SUR CETTE PAGE
Comprendre les fonctionnalités IDP dans les systèmes logiques
Exemple : Configuration d’une stratégie IDP pour les systèmes logiques principaux
Exemple : Activation de l’IDP dans une stratégie de sécurité du système logique d’un utilisateur
Exemple : Configuration d’une stratégie IDP pour un système logique utilisateur
IDP pour les systèmes logiques
Une stratégie de détection et de prévention d’intrusion (IDP) dans les systèmes logiques vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau transitant par votre SRX Series. Les SRX Series offrent le même jeu de signatures IDP que sur les appliances de détection et de prévention d’intrusion IDP Series de Juniper Networks pour sécuriser les réseaux contre les attaques. Pour plus d’informations, consultez les rubriques suivantes :
Vue d’ensemble de l’IDP dans les systèmes logiques
Une stratégie de détection et de prévention d’intrusion (IDP) de Junos OS vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau transitant par un système logique.
Cette rubrique comprend les sections suivantes :
Stratégies IDP
L’administrateur principal configure les stratégies IDP au niveau racine. La configuration d’une stratégie IDP pour les systèmes logiques est similaire à la configuration d’une stratégie IDP sur un appareil qui n’est pas configuré pour les systèmes logiques. Cela peut inclure la configuration d’objets d’attaque personnalisés.
Les modèles de stratégie IDP installés dans le système logique racine sont visibles et utilisés par tous les systèmes logiques.
L’administrateur principal spécifie ensuite une stratégie IDP dans le profil de sécurité qui est liée à un système logique. Pour activer l’IDP dans un système logique, l’administrateur principal ou l’administrateur du système logique de l’utilisateur configure une stratégie de sécurité qui définit le trafic à inspecter et spécifie l’action permit application-services idp .
Bien que l’administrateur principal puisse configurer plusieurs stratégies IDP, un système logique ne peut avoir qu’une seule stratégie IDP active à la fois. Pour les systèmes logiques d’utilisateurs, l’administrateur principal peut soit lier la même stratégie IDP à plusieurs systèmes logiques d’utilisateurs, soit lier une stratégie IDP unique à chaque système logique d’utilisateur. Pour spécifier la stratégie IDP active pour le système logique principal, l’administrateur principal peut soit référencer la stratégie IDP dans le profil de sécurité lié au système logique principal, soit utiliser l’instruction de active-policy configuration au niveau de la hiérarchie [edit security idp].
L’administrateur racine configure le nombre maximal de réservations de sessions IDP pour un système logique racine et utilisateur. Le nombre de sessions IDP autorisées pour un système logique racine est défini à l’aide de la commande set security idp max-sessions max-sessions et le nombre de sessions IDP autorisées pour un système logique utilisateur est défini à l’aide de la commande set security idp logical-system logical-system max-sessions max-sessions .
Une erreur de validation est générée si une stratégie IDP est configurée dans le profil de sécurité lié au système logique principal et spécifié avec l’instruction active-policy de configuration. N’utilisez qu’une seule méthode pour spécifier la stratégie IDP active pour le système logique principal.
Si vous avez configuré plusieurs stratégies IDP dans une stratégie de sécurité, la configuration de la stratégie IDP par défaut est obligatoire.
Une configuration de stratégie IDP par défaut est prise en charge lorsque plusieurs stratégies IDP sont disponibles. La stratégie IDP par défaut est l’une des multiples stratégies IDP. Pour plus d’informations sur la configuration de plusieurs stratégies IDP et de la stratégie IDP par défaut, consultez Sélection de stratégies IDP pour les stratégies unifiées.
L’administrateur système logique effectue les actions suivantes :
Configurez plusieurs stratégies IDP et attachez-les aux politiques de pare-feu à utiliser par les systèmes logiques des utilisateurs. Si la stratégie IDP n’est pas configurée pour un système logique utilisateur, la stratégie IDP par défaut configurée par l’administrateur principal est utilisée. La stratégie IDP est liée aux systèmes logiques de l’utilisateur par le biais d’une stratégie de sécurité des systèmes logiques.
