Comprendre la base de données de signatures IDP pour la migration
La base de données de signatures est l’un des composants majeurs du système de prévention d’intrusion (IPS). Il contient les définitions de différents objets, tels que les objets d’attaque, les objets de signature d’application et les objets de service, qui sont utilisés pour définir les règles de stratégie IDP.
Pour plus d’informations, consultez les rubriques suivantes :
Présentation de la base de données de signatures IPS
La base de données de signatures est l’un des composants majeurs du système de prévention d’intrusion (IPS). Il contient les définitions de différents objets, tels que les objets d’attaque, les objets de signature d’application et les objets de service, qui sont utilisés pour définir les règles de stratégie IDP. En réponse aux nouvelles vulnérabilités, Juniper Networks fournit périodiquement un fichier contenant les mises à jour de la base de données d’attaque sur le site Web de Juniper Networks. Vous pouvez télécharger ce fichier pour protéger votre réseau contre les nouvelles menaces.
IPS n’a pas besoin d’une licence distincte pour fonctionner en tant que service sur le pare-feu SRX Series ; cependant, une licence est requise pour les mises à jour IPS. Les attaques personnalisées et les groupes d’attaques personnalisés dans les stratégies IDP peuvent également être configurés et installés même si aucune base de données de licences et de signatures valides n’est installée sur l’appareil.
La base de données de signatures IPS est stockée sur l’appareil compatible IPS et contient des définitions d’objets et de groupes d’attaque prédéfinis. Ces objets et groupes d’attaque sont conçus pour détecter les modèles d’attaque connus et les anomalies de protocole au sein du trafic réseau. La base de données de signatures IPS comprend plus de 5000 signatures et plus de 1200 anomalies de protocole.
Les mises à jour IPS et les mises à jour de package de signatures d’applications font l’objet d’un service d’abonnement sous licence distincte. Vous devez installer la clé de licence de base de données de signature IPS sur votre équipement pour télécharger et installer les mises à jour quotidiennes de la base de données de signatures à partir du site Web de Juniper Networks. La clé de licence de signature IPS ne prend pas en charge la période de grâce.
Si vous avez besoin à la fois des fonctionnalités AppSecure et IPS, vous devez installer la licence de signature d’application en plus de la clé de licence IPS signature-database-update.
La base de données de signatures comprend les éléments suivants :
Moteur de détection : le moteur de détection IDP est un décodeur de protocole dynamique qui prend en charge le décodage de plus de 60 protocoles et de plus de 500 contextes de service. Vous pouvez télécharger les mises à jour du moteur du détecteur de protocole ainsi que les mises à jour de la base de données de signatures.
Base de données d’attaque : la base de données de signatures d’attaque stocke les définitions de données pour les objets d’attaque et les groupes d’objets d’attaque. Les objets d’attaque sont constitués de signatures dynamiques et d’anomalies de trafic. Vous spécifiez les objets d’attaque dans les règles de base de règles IDP. De nouvelles attaques sont découvertes quotidiennement, il est donc important de maintenir votre base de données de signatures à jour. Vous pouvez télécharger les mises à jour de la base de données d’attaques sur le site Web de Juniper Networks.
Base de données de signatures d’application : la base de données de signatures d’application stocke les définitions de données des objets d’application. Les objets Application sont des modèles utilisés pour identifier les applications qui s’exécutent sur des ports standard ou non standard.
Nous vous recommandons d’utiliser la dernière version de la base de données de signatures afin de disposer d’une base de données d’attaques à jour.
Voir aussi
Gestion de la base de données de signatures IPS (CLI)
Cet exemple montre comment installer et planifier les mises à jour de la base de données de signatures à l’aide de l’interface de ligne de commande.
- Exigences
- Aperçu
- Configuration
- Téléchargement et installation du package de signature IPS d’une ancienne version de Junos OS vers une version plus récente de Junos OS
- Vérification
Exigences
Avant d’installer les mises à jour de la base de données de signatures, assurez-vous d’avoir installé une clé de licence IPS.
Aperçu
La gestion de la base de données de signatures IPS comprend les tâches suivantes :
Mettre à jour la base de données de signatures : téléchargez les mises à jour de la base de données d’attaques disponibles sur le site Web de Juniper Networks. De nouvelles attaques sont découvertes quotidiennement, il est donc important de maintenir votre base de données de signatures à jour.
Vérifier la version de la base de données de signatures : chaque base de données de signatures a un numéro de version différent, la dernière base de données ayant le numéro le plus élevé. Vous pouvez utiliser l’interface de ligne de commande pour afficher la version de la base de données de signatures.
