements de journal avec les informations d’attaque et d’envoyer des informations au serveur de journaux. Pour plus d’informations, consultez Présentation des règles de stratégie IDP. |
Exemple : Définition de règles pour une base de règles IPS IDP
Cet exemple montre comment définir des règles pour une base de règles IPS IDP.
Exigences
Avant de commencer :
Configurez les interfaces réseau.
Créez des zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Pour utiliser une stratégie personnalisée IDP avec des attaques prédéfinies, vous devez avoir téléchargé la base de données de signatures sur l’appareil.
Pour plus d’informations, reportez-vous à la section Exemple : Mise à jour manuelle de la base de données de signatures IDP.
Aperçu
Chaque règle est composée de conditions de correspondance, d’objets, d’actions et de notifications. Lorsque vous définissez une règle IDP, vous devez spécifier le type de trafic réseau que vous souhaitez que IDP surveille pour les attaques à l’aide des caractéristiques suivantes : zone source, zone de destination, adresse IP source, adresse IP de destination et protocole de couche applicative pris en charge par l’adresse IP de destination. Les règles sont définies dans des bases de règles, et les bases de règles sont associées aux stratégies.
Cet exemple décrit comment créer une stratégie appelée base-policy, spécifier une base de règles pour cette stratégie, puis ajouter la règle R1 à cette base de règles. Dans cet exemple, la règle R1 :
Spécifie la condition de correspondance pour inclure tout trafic provenant d’une zone précédemment configurée appelée trust vers une autre zone précédemment configurée appelée untrust. La condition de correspondance inclut également un groupe d’attaque prédéfini Critique - TELNET. Le paramètre d’application dans la condition de correspondance est default et correspond à n’importe quelle application configurée dans l’objet d’attaque.
Spécifie une action permettant d’abandonner la connexion pour tout trafic qui correspond aux critères de la règle R1.
Active la journalisation des attaques et spécifie qu’un indicateur d’alerte est ajouté au journal des attaques.
Spécifie un niveau de gravité sous la forme critical.
Après avoir défini la règle, vous spécifiez base-policy comme stratégie active sur l’appareil.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour définir des règles pour une base de règles IPS IDP :
Créez une stratégie en lui attribuant un nom significatif.
[edit] user@host# edit security idp idp-policy base-policy
Associez une base de règles à la stratégie.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
Ajoutez des règles à la base de règles.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
Définissez les critères de correspondance de la règle.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
Définissez une attaque comme critère de correspondance.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
Spécifiez une action pour la règle.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
Spécifiez les options de notification et de journalisation de la règle.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
Définissez le niveau de gravité de la règle.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
Activez la stratégie.
[edit] user@host# set security idp active-policy base-policy
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups Critical-TELNET;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy base-policy;
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Comprendre les bases de règles exemptées de PCI
La base de règles exemptée fonctionne conjointement avec la base de règles du système de prévention d’intrusion (IPS) pour empêcher la génération d’alarmes inutiles. Vous configurez les règles de cette base de règles afin d’exclure les faux positifs connus ou d’exclure une source, une destination ou une paire source/destination spécifique de la correspondance d’une règle IPS. Si le trafic correspond à une règle de la base de règles IPS, le système tente de le comparer à la base de règles exemptée avant d’effectuer l’action spécifiée. Des règles soigneusement écrites dans une base de règles exemptée peuvent réduire considérablement le nombre de faux positifs générés par une base de règles IPS.
Configurez une base de règles exemptée dans les conditions suivantes :
Lorsqu’une règle IDP utilise un groupe d’objets d’attaque qui contient un ou plusieurs objets d’attaque qui produisent des faux positifs ou des enregistrements de journal non pertinents.
Lorsque vous souhaitez exclure une source, une destination ou une paire source/destination spécifique de la correspondance d’une règle IDP. Cela permet d’éviter que l’IDP ne génère des alarmes inutiles.
