SUR CETTE PAGE
Présentation des fonctionnalités IDP dans les systèmes logiques
Exemple : configuration d’une stratégie IDP pour les systèmes logiques principaux
Exemple : Activation d’IDP dans une stratégie de Sécurité du système logique d’utilisateur
Exemple : configuration d’une stratégie IDP pour un système logique utilisateur
IDP pour les systèmes logiques
Une stratégie de détection et de prévention des intrusions (IDP) dans les systèmes logiques vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau passant par votre gamme SRX Series. Les modèles SRX Series offrent le même ensemble de signatures IDP que celles disponibles sur les appliances de détection et de prévention d’intrusion IDP Series de Juniper Networks pour sécuriser les réseaux contre les attaques. Pour plus d’informations, consultez les rubriques suivantes :
Présentation de l’IDP dans les systèmes logiques
Une politique de détection et de prévention des intrusions (IDP) de Junos OS vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau passant par un système logique.
Cette rubrique comprend les sections suivantes :
Politiques IDP
L’administrateur principal configure les stratégies d’IDP à la racine. La configuration d’une stratégie IDP pour les systèmes logiques est similaire à la configuration d’une stratégie IDP sur un appareil qui n’est pas configuré pour les systèmes logiques. Cela peut inclure la configuration d’objets d’attaque personnalisés.
Les modèles de stratégie IDP installés dans le système logique racine sont visibles et utilisés par tous les systèmes logiques.
L’administrateur principal spécifie ensuite une stratégie IDP dans le profil de sécurité liée à un système logique. Pour activer l’IDP dans un système logique, l’administrateur principal ou l’administrateur du système logique utilisateur configure une stratégie de sécurité qui définit le trafic à inspecter et spécifie l’action permit application-services idp .
Bien que l’administrateur principal puisse configurer plusieurs stratégies IDP, un système logique ne peut avoir qu’une seule stratégie IDP active à la fois. Pour les systèmes logiques utilisateur, l’administrateur principal peut lier la même stratégie IDP à plusieurs systèmes logiques utilisateur ou lier une stratégie IDP unique à chaque système logique utilisateur. Pour spécifier la stratégie IDP active pour le système logique principal, l’administrateur principal peut soit référencer la stratégie IDP dans le profil de sécurité lié au système logique principal, soit utiliser l’instruction active-policy de configuration au niveau de la hiérarchie [edit security idp].
L’administrateur racine configure le nombre maximal de sessions IDP réservées pour un système logique racine et utilisateur. Le nombre de sessions IDP autorisées pour un système logique racine est défini à l’aide de la commande set security idp max-sessions max-sessions et le nombre de sessions IDP autorisées pour un système logique utilisateur est défini à l’aide de la commande set security idp logical-system logical-system max-sessions max-sessions .
Une erreur de validation est générée si une stratégie IDP est configurée dans le profil de sécurité lié au système logique principal et spécifiée avec l’instruction de active-policy configuration. Utilisez une seule méthode pour spécifier la stratégie IDP active pour le système logique principal.
Si vous avez configuré plusieurs stratégies IDP dans une stratégie de sécurité, la configuration de la stratégie IDP par défaut est obligatoire.
Une configuration de stratégie IDP par défaut est prise en charge lorsque plusieurs stratégies IDP sont disponibles. La stratégie IDP par défaut est l’une des nombreuses stratégies IDP. Pour plus d’informations sur la configuration de plusieurs stratégies IDP et de la stratégie IDP par défaut, consultez la section Sélection de stratégies IDP pour les stratégies unifiées.
L’administrateur du système logique effectue les actions suivantes :
Configurez plusieurs stratégies d’IDP et attachez-les aux politiques de pare-feu à utiliser par les systèmes logiques de l’utilisateur. Si la stratégie IDP n’est pas configurée pour un système logique utilisateur, la stratégie IDP par défaut configurée par l’administrateur principal est utilisée. La stratégie d’IDP est liée aux systèmes logiques de l’utilisateur par le biais d’une stratégie de sécurité des systèmes logiques.