Mettre à jour le moteur du détecteur de protocoles : vous pouvez télécharger les mises à jour du moteur du détecteur de protocoles avec la base de données de signatures. Le détecteur de protocole IPS contient des décodeurs de protocole de la couche applicative. Le détecteur est couplé à la politique IDP et est mis à jour ensemble. Il est toujours nécessaire au moment de la mise à jour de la stratégie, même s’il n’y a pas de changement dans le détecteur.
Planifier les mises à jour de la base de données de signatures : vous pouvez configurer l’appareil compatible IPS pour qu’il mette automatiquement à jour la base de données de signatures après un intervalle défini.
Configuration
- Téléchargement et installation du package de signature IPS
- Vérification de la version de la base de données de signatures
- Planification des mises à jour de la base de données de signatures
Téléchargement et installation du package de signature IPS
Procédure étape par étape
De nouvelles attaques sont découvertes quotidiennement, il est donc important de maintenir votre base de données de signatures à jour. Dans cet exemple, vous téléchargez puis installez le dernier package de signatures à partir du serveur de base de données de signatures :
Téléchargez les mises à jour de la base de données d’attaques disponibles sur le site Web de Juniper Networks :
user@host>request security idp security-package download
Par défaut, lorsque vous téléchargez le package de sécurité, vous téléchargez les composants suivants dans un dossier intermédiaire de votre appareil : la dernière version de la table complète des groupes d’objets d’attaque, la table des objets d’application et les mises à jour du moteur de détection IPS. Étant donné que la table des objets d’attaque est généralement très volumineuse, par défaut, le système ne télécharge que les mises à jour de la table des objets d’attaque. Cependant, vous pouvez télécharger le tableau complet des objets d’attaque à l’aide de l’option
full-updatede configuration.Vérifiez l’état de téléchargement du package de sécurité :
user@host>request security idp security-package download status
Lors d’un téléchargement réussi, le message suivant s’affiche :
Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi). Version info:1884(Thu Mar 17 12:06:35 2011, Detector=11.4.140110223)
Après avoir téléchargé le package de sécurité, vous devez l’installer pour mettre à jour la base de données de sécurité avec les mises à jour nouvellement téléchargées à partir du dossier Staging de votre appareil. Installez le package de sécurité :
user@host>request security idp security-package install
Vérifiez l’état de l’installation :
user@host>request security idp security-package install status
En cas d’installation réussie, le message suivant s’affiche :
Done;Attack DB update: successful - [UpdateNumber=1884,ExportDate=Thu Mar 17 12:06:35 2011,Detector=11.4.140110223] Updating control-plane with new detector: successful Updating data-plane with new attack or detector: successful
Vérification de la version de la base de données de signatures
Procédure étape par étape
Chaque base de données de signatures a un numéro de version différent, la base de données la plus récente ayant le numéro le plus élevé.
Utilisez l’interface de ligne de commande pour vérifier la version de la base de données de signatures installée :
user@host>show security idp security-package version
L’exemple de sortie suivant montre le numéro de version du package de signature :
user@host> show security idp security-package-version Attack database version:1883(Wed Mar 16 12:10:26 2011) Detector version :12.6.140121210 Policy template version :N/A
Planification des mises à jour de la base de données de signatures
Procédure étape par étape
Vous pouvez configurer un périphérique compatible IPS pour qu’il mette automatiquement à jour la base de données de signatures après un intervalle défini. Après la configuration manuelle initiale, nous vous recommandons de planifier les mises à jour des signatures afin de toujours être protégé contre les nouvelles vulnérabilités.
Pour planifier le téléchargement du package de signature, à partir du mode configuration, spécifiez l’heure de début et l’intervalle de téléchargement :
user@host>set security idp security-package automatic interval interval start-time <YYYY-MM-DD.HH:MM:SS>
Par exemple, pour planifier le téléchargement de la signature toutes les 72 heures, vous utilisez la configuration suivante :
user@host>set security idp security-package automatic interval 72 start-time
Téléchargement et installation du package de signature IPS d’une ancienne version de Junos OS vers une version plus récente de Junos OS
Procédure
Procédure étape par étape
À partir de Junos OS version 17.3, lorsque vous effectuez une mise à niveau de Junos OS version 12.3X48 ou 15.1X49 vers Junos OS version 17.3 ou une rétrogradation de Junos OS version 17.3 vers Junos OS version 12.3X48 ou 15.1X49, vous devez mettre à jour le package de signatures IPS en téléchargeant et en installant la mise à jour du package de signatures IPS.