Assurez-vous de configurer la base de règles IPS avant de configurer la base de règles exemptée.
Le Tableau 6 récapitule les options que vous pouvez configurer dans les règles de la base de règles exemptées.
Terme |
Définition |
|---|---|
Match condition |
Spécifiez le type de trafic réseau que vous souhaitez que l’appareil surveille pour détecter les attaques de la même manière que dans la base de règles IPS. Toutefois, dans la base de règles exemptée, vous ne pouvez pas configurer une application ; Il est toujours défini sur |
Attack objects/groups |
Spécifiez les objets d’attaque auxquels vous souhaitez not que l’appareil corresponde dans le trafic réseau surveillé. |
Prise en charge de la journalisation pour la mise en correspondance des règles exemptées
Dans IDP, les règles d’exemption sont utilisées pour exclure de la journalisation certains types d’attaques ou certains types de trafic afin de cibler les incidents qui constituent des menaces potentielles. Cependant, certaines informations utiles peuvent être perdues en raison de la présence de règles exemptées.
Nous avons introduit la journalisation des règles d’exemption dans le système IDP, qui peut être utilisée pour surveiller et analyser les modèles de trafic, détecter les menaces de sécurité potentielles et résoudre les problèmes de réseau. Les administrateurs peuvent examiner les journaux, obtenir des informations sur le type de trafic qui est exempté des règles IDP et prendre des décisions éclairées sur les stratégies réseau.
La fonctionnalité de journalisation des règles exemptées est activée au niveau de la règle. Cela garantit une surveillance et une analyse précises des événements de sécurité, ce qui améliore la visibilité du système.
Voici un exemple de prise en charge de la journalisation pour les règles exemptées dans la stratégie IDP :
user@host# set security idp idp-policy Sample-IPS-Policy rulebase-exempt rule Exempt-rule then notification log-attacks alert
où
| Nom de l’article | |
|---|---|
| Nom de la stratégie | Stratégie Sample-IPS |
| Nom de la règle | Règle d’exemption |
Voici un exemple d’événement de journal :
IDP_RULEBASE_EXEMPT_LOG_EVENT
RT_IDP: IDP_RULEBASE_EXEMPT_LOG_EVENT: IDP: at 1687773425, ANOMALY Attack log <IP/50852->IP/80> for TCP protocol and service HTTP application GOOGLE-GEN by rule 4 of rulebase-exempt IPS in policy Space-IPS-Policy. attack: id=1555, repeat=0, action=NONE, threat-severity=HIGH, name=HTTP:INVALID:MSNG-HTTP-VER, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:untrust:xe-0/0/0.0->trust:xe-0/0/1.0, alert=yes, username=N/A, roles=N/A, xff-header=N/A, cve-id=2022-21907, session-id=42
Exemple : Définition de règles pour une base de règles exemptée de PCI
Cet exemple montre comment définir des règles pour une base de règles IDP exemptée.
Exigences
Avant de commencer, créez des règles dans la base de règles IPS IDP. Reportez-vous à la section Exemple : Définition de règles pour une base de règles IPS IDP.
Aperçu
Lorsque vous créez une règle d’exemption, vous devez spécifier les éléments suivants :
Source et destination du trafic que vous souhaitez exempter. Vous pouvez définir la source ou la destination sur
Anypour exempter le trafic réseau provenant de n’importe quelle source ou envoyé vers n’importe quelle destination. Vous pouvez également définirsource-exceptoudestination-exceptspécifier toutes les sources ou destinations, à l’exception des adresses source ou de destination spécifiées.Note:Vous pouvez maintenant spécifier
source-addressetsource-exceptadresses quandfrom-zoneestany. De même, lorsqueto-zoneestany, vous pouvez spécifierdestination-addressetdestination-exceptadresses.Les attaques que vous souhaitez que l’IDP exempte pour les adresses source/destination spécifiées. Vous devez inclure au moins un objet d’attaque dans une règle exemptée.