Créer ou modifier des stratégies IDP pour leurs systèmes logiques utilisateur. Les stratégies d’IDP sont liées aux systèmes logiques des utilisateurs. Lorsqu’une stratégie IDP est modifiée et que la validation réussit, les sessions existantes mappées à la stratégie active actuelle continuent d’utiliser l’ancienne stratégie combinée IDP. Lorsqu’une stratégie IDP est modifiée et que la validation échoue, seul l’utilisateur du système logique qui a initié la modification de validation est averti de l’échec de la validation.
Le système logique peut créer des zones de sécurité dans le système logique utilisateur et affecter des interfaces à chaque zone de sécurité. Les zones spécifiques aux systèmes logiques utilisateur ne peuvent pas être référencées dans les stratégies IDP configurées par l’administrateur principal. L’administrateur principal peut référencer des zones du système logique principal dans une stratégie IDP configurée pour le système logique principal.
Affichez les statistiques d’attaque détectées, les compteurs IDP, la table des attaques et l’état de validation de la stratégie par chaque système logique à l’aide des commandes
show security idp counters, ,show security idp policy-commit-statusshow security idp attack tableshow security idp policies, et .show security idp security-package-version
Limitation
Lorsqu’une stratégie IDP est modifiée et compilée dans un système logique utilisateur spécifique, cette modification est considérée comme une modification de stratégie globale unique et compilée pour toutes les stratégies de tous les systèmes logiques.
Installation et licences IDP pour les systèmes logiques
Une licence idp-sig doit être installée au niveau racine. Une fois qu’IDP est activé au niveau racine, il peut être utilisé avec n’importe quel système logique de l’appareil.
Un seul package de sécurité IDP est installé pour tous les systèmes logiques de l’appareil au niveau racine. Les options de téléchargement et d’installation ne peuvent être exécutées qu’au niveau racine. La même version de la base de données d’attaques IDP est partagée par tous les systèmes logiques.
Voir aussi
Présentation des fonctionnalités IDP dans les systèmes logiques
Cette rubrique comprend les sections suivantes :
- Bases de règles
- Décodeurs de protocole
- SSL Inspection
- Mode de tapotement en ligne
- Multi-détecteurs
- Journalisation et surveillance
Bases de règles
Une seule stratégie IDP ne peut contenir qu’une seule instance de tout type de base de règles. Les bases de règles IDP suivantes sont prises en charge pour les systèmes logiques :
La base des règles du système de prévention des intrusions (IPS) utilise des objets d’attaque pour détecter les attaques connues et inconnues. Il détecte les attaques en fonction d’une signature dynamique et d’anomalies de protocole.
La base de règles du déni de service distribué (DDoS) au niveau de l’application définit des paramètres pour protéger les serveurs tels que DNS ou HTTP. La base de règles DDoS au niveau de l’application définit la condition de correspondance source pour le trafic qui doit être surveillé et entreprend une action, telle que l’interruption de la connexion, l’abandon du paquet ou l’absence d’action. Il peut également effectuer des actions sur les futures connexions qui utilisent la même adresse IP.
La surveillance de l’état des IPS et des DDoS au niveau de l’application est globale à l’équipement et non par système logique.
Décodeurs de protocole
Le module Junos IDP est livré avec un ensemble de décodeurs de protocole préconfigurés. Ces décodeurs de protocole ont des paramètres par défaut pour diverses vérifications contextuelles spécifiques au protocole qu’ils effectuent. La configuration du décodeur de protocole IDP est globale et s’applique à tous les systèmes logiques. Seul l’administrateur principal au niveau racine peut modifier les paramètres au niveau de la hiérarchie [edit security idp sensor-configuration].
SSL Inspection
L’inspection SSL de l’IDP utilise la suite de protocoles SSL (Secure Sockets Layer) pour permettre l’inspection du trafic HTTP chiffré en SSL.