Nous vous recommandons d’effectuer la mise à jour du package de signatures IPS, car si le téléchargement précédent du package de signatures IPS avant une mise à niveau ou une rétrogradation comportait une mise à jour incrémentielle ou décrémentielle, la réinstallation du package de signatures IPS, sans télécharger à nouveau le package de signatures IPS, met à jour le package de signatures IPS avec uniquement les attaques incrémentielles du dernier téléchargement et ne contient aucune attaque de la version de base. Par conséquent, pour éviter tout échec de configuration de validation IDP, mettez à jour le package de signature IPS.
La procédure suivante montre comment télécharger et installer un package de signatures IPS et le mettre à jour d’une ancienne version de Junos OS vers une version plus récente de Junos OS :
Effectuez une mise à jour complète de la version du package de sécurité.
user@host>request security idp security-package download full-update
Par défaut, lorsque vous téléchargez le package de sécurité, vous téléchargez les composants suivants dans un dossier intermédiaire de votre appareil : la dernière version de la table complète des groupes d’objets d’attaque, la table des objets d’application et les mises à jour du moteur de détection IPS. Étant donné que la table des objets d’attaque est généralement très volumineuse, par défaut, le système ne télécharge que les mises à jour de la table des objets d’attaque.
Vérifiez l’état de téléchargement du package de sécurité.
user@host> request security idp security-package download status
Lors d’un téléchargement réussi, le message suivant s’affiche :
user@host # run request security idp security-package download status Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2762(Tue Jul 26 22:26:57 2016 UTC, Detector=12.6.130160603)
Installez le package de sécurité pour mettre à jour la base de données de sécurité avec les mises à jour nouvellement téléchargées à partir du dossier Staging de votre appareil.
user@host> request security idp security-package install
Vérifiez l’état de l’installation.
user@host> request security idp security-package install status
En cas d’installation réussie, le message suivant s’affiche :
user@host # run request security idp security-package install status Done;Attack DB update : successful - [UpdateNumber=2771,ExportDate=Tue Aug 23 21:57:18 2016 UTC,Detector=12.6.130160603] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successfulNote:Lorsque vous effectuez une mise à niveau de Junos OS version 15.1X49 vers Junos OS version 17.3, le message d’avertissement suivant s’affiche :
WARNING: A full install of the security package is required after reboot. WARNING: Please perform a full update of the security package using WARNING: "request security idp security-package download full-update" WARNING: followed by WARNING: "request security idp security-package install"
Gestion de la base de données de signatures IPS (Security Director)
Cet exemple montre comment installer et planifier les mises à jour de la base de données de signatures à l’aide de Junos Space Security Director.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series
Avant d’installer les mises à jour de la base de données de signatures, assurez-vous que vous disposez des éléments suivants :
Installation d’une clé de licence IPS - effectué.
Aperçu
La base de données de signatures IPS peut être mise à jour à l’aide de la CLI ou de Junos Space Security Director. Les pare-feu SRX Series peuvent être entièrement gérés à partir de l’interface de ligne de commande. Toutefois, pour les scénarios de déploiement à grande échelle qui utilisent plusieurs pare-feu SRX Series, il est plus facile de gérer le package de sécurité à l’aide d’une plate-forme de gestion.
Configuration
- Téléchargement et installation du package de signature IPS
- Vérification de la version de la base de données de signatures
- Planification des mises à jour de la base de données de signatures
Téléchargement et installation du package de signature IPS
Procédure étape par étape
Dans cet exemple, vous téléchargez puis installez le dernier package de signatures à partir du serveur de base de données de signatures :
Accédez à Security Director->Downloads->Signature Database.
Choisissez le package de signature répertorié comme le plus récent et sélectionnez Action>Download pour télécharger le package de signature sur Security Director.