Créer ou modifier des stratégies IDP pour leurs systèmes logiques d’utilisateurs. Les stratégies IDP sont liées aux systèmes logiques des utilisateurs. Lorsqu’une stratégie IDP est modifiée et que la validation réussit, les sessions existantes mappées à la stratégie active actuelle continuent d’utiliser l’ancienne stratégie combinée IDP. Lorsqu’une stratégie IDP est modifiée et que la validation échoue, seul l’utilisateur du système logique qui a initié la modification de validation est averti de l’échec de la validation.
Le système logique peut créer des zones de sécurité dans le système logique de l’utilisateur et affecter des interfaces à chaque zone de sécurité. Les zones spécifiques aux systèmes logiques des utilisateurs ne peuvent pas être référencées dans les stratégies IDP configurées par l’administrateur principal. L’administrateur principal peut référencer des zones du système logique principal dans une stratégie IDP configurée pour le système logique principal.
Affichez les statistiques d’attaques détectées et les compteurs IDP, la table des attaques et l’état de validation des stratégies par système logique individuel à l’aide des
show security idp counterscommandes ,show security idp attack table,show security idp policies,show security idp policy-commit-status, etshow security idp security-package-version.
Limitation
Lorsqu’une stratégie IDP est modifiée et compilée dans un système logique utilisateur spécifique, cette modification est considérée comme une modification de stratégie globale unique et compilée pour toutes les stratégies de tous les systèmes logiques.
Installation et octroi de licences IDP pour les systèmes logiques
Une licence idp-sig doit être installée au niveau racine. Une fois que l’IDP est activé au niveau racine, il peut être utilisé avec n’importe quel système logique sur l’appareil.
Un seul package de sécurité IDP est installé pour tous les systèmes logiques de l’appareil au niveau racine. Les options de téléchargement et d’installation ne peuvent être exécutées qu’au niveau racine. La même version de la base de données d’attaque IDP est partagée par tous les systèmes logiques.
Voir aussi
Comprendre les fonctionnalités IDP dans les systèmes logiques
Cette rubrique comprend les sections suivantes :
- Bases de règles
- Décodeurs de protocole
- SSL Inspection
- Mode de tapotement en ligne
- Multi-détecteurs
- Journalisation et surveillance
Bases de règles
Une seule stratégie IDP ne peut contenir qu’une seule instance de n’importe quel type de base de règles. Les bases de règles IDP suivantes sont prises en charge pour les systèmes logiques :
La base de règles du système de prévention d’intrusion (IPS) utilise des objets d’attaque pour détecter les attaques connues et inconnues. Il détecte les attaques basées sur des signatures dynamiques et des anomalies de protocole.
La base de règles du déni de service distribué (DDoS) au niveau de l’application définit les paramètres de protection des serveurs tels que DNS ou HTTP. La base de règles DDoS au niveau de l’application définit la condition de correspondance de la source pour le trafic qui doit être surveillé et effectue une action (par exemple, abandon de la connexion, abandon du paquet) ou aucune action. Il peut également effectuer des actions sur les futures connexions qui utilisent la même adresse IP.
La surveillance de l’état des IPS et des attaques DDoS au niveau de l’application est globale pour l’appareil et non pour chaque système logique.
Décodeurs de protocole
Le module IDP Junos est livré avec un ensemble de décodeurs de protocole préconfigurés. Ces décodeurs de protocole ont des paramètres par défaut pour les diverses vérifications contextuelles spécifiques au protocole qu’ils effectuent. La configuration du décodeur de protocole IDP est globale et s’applique à tous les systèmes logiques. Seul l’administrateur principal au niveau racine peut modifier les paramètres au niveau de la hiérarchie [edit security idp sensor-configuration].
SSL Inspection
L’inspection SSL IDP utilise la suite de protocoles SSL (Secure Sockets Layer) pour permettre l’inspection du trafic HTTP chiffré en SSL.
La configuration de l’inspection SSL est globale et s’applique à tous les systèmes logiques d’un appareil. L’inspection SSL ne peut être configurée que par l’administrateur principal au niveau racine avec l’instruction ssl-inspection de configuration au niveau de la hiérarchie [edit security idp sensor-configuration].