La configuration de l’inspection SSL est globale et s’applique à tous les systèmes logiques d’un appareil. L’inspection SSL ne peut être configurée que par l’administrateur principal au niveau racine avec l’instruction ssl-inspection de configuration au niveau de la hiérarchie [edit security idp sensor-configuration].
Mode de tapotement en ligne
La fonctionnalité de mode de contact en ligne permet de détecter passivement et en ligne les menaces de la couche applicative pour le trafic correspondant aux stratégies de sécurité sur lesquelles le service applicatif IDP est activé. Lorsqu’un équipement est en mode « inline tap », les paquets passent par l’inspection du pare-feu et sont également copiés vers le module IDP indépendant. Les paquets peuvent ainsi être acheminés vers le module de service suivant sans attendre les résultats du traitement IDP.
Le mode de tapotement en ligne est activé ou désactivé pour tous les systèmes logiques au niveau racine par l’administrateur principal. Pour activer le mode de tapotement en ligne, utilisez l’instruction de inline-tap configuration au niveau de la hiérarchie [edit security forwarding-process application-services maximize-idp-sessions]. Supprimez la configuration du mode de toucher en ligne pour revenir en mode normal.
L’appareil doit être redémarré lors du passage en mode tap en ligne ou du retour en mode normal.
Multi-détecteurs
Lorsqu’un nouveau package de sécurité IDP est reçu, il contient des définitions d’attaque et un détecteur. Une fois qu’une nouvelle stratégie est chargée, elle est également associée à un détecteur. Si la stratégie en cours de chargement a un détecteur associé qui correspond au détecteur déjà utilisé par la stratégie existante, le nouveau détecteur n’est pas chargé et les deux stratégies utilisent un seul détecteur associé. Mais si le nouveau détecteur ne correspond pas au détecteur actuel, le nouveau détecteur est chargé avec la nouvelle stratégie. Dans ce cas, chaque stratégie chargée utilisera alors son propre détecteur associé pour détecter les attaques.
La version du détecteur est commune à tous les systèmes logiques.
Journalisation et surveillance
Les options de surveillance de l’état sont réservées à l’administrateur principal. Toutes les options de surveillance de l’état sous les show security idp commandes opérationnelles et clear security idp CLI présentent des informations globales, mais pas par système logique.
La surveillance SNMP d’IDP n’est pas prise en charge sur les systèmes logiques.
IDP génère des journaux d’événements lorsqu’un événement correspond à une règle de stratégie IDP dans laquelle la journalisation est activée.
L’identification des systèmes logiques est ajoutée aux types suivants de journaux de traitement du trafic IDP :
Journaux d’attaques. L’exemple suivant montre un journal d’attaque pour le système logique ls-product-design :
Feb 22 14:06:00 aqgpo1ifw01 RT_IDP: %-IDP_ATTACK_LOG_EVENT_LS: Lsys A01: IDP: At 1329883555, ANOMALY Attack log <10.1.128.200/33699->192.168.22.84/80> for TCP protocol and service HTTP application NONE by rule 4 of rulebase IPS in policy Policy1. attack: repeat=3, action=NONE, threat-severity=INFO, name=HTTP:AUDIT:URL, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:NSS-Mgmt:reth0.55->SIEM-MGMT:reth0.60, packet-log-id: 0 and misc-message
Remarque :Dans le message du journal des événements de détection d’attaque IDP (IDP_ATTACK_LOG_EVENT_LS), les champs de temps écoulé, d’octets, d’outbytes, d’inpackets et de outpackets ne sont pas renseignés.