user@host>request security idp security-package download
Par défaut, lorsque vous téléchargez le package de sécurité, vous téléchargez les composants suivants dans un dossier intermédiaire de votre appareil : la dernière version de la table complète des groupes d’objets d’attaque, la table des objets d’application et les mises à jour du moteur de détection IPS. Étant donné que la table des objets d’attaque est généralement très volumineuse, par défaut, le système ne télécharge que les mises à jour de la table des objets d’attaque. Cependant, vous pouvez télécharger le tableau complet des objets d’attaque à l’aide de l’option
full-updatede configuration.Vérifiez l’état de téléchargement du package de sécurité :
user@host>request security idp security-package download status
Lors d’un téléchargement réussi, le message suivant s’affiche :
Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi). Version info:1884(Thu Mar 17 12:06:35 2011, Detector=11.4.140110223)
Après avoir téléchargé le package de sécurité, vous devez l’installer pour mettre à jour la base de données de sécurité avec les mises à jour nouvellement téléchargées à partir du dossier Staging de votre appareil. Installez le package de sécurité :
user@host>request security idp security-package install
Vérifiez l’état de l’installation :
user@host>request security idp security-package install status
En cas d’installation réussie, le message suivant s’affiche :
Done;Attack DB update: successful - [UpdateNumber=1884,ExportDate=Thu Mar 17 12:06:35 2011,Detector=11.4.140110223] Updating control-plane with new detector: successful Updating data-plane with new attack or detector: successful
Vérification de la version de la base de données de signatures
Procédure étape par étape
Chaque base de données de signatures a un numéro de version différent, la base de données la plus récente ayant le numéro le plus élevé.
Utilisez l’interface de ligne de commande pour vérifier la version de la base de données de signatures installée :
user@host>show security idp security-package version
L’exemple de sortie suivant montre le numéro de version du package de signature :
user@host> show security idp security-package-version Attack database version:1883(Wed Mar 16 12:10:26 2011) Detector version :12.6.140121210 Policy template version :N/A
Planification des mises à jour de la base de données de signatures
Procédure étape par étape
Vous pouvez configurer un périphérique compatible IPS pour qu’il mette automatiquement à jour la base de données de signatures après un intervalle défini. Après la configuration manuelle initiale, nous vous recommandons de planifier les mises à jour des signatures afin de toujours être protégé contre les nouvelles vulnérabilités.
Pour planifier le téléchargement du package de signature, à partir du mode configuration, spécifiez l’heure de début et l’intervalle de téléchargement :
user@host>set security idp security-package automatic interval interval start-time <YYYY-MM-DD.HH:MM:SS>
Par exemple, pour planifier le téléchargement de la signature toutes les 72 heures, vous utilisez la configuration suivante :
user@host>set security idp security-package automatic interval 72 start-time
Exemple : Mise à jour manuelle de la base de données de signatures IPS
Cet exemple montre comment mettre à jour manuellement la base de données de signatures IPS.
Exigences
Avant de commencer, configurez les interfaces réseau.
Aperçu
Juniper Networks met régulièrement à jour la base de données d’attaques prédéfinies et la met à disposition sous forme de package de sécurité sur le site Web de Juniper Networks. Cette base de données comprend des objets d’attaque et des groupes d’objets d’attaque que vous pouvez utiliser dans les stratégies IDP pour faire correspondre le trafic aux attaques connues.
Dans cet exemple, vous téléchargez le package de sécurité avec le tableau complet des objets d’attaque et des groupes d’objets d’attaque. Une fois l’installation terminée, les objets d’attaque et les groupes d’objets d’attaque sont disponibles dans l’interface de ligne de commande sous les instructions de predefined-attack-groups configuration et predefined-attacks au niveau de la [edit security idp idp-policy] hiérarchie. Vous créez une stratégie et spécifiez la nouvelle stratégie en tant que stratégie active. Vous téléchargez uniquement les mises à jour récemment téléchargées par Juniper Networks, puis mettez à jour la base de données d’attaque, la stratégie en cours et le détecteur de protocole IPS avec ces nouvelles mises à jour.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
La configuration rapide de l’interface de ligne de commande n’est pas disponible dans cet exemple, car une intervention manuelle est nécessaire lors de la configuration.
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour télécharger et mettre à jour manuellement la base de données de signatures :
Spécifiez l’URL du package de sécurité.
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Note:Par défaut, il prendra l’URL comme https://signatures.juniper.net/cgi-bin/index.cgi.
Validez la configuration.
[edit] user@host# commit
Passez en mode opérationnel.
[edit] user@host# exit
Téléchargez le package de sécurité.
user@host>request security idp security-package download full-update
Vérifiez l’état de téléchargement du package de sécurité.
user@host>request security idp security-package download status
Mettez à jour la base de données d’attaque à l’aide de la
installcommande.user@host>request security idp security-package install
Vérifiez l’état de mise à jour de la base de données d’attaque à l’aide de la commande suivante. La sortie de la commande affiche des informations sur les versions téléchargées et installées des versions de base de données d’attaque.
user@host>request security idp security-package install status
Passez en mode configuration.
user@host>configure
Créez une stratégie IDP.