Mode de tapotement en ligne
La fonctionnalité du mode de prélèvement en ligne offre une détection passive et en ligne des menaces de la couche applicative pour le trafic correspondant aux stratégies de sécurité pour lesquelles le service applicatif IDP est activé. Lorsqu’un périphérique est en mode de prélèvement en ligne, les paquets passent par l’inspection du pare-feu et sont également copiés vers le module IDP indépendant. Cela permet aux paquets d’accéder au module de service suivant sans attendre les résultats du traitement IDP.
Le mode de prélèvement en ligne est activé ou désactivé pour tous les systèmes logiques au niveau racine par l’administrateur principal. Pour activer le mode de tapotement en ligne, utilisez l’instruction de inline-tap configuration au niveau de la hiérarchie [edit security forwarding-process application-services maximize-idp-sessions]. Supprimez la configuration du mode de tapotement en ligne pour repasser l’appareil en mode normal.
L’appareil doit être redémarré lorsque vous passez en mode de tapotement en ligne ou lorsque vous revenez en mode normal.
Multi-détecteurs
Lorsqu’un nouveau package de sécurité IDP est reçu, il contient des définitions d’attaque et un détecteur. Une fois qu’une nouvelle stratégie est chargée, elle est également associée à un détecteur. Si la stratégie en cours de chargement a un détecteur associé qui correspond au détecteur déjà utilisé par la stratégie existante, le nouveau détecteur n’est pas chargé et les deux stratégies utilisent un seul détecteur associé. Mais si le nouveau détecteur ne correspond pas au détecteur actuel, le nouveau détecteur est chargé avec la nouvelle stratégie. Dans ce cas, chaque stratégie chargée utilisera alors son propre détecteur associé pour détecter les attaques.
La version du détecteur est commune à tous les systèmes logiques.
Journalisation et surveillance
Les options de surveillance de l’état ne sont disponibles que pour l’administrateur principal. Toutes les options de surveillance de l’état sous les commandements opérationnels et clear security idp CLI show security idp présentent des informations globales, mais pas pour chaque système logique.
La surveillance SNMP pour IDP n’est pas prise en charge sur les systèmes logiques.
IDP génère des journaux d’événements lorsqu’un événement correspond à une règle de stratégie IDP dans laquelle la journalisation est activée.
L’identification des systèmes logiques est ajoutée aux types suivants de journaux de traitement du trafic IDP :
Journaux d’attaque. L’exemple suivant montre un journal des attaques pour le système logique ls-product-design :
Feb 22 14:06:00 aqgpo1ifw01 RT_IDP: %-IDP_ATTACK_LOG_EVENT_LS: Lsys A01: IDP: At 1329883555, ANOMALY Attack log <10.1.128.200/33699->192.168.22.84/80> for TCP protocol and service HTTP application NONE by rule 4 of rulebase IPS in policy Policy1. attack: repeat=3, action=NONE, threat-severity=INFO, name=HTTP:AUDIT:URL, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:NSS-Mgmt:reth0.55->SIEM-MGMT:reth0.60, packet-log-id: 0 and misc-message
Note:Dans le message du journal des événements de détection d’attaque IDP (IDP_ATTACK_LOG_EVENT_LS), les champs time elapsed, inbytes, outbytes, inpackets et outpackets ne sont pas renseignés.
Journaux d’actions IP. L’exemple suivant montre un journal d’actions IP pour le système logique ls-product-design :
Oct 13 16:56:04 8.0.0.254 RT_IDP: IDP_ATTACK_LOG_EVENT_LS: IDP: In ls-product-design at 1287014163, TRAFFIC Attack log <25.0.0.1/34802->15.0.0.1/21> for TCP protocol and service SERVICE_NONE application NONE by rule 1 of rulebase IPS in policy Recommended. attack: repeat=0, action=TRAFFIC_IPACTION_NOTIFY, threat-severity=INFO, name=_, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:ls-product-design-trust:ge-0/0/1.0->ls-product-design-untrust:plt0.3, packet-log-id: 0 and misc-message -
Journaux DDoS des applications. L’exemple suivant montre un journal DDoS d’application pour le système logique ls-product-design :
Oct 11 16:29:57 8.0.0.254 RT_IDP: IDP_APPDDOS_APP_ATTACK_EVENT_LS: DDOS Attack in ls-product-design at 1286839797 on my-http, <ls-product-design-untrust:ge-0/0/0.0:4.0.0.1:33738->ls-product-design-trust:ge-0/0/1.0:5.0.0.1:80> for TCP protocol and service HTTP by rule 1 of rulebase DDOS in policy Recommended. attack: repeats 0 action DROP threat-severity INFO, connection-hit-rate 0, context-name http-url-parsed, hit-rate 6, value-hit-rate 6 time-scope PEER time-count 2 time-period 10 secs, context value: ascii: /abc.html hex: 2f 61 62 63 2e 68 74 6d 6c
Voir aussi
Exemple : Configuration d’une stratégie IDP pour les systèmes logiques principaux
Cet exemple montre comment configurer une stratégie IDP dans un système logique principal.