Journaux des actions IP. L’exemple suivant montre un journal des actions IP pour le système logique ls-product-design :
Oct 13 16:56:04 8.0.0.254 RT_IDP: IDP_ATTACK_LOG_EVENT_LS: IDP: In ls-product-design at 1287014163, TRAFFIC Attack log <25.0.0.1/34802->15.0.0.1/21> for TCP protocol and service SERVICE_NONE application NONE by rule 1 of rulebase IPS in policy Recommended. attack: repeat=0, action=TRAFFIC_IPACTION_NOTIFY, threat-severity=INFO, name=_, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:ls-product-design-trust:ge-0/0/1.0->ls-product-design-untrust:plt0.3, packet-log-id: 0 and misc-message -
Journaux DDoS des applications. L’exemple suivant montre un journal DDoS d’application pour le système logique ls-product-design :
Oct 11 16:29:57 8.0.0.254 RT_IDP: IDP_APPDDOS_APP_ATTACK_EVENT_LS: DDOS Attack in ls-product-design at 1286839797 on my-http, <ls-product-design-untrust:ge-0/0/0.0:4.0.0.1:33738->ls-product-design-trust:ge-0/0/1.0:5.0.0.1:80> for TCP protocol and service HTTP by rule 1 of rulebase DDOS in policy Recommended. attack: repeats 0 action DROP threat-severity INFO, connection-hit-rate 0, context-name http-url-parsed, hit-rate 6, value-hit-rate 6 time-scope PEER time-count 2 time-period 10 secs, context value: ascii: /abc.html hex: 2f 61 62 63 2e 68 74 6d 6c
Voir aussi
Exemple : configuration d’une stratégie IDP pour les systèmes logiques principaux
Cet exemple montre comment configurer une stratégie IDP dans un système logique principal.
Exigences
Avant de commencer :
Connectez-vous au système logique principal en tant qu’administrateur principal. Voir Présentation des systèmes logiques principaux et du rôle d’administrateur principal.
Utilisez la
show system security-profilecommande pour voir les ressources allouées au système logique principal.
Vue d’ensemble
Dans cet exemple, vous configurez une attaque personnalisée qui est utilisée dans une stratégie d’IDP. La stratégie d’IDP est spécifiée dans un profil de sécurité qui est appliqué au système logique principal. IDP est ensuite activé dans une stratégie de sécurité configurée dans le système logique principal.
Vous configurez les fonctionnalités décrites dans le Tableau 1.
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
Attaque personnalisée |
http-bf (en anglais) |
|
Stratégie de base de règles IPS |
root-idp-policy |
Match :
Mesure :
|
Profil de sécurité du système logique |
profil primaire (précédemment configuré et appliqué au système logique racine) |
Ajoutez la politique IDP root-idp-policy. |
Politique de sécurité |
enable-idp |
Activez l’IDP dans une stratégie de sécurité qui fait correspondre tout trafic de la zone lsys-root-untrust à la zone lsys-root-trust. |
Un système logique ne peut avoir qu’une seule stratégie IDP active à la fois. Pour spécifier la stratégie IDP active pour le système logique principal, l’administrateur principal peut référencer la stratégie IDP dans le profil de sécurité lié au système logique principal, comme indiqué dans cet exemple. L’administrateur principal peut également utiliser l’instruction de active-policy configuration au niveau de la hiérarchie [edit security idp].
Une erreur de validation est générée si une stratégie IDP est configurée dans le profil de sécurité lié au système logique principal et spécifiée avec l’instruction de active-policy configuration. Utilisez une seule méthode pour spécifier la stratégie IDP active pour le système logique principal.
La configuration
- Configuration d’une attaque personnalisée
- Configuration d’une stratégie IDP pour le système logique principal
- Activation de l’IDP dans une stratégie de Sécurité
Configuration d’une attaque personnalisée
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security idp custom-attack http-bf severity critical set security idp custom-attack http-bf time-binding count 3 set security idp custom-attack http-bf time-binding scope peer set security idp custom-attack http-bf attack-type signature context http-url-parsed set security idp custom-attack http-bf attack-type signature pattern .*juniper.* set security idp custom-attack http-bf attack-type signature direction client-to-server
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer un objet d’attaque personnalisé :
Connectez-vous au système logique principal en tant qu’administrateur principal et entrez en mode configuration.
[edit] admin@host> configure admin@host#
Créez l’objet d’attaque personnalisé et définissez le niveau de gravité.