[edit ] user@host#edit security idp idp-policy policy1
Associez des objets d’attaque ou des groupes d’objets d’attaque à la stratégie.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
Définir l’action.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
Activez la stratégie.
[edit] user@host#set security idp active-policy policy1
Validez la configuration.
[edit] user@host# commit
À l’avenir, si vous souhaitez télécharger le package de signature, téléchargez uniquement les mises à jour récemment téléchargées par Juniper Networks.
user@host>request security idp security-package download
Vérifiez l’état de téléchargement du package de sécurité.
user@host>request security idp security-package download status
Mettez à jour la base de données des attaques, la stratégie active et le détecteur avec les nouvelles modifications.
user@host>request security idp security-package install
Vérifiez la base de données des attaques, la stratégie active et le détecteur.
user@host>request security idp security-package install status
Note:Il est possible qu’une attaque ait été supprimée de la nouvelle version d’une base de données d’attaques. Si cette attaque est utilisée dans une stratégie existante sur votre appareil, l’installation de la nouvelle base de données échouera. Un message d’état de l’installation identifie l’attaque qui n’est plus valide. Pour mettre à jour la base de données avec succès, supprimez toutes les références à l’attaque supprimée de vos stratégies et groupes existants, puis réexécutez la commande install.
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Exemple : Téléchargement et installation du package de signature IPS en mode cluster de châssis
Cet exemple montre comment télécharger et installer la base de données de signatures IPS sur un périphérique fonctionnant en mode cluster de châssis.
Exigences
Avant de commencer, définissez l’ID de nœud de cluster de châssis et l’ID de cluster. Reportez-vous à la section Exemple : Définition de l’ID de nœud et de l’ID de cluster pour les périphériques de sécurité d’un cluster de châssis .
Aperçu
Le package de sécurité pour la détection et la prévention des intrusions (IDP) contient une base de données d’objets d’attaque IDP prédéfinis et de groupes d’objets d’attaque IDP que vous pouvez utiliser dans les stratégies IDP pour faire correspondre le trafic avec des attaques connues et inconnues. Juniper Networks met régulièrement à jour les objets et groupes d’attaque prédéfinis en fonction des nouveaux modèles d’attaque.
Pour mettre à jour la base de données de signatures, vous devez télécharger un package de sécurité à partir du site Web de Juniper Networks. Après avoir téléchargé le package de sécurité, vous devez l’installer pour mettre à jour la base de données de sécurité avec les mises à jour nouvellement téléchargées à partir du dossier Staging de votre appareil.
Sur les pare-feu SRX Series de succursales, si l’utilisation de la mémoire de votre périphérique est élevée sur le plan de contrôle, le chargement d’une stratégie IDP volumineuse peut entraîner un manque de mémoire de l’équipement. Cela peut déclencher un redémarrage du système lors de la mise à jour du package de sécurité IPS.
Lorsque vous téléchargez le package de sécurité IPS sur un périphérique fonctionnant en mode cluster de châssis, le package de sécurité est téléchargé sur le noeud principal, puis synchronisé avec le noeud secondaire. Cette synchronisation permet de conserver la même version du package de sécurité sur le nœud principal et le nœud secondaire.
Téléchargement et installation de la base de données de signatures IPS
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Spécifiez l’URL du package de sécurité.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Passez en mode opérationnel.
[edit] user@host# exit
Téléchargez le package de sécurité IPS sur le noeud principal (téléchargez-le dans le dossier var/db/idpd/sec-download ).
{primary:node0}[edit] user@host> request security idp security-package downloadLe message suivant s’affiche :
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
Vérifiez l’état de téléchargement du package de sécurité.
{primary:node0}[edit] user@host> request security idp security-package download statusEn cas de téléchargement réussi, le message suivant s’affiche.
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
Mettez à jour la base de données d’attaque à l’aide de la
installcommande.user@host> request security idp security-package install
Vérifiez l’état de mise à jour de la base de données d’attaque. La sortie de la commande affiche des informations sur les versions téléchargées et installées de la base de données d’attaque.
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.Note:Vous devez télécharger le package de signatures IPS sur le noeud principal. De cette façon, le package de sécurité est synchronisé sur le nœud secondaire. Les tentatives de téléchargement du package de signatures sur le nœud secondaire échoueront.
Si vous avez configuré un téléchargement planifié pour les packages de sécurité, les fichiers du package de signatures sont automatiquement synchronisés du nœud principal vers le nœud de sauvegarde.