Cet exemple montre que la stratégie IDP génère des faux positifs pour l’attaque FTP :USER :ROOT sur un réseau interne. Vous configurez la règle afin d’exempter la détection des attaques de cette attaque lorsque l’adresse IP source provient de votre réseau interne.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour définir des règles pour une base de règles IDP exemptée :
Spécifiez la base de règles IPS IDP pour laquelle vous souhaitez définir et exempter la base de règles.
[edit] user@host# edit security idp idp-policy base-policy
Associez la base de règles exemptée à la stratégie et aux zones, puis ajoutez une règle à la base de règles.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
Spécifiez les adresses source et de destination de la base de règles.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
Spécifiez les attaques que vous souhaitez exclure de la détection des attaques.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
Activez la stratégie.
[edit] user@host# set security idp active-policy base-policy
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-exempt {
rule R1 {
match {
from-zone trust;
source-address internal-devices;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
}
}
active-policy base-policy;
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Comprendre les règles du terminal IDP
L’algorithme de correspondance de règles de détection et prévention d’intrusion (IDP) commence par le haut de la base de règles et compare le trafic à toutes les règles de la base de règles qui correspondent à la source, à la destination et au service. Toutefois, vous pouvez configurer une règle pour qu’elle soit terminale. Une règle de terminal est une exception à cet algorithme. Lorsqu’une correspondance est découverte dans une règle de terminal pour la source, la destination, les zones et l’application, IDP ne continue pas à vérifier les règles suivantes pour la même source, la même destination et la même application. Peu importe que le trafic corresponde ou non aux objets d’attaque de la règle de correspondance.
Vous pouvez utiliser une règle de terminal aux fins suivantes :
Pour définir différentes actions pour différentes attaques pour la même source et la même destination.
Ignorer le trafic provenant d’une source de confiance connue. En règle générale, l’action concerne
Nonece type de règle terminale.Ignorer le trafic envoyé à un serveur qui n’est vulnérable qu’à un ensemble spécifique d’attaques. En règle générale, l’action concerne
Drop Connectionce type de règle terminale.
Soyez prudent lorsque vous définissez des règles de terminal. Une règle de terminal inappropriée peut exposer votre réseau aux attaques. N’oubliez pas que le trafic correspondant à la source, à la destination et à l’application d’une règle de terminal n’est pas comparé aux règles suivantes, même s’il ne correspond pas à un objet d’attaque dans la règle de terminal. Utilisez une règle de terminal uniquement lorsque vous souhaitez examiner un certain type de trafic à la recherche d’un ensemble spécifique d’objets d’attaque. Faites particulièrement attention aux règles de terminal qui s’appliquent any à la fois à la source et à la destination. Les règles de terminal doivent apparaître près du haut de la base de règles avant les autres règles qui correspondraient au même trafic.
Exemple : Définition de règles de terminal dans des bases de règles
Cet exemple montre comment configurer les règles de terminal.
Exigences
Avant de commencer :
Configurez les interfaces réseau.
Activez les services applicatifs IDP dans une stratégie de sécurité.
Créez des zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Définissez des règles. Reportez-vous à la section Exemple : Insertion d’une règle dans la base de règles IDP .
Aperçu
Par défaut, les règles de la base de règles IDP ne sont pas terminales, ce qui signifie qu’IDP examine toutes les règles de la base de règles et exécute toutes les correspondances. Vous pouvez spécifier qu’une règle est terminale ; En d’autres termes, si IDP rencontre une correspondance pour la source, la destination et le service spécifiés dans une règle de terminal, il n’examine pas les règles ultérieures pour cette connexion.
Cet exemple montre comment configurer les règles de terminal. Vous définissez la règle R2 pour mettre fin à l’algorithme de correspondance si l’adresse IP source du trafic provient d’un réseau de confiance connu dans votre entreprise. Si cette règle correspond, IDP ignore le trafic provenant du réseau approuvé et ne surveille pas la session à la recherche de données malveillantes.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vousà la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer les règles de terminal :
Créez une stratégie IDP.