[edit security idp] admin@host# set custom-attack http-bf severity critical
Configurez les paramètres de détection d’attaque.
[edit security idp] admin@host# set custom-attack http-bf time-binding count 3 admin@host# set custom-attack http-bf time-binding scope peer
Configurez les paramètres de signature dynamique.
[edit security idp] admin@host# set custom-attack http-bf attack-type signature context http-url-parsed admin@host# set custom-attack http-bf attack-type signature pattern .*juniper.* admin@host# set custom-attack http-bf attack-type signature direction client-to-server
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp custom-attack http-bf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
admin@host# show security idp custom-attack http-bf
severity critical;
time-binding {
count 3;
scope peer;
}
attack-type {
signature {
context http-url-parsed;
pattern .*juniper.*;
direction client-to-server;
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Configuration d’une stratégie IDP pour le système logique principal
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security idp idp-policy root-idp-policy rulebase-ips rule 1 match application default set security idp idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf set security idp idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection set security idp idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks set system security-profile master-profile idp-policy root-idp-policy
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer une stratégie d’IDP :
Créez la stratégie IDP et configurez les conditions de correspondance.
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match application default admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf
Configurez les actions pour la stratégie d’IDP.
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks
Ajoutez la stratégie d’IDP au profil de sécurité.
[edit system security-profile master-profile] admin@host# set idp-policy lsys1-idp-policy
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp idp-policy root-idp-policy commandes and show system security-profile master-profile . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
admin@host# show security idp idp-policy root-idp-policy
rulebase-ips {
rule 1 {
match {
application default;
attacks {
custom-attacks http-bf;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks;
}
}
}
}
admin@host# show system security-profile master-profile
...
idp-policy lsys1-idp-policy;
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Activation de l’IDP dans une stratégie de Sécurité
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match source-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match destination-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match application any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp then permit application-services idp
Procédure étape par étape
Pour activer l’IDP dans une stratégie de sécurité :
Créez la stratégie de sécurité et configurez les conditions de correspondance.
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp match source-address any admin@host# set policy enable-idp match destination-address any admin@host# set policy enable-idp match application any
Activer l’IDP.
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp then permit application-services idp
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette show sortie de commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
admin@host# show security policies
from-zone lsys-root-untrust to-zone lsys-root-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
}
...
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérification des correspondances d’attaque
Objet
Vérifiez que les attaques correspondent dans le trafic réseau.
Mesures à prendre
À partir du mode opérationnel, entrez la show security idp attack table commande.
admin@host> show security idp attack table IDP attack statistics: Attack name #Hits http-bf 1
Exemple : Configuration et affectation d’une stratégie IDP prédéfinie pour un système logique utilisateur
L’administrateur principal peut télécharger des politiques IDP prédéfinies sur l’appareil ou configurer des politiques IDP personnalisées au niveau racine à l’aide d’objets d’attaque personnalisés ou prédéfinis. L’administrateur principal est responsable de l’affectation d’une stratégie IDP à un système logique utilisateur. Cet exemple montre comment affecter une stratégie IDP prédéfinie à un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique principal en tant qu’administrateur principal. Voir Présentation des systèmes logiques principaux et du rôle d’administrateur principal.
Affectez la stratégie de sécurité ls-design-profile au système logique utilisateur ls-product-design. Voir Exemple : Configuration des profils de sécurité des systèmes logiques (administrateurs principaux uniquement).
Téléchargez des modèles de politiques IDP prédéfinis sur l’appareil. Voir Téléchargement et utilisation de modèles de stratégie IDP prédéfinis (procédure CLI).
Remarque :L’activation d’une stratégie IDP prédéfinie avec l’instruction
active-policyde configuration au niveau de la hiérarchie [edit security idp] ne s’applique qu’au système logique principal. Pour un système logique utilisateur, l’administrateur principal spécifie la stratégie IDP active dans le profil de sécurité lié au système logique utilisateur.
Vue d’ensemble
La stratégie IDP prédéfinie nommée Recommandé contient les objets d’attaque recommandés par Juniper Networks. Toutes les règles de la stratégie ont leurs actions définies pour exécuter l’action recommandée pour chaque objet d’attaque. Vous ajoutez la stratégie IDP recommandée au profil ls-design, qui est lié au système logique utilisateur ls-product-design illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set system security-profile ls-design-profile idp-policy Recommended
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour ajouter une stratégie IDP prédéfinie à un profil de sécurité pour un système logique utilisateur :
Connectez-vous au système logique principal en tant qu’administrateur principal et entrez en mode configuration.
[edit] admin@host> configure admin@host#
Ajoutez la stratégie d’IDP au profil de sécurité.
[edit system security-profile] admin@host# set ls-design-profile idp-policy Recommended
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp commandes and show system security-profile ls-design-profile . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
admin@host# show security idp
idp-policy Recommended {
...
}
[edit]
admin@host# show system security-profile ls-design-profile
policy {
...
}
idp-policy Recommended;
logical-system ls-product-design;
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérification de la configuration
Objet
Vérifiez la stratégie IDP affectée au système logique.
Mesures à prendre
À partir du mode opérationnel, entrez la show security idp logical-system policy-association commande. Assurez-vous que la stratégie IDP du profil de sécurité lié au système logique est correcte.
admin@host> show security idp logical-system policy-association Logical system IDP policy ls-product-design Recommended
Exemple : Activation d’IDP dans une stratégie de Sécurité du système logique d’utilisateur
Cet exemple montre comment activer IDP dans une stratégie de sécurité dans un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique. Voir Vue d’ensemble de la configuration des systèmes logiques utilisateur.
En mode configuration, utilisez la
show system security-profile <profile-name> idp-policycommande pour voir les ressources de stratégie de sécurité allouées au système logique.Configurez une stratégie de sécurité IDP pour le système logique de l’utilisateur en tant qu’administrateur principal. Voir Exemple : Configuration et attribution d’une stratégie IDP prédéfinie pour un système logique utilisateur.
Vue d’ensemble
Dans cet exemple, vous configurez le système logique utilisateur ls-product-design comme indiqué dans Exemple : création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Vous activez l’IDP dans une stratégie de sécurité qui correspond à n’importe quel trafic de la zone ls-product-design-untrust à la zone ls-product-design-trust. L’activation de l’IDP dans une stratégie de sécurité dirige la vérification du trafic correspondant par rapport aux bases de règles de l’IDP.
Cet exemple utilise la stratégie IDP configurée et affectée au système logique utilisateur ls-product-design par l’administrateur principal dans Exemple : configuration et attribution d’une stratégie IDP prédéfinie pour un système logique utilisateur.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match source-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match destination-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp then permit application-services idp
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer une stratégie de sécurité afin d’activer l’IDP dans un système logique utilisateur :
Connectez-vous au système logique en tant qu’administrateur du système logique utilisateur et entrez en mode configuration.
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
Configurez une stratégie de sécurité qui fait correspondre le trafic de la zone ls-product-design-untrust à la zone ls-product-design-trust.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp match source-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match destination-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match application any
Configurez la stratégie de sécurité pour permettre à l’IDP de faire correspondre le trafic.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp then permit application-services idp
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette show sortie de commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
...
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérification des correspondances d’attaque
Objet
Vérifiez que les attaques correspondent dans le trafic réseau.
Mesures à prendre
À partir du mode opérationnel, entrez la show security idp attack table commande.
admin@host> show security idp attack table IDP attack statistics: Attack name #Hits FTP:USER:ROOT 1
Exemple : configuration d’une stratégie IDP pour un système logique utilisateur
Cet exemple montre comment configurer et affecter une stratégie IDP à un système logique utilisateur. Après avoir affecté la stratégie de IDP, le trafic est envoyé du client pour vérifier la détection d’attaque sur l’attaque personnalisée configurée.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 18.3R1 et ultérieures
un appareil SRX4200
Avant de configurer la stratégie d’IDP sur le système logique de l’utilisateur :
Configurez les zones de sécurité. Voir Exemple : Configuration de zones de sécurité pour les systèmes logiques d’un utilisateur.