[edit] user@host# set security idp idp-policy base-policy
Définissez une règle et définissez ses critères de correspondance.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
Définissez l’indicateur de terminal de la règle.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
Spécifiez les attaques que vous souhaitez exclure de la détection des attaques.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
Spécifiez une action pour la règle.
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R2 {
match {
source-address internal;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
recommended;
}
}
terminal;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Comprendre les règles DSCP dans les stratégies IDP
Le DSCP (Differentiated Services Code Point) est une valeur entière encodée dans le champ 6 bits défini dans les en-têtes de paquets IP. Il permet d’appliquer des distinctions de classe de service (CoS). CoS vous permet de remplacer le comportement de transfert de paquets par défaut et d’attribuer des niveaux de service à des flux de trafic spécifiques.
Vous pouvez configurer la valeur DSCP en tant qu’action dans une règle de stratégie IDP. Vous définissez d’abord le trafic en définissant des conditions de correspondance dans la stratégie IDP, puis vous y associez une action de marquage DiffServ. En fonction de la valeur DSCP, les classificateurs d’agrégats de comportement définissent la classe de transfert et la priorité de perte pour le trafic, décidant du traitement de transfert qu’il reçoit.
Le champ CoS dans l’en-tête IP de tous les paquets qui correspondent à la règle de stratégie IDP est réécrit avec la valeur DSCP spécifiée dans la stratégie de correspondance. Si le trafic correspond à plusieurs règles avec des valeurs DSCP différentes, la première règle IDP correspondante prend effet et cette règle IDP s’applique alors à l’ensemble du trafic de cette session.
Exemple : Configuration de règles DSCP dans une stratégie IDP
Cet exemple montre comment configurer les valeurs DSCP dans une stratégie IDP.
Exigences
Avant de commencer :
Configurer les interfaces réseau
Activer les services applicatifs IDP dans une stratégie de sécurité
Créer des zones de sécurité
Définir des règles
Aperçu
La configuration de valeurs DSCP dans les stratégies IDP permet d’associer des valeurs CoS, donc différents niveaux de fiabilité, à différents types de trafic sur le réseau.
Cet exemple montre comment créer une stratégie appelée stratégie1, spécifier une base de règles pour cette stratégie, puis ajouter la règle R1 à cette base de règles. Dans cet exemple, la règle R1 :
Spécifie la condition de correspondance afin d’inclure tout trafic provenant d’une zone précédemment configurée appelée trust vers une autre zone précédemment configurée appelée untrust. La condition de correspondance inclut également un groupe d’attaques prédéfini appelé HTTP - Critique. Le paramètre d’application dans la condition de correspondance est spécifié par défaut et correspond à toute application configurée dans l’objet d’attaque.
Spécifie une action permettant de réécrire le champ CoS dans l’en-tête IP avec la valeur DSCP 50 pour tout trafic qui correspond aux critères de la règle R1.
Note:Utilisez la commande
show security idp attack attack-list recursive predefined-group "HTTP - Critical"pour voir le détail de ce qui est inclus dans le groupe prédéfini « HTTP - Critical ».
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer des valeurs DSCP dans une stratégie IDP :
Créez une stratégie en lui attribuant un nom significatif.
[edit] user@host# edit security idp idp-policy base-policy
Associez une base de règles à la stratégie.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
Ajoutez des règles à la base de règles.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
Définissez les critères de correspondance de la règle.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
Spécifiez une action pour la règle.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
Continuez à spécifier les options de notification ou de journalisation de la règle, si nécessaire.
Activez la stratégie.
[edit] user@host# set security idp active-policy base-policy
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy base-policy{
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups HTTP-Critical;
}
}
then {
action {
mark-diffserv {
50;
}
}
}
}
}
active-policy base-policy;
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.