Vue d’ensemble
Dans cet exemple, vous configurez une attaque personnalisée qui est utilisée dans une stratégie IDP. La stratégie IDP est spécifiée et activée à l’aide d’une stratégie de sécurité configurée dans le système logique utilisateur.
La configuration
Pour configurer IDP dans un système logique utilisateur :
- Configuration d’un système logique utilisateur
- Configuration d’une attaque personnalisée
- Configuration d’une stratégie IDP pour le système logique utilisateur
- Activation de l’IDP dans une stratégie de Sécurité
Configuration d’un système logique utilisateur
Configuration rapide de la CLI
Procédure étape par étape
Pour configurer un système logique d’utilisateur :
Configurez un système logique utilisateur.
[edit] user@host# set logical-system LSYS1
Quittez le mode de configuration et passez au mode opérationnel.
user@host# exit
Connectez-vous en tant qu’utilisateur LSYS1 au système logique utilisateur et passez en mode configuration.
user@host> set cli logical-system LSYS1 user@host:LSYS1> edit user@host:LSYS1#
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show logical-systems commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show logical-systems
LSYS1 {
}
Configuration d’une attaque personnalisée
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*test.* set security idp custom-attack my-http attack-type signature direction any
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer un objet d’attaque personnalisé :
Connectez-vous au système logique utilisateur en tant que LSYS1 et entrez en mode configuration.
[edit] user@host:LSYS1#
Créez l’objet d’attaque personnalisé et définissez le niveau de gravité.
[edit security idp] user@host:LSYS1# set custom-attack my-http severity info
Configurez les paramètres de signature dynamique.
[edit security idp] user@host:LSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:LSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:LSYS1# set custom-attack my-http attack-type signature pattern .*test.* user@host:LSYS1# set custom-attack my-http attack-type signature direction any
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp custom-attack my-http commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host:LSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*test.*;
direction any;
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Configuration d’une stratégie IDP pour le système logique utilisateur
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer une stratégie d’IDP :
Créez la stratégie IDP et configurez les conditions de correspondance.
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
Configurez les actions pour la stratégie d’IDP.
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp idp-policy idpengine commandes and show system security-profile master-profile . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host:LSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Activation de l’IDP dans une stratégie de Sécurité
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security policies from-zone z1 to-zone z2 policy p1 match source-address any set security policies from-zone z1 to-zone z2 policy p1 match destination-address any set security policies from-zone z1 to-zone z2 policy p1 match application any set security policies from-zone z1 to-zone z2 policy p1 then permit application-services idp-policy idpengine
Procédure étape par étape
Pour activer l’IDP dans une stratégie de sécurité :
Créez la stratégie de sécurité et configurez les conditions de correspondance.
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 match source-address any user@host:LSYS1# set policy p1 match destination-address any user@host:LSYS1# set policy p1 match application any
Activer l’IDP.
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 then permit application-services idp-policy idpengine
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host:LSYS1# show security policies
from-zone z1 to-zone z2 {
policy p1{
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour envoyer du trafic et vérifier la détection d’attaques par le système logique de l’utilisateur :
Vérification de la détection des attaques
Objet
Vérifiez que la détection d’attaque se produit pour l’attaque personnalisée.
Mesures à prendre
À partir du mode opérationnel, entrez la show security idp attack table commande.
user@host:LSYS1> show security idp policies PIC : FPC 0 PIC 0: ID Name Sessions Memory Detector 1 idpengine 0 188584 12.6.130180509
user@host:LSYS1> show security idp attack table
IDP attack statistics:
Attack name #Hits
my-http 1
Signification
La sortie affiche les attaques détectées pour l’attaque personnalisée configurée dans la stratégie IDP dans le système logique utilisateur LSYS1.