Exigences
Avant de commencer :
Connectez-vous au système logique principal en tant qu’administrateur principal. Reportez-vous à la section Présentation des systèmes logiques principaux et du rôle d’administrateur principal.
Utilisez la
show system security-profilecommande pour afficher les ressources allouées au système logique principal.
Aperçu
Dans cet exemple, vous configurez une attaque personnalisée qui est utilisée dans une stratégie IDP. La stratégie IDP est spécifiée dans un profil de sécurité appliqué au système logique principal. L’IDP est alors activé dans une stratégie de sécurité configurée dans le système logique principal.
Configurez les fonctionnalités décrites dans le Tableau 1.
Caractéristique |
Nom |
Paramètres de configuration |
|---|---|---|
Attaque personnalisée |
http-bf |
|
Stratégie de base de règles IPS |
stratégie_idp racine |
Allumette:
Action:
|
Profil de sécurité du système logique |
Profil primaire (précédemment configuré et appliqué au système logique racine) |
Ajoutez la stratégie IDP root-idp-policy. |
Politique de sécurité |
enable-idp |
Activez IDP dans une stratégie de sécurité qui fait correspondre n’importe quel trafic de la zone lsys-root-untrust à la zone lsys-root-trust. |
Un système logique ne peut avoir qu’une seule stratégie IDP active à la fois. Pour spécifier la stratégie IDP active pour le système logique principal, l’administrateur principal peut référencer la stratégie IDP dans le profil de sécurité lié au système logique principal, comme illustré dans cet exemple. L’administrateur principal peut également utiliser l’instruction de active-policy configuration au niveau de la hiérarchie [edit security idp].
Une erreur de validation est générée si une stratégie IDP est configurée dans le profil de sécurité lié au système logique principal et spécifié avec l’instruction active-policy de configuration. N’utilisez qu’une seule méthode pour spécifier la stratégie IDP active pour le système logique principal.
Configuration
- Configuration d’une attaque personnalisée
- Configuration d’une stratégie IDP pour le système logique principal
- Activation de l’IDP dans une stratégie de sécurité
Configuration d’une attaque personnalisée
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp custom-attack http-bf severity critical set security idp custom-attack http-bf time-binding count 3 set security idp custom-attack http-bf time-binding scope peer set security idp custom-attack http-bf attack-type signature context http-url-parsed set security idp custom-attack http-bf attack-type signature pattern .*juniper.* set security idp custom-attack http-bf attack-type signature direction client-to-server
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer un objet d’attaque personnalisé :
Connectez-vous au système logique principal en tant qu’administrateur principal et passez en mode de configuration.
[edit] admin@host> configure admin@host#
Créez l’objet d’attaque personnalisé et définissez le niveau de gravité.
[edit security idp] admin@host# set custom-attack http-bf severity critical
Configurez les paramètres de détection des attaques.
[edit security idp] admin@host# set custom-attack http-bf time-binding count 3 admin@host# set custom-attack http-bf time-binding scope peer
Configurez les paramètres de signature dynamique.
[edit security idp] admin@host# set custom-attack http-bf attack-type signature context http-url-parsed admin@host# set custom-attack http-bf attack-type signature pattern .*juniper.* admin@host# set custom-attack http-bf attack-type signature direction client-to-server
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp custom-attack http-bf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
admin@host# show security idp custom-attack http-bf
severity critical;
time-binding {
count 3;
scope peer;
}
attack-type {
signature {
context http-url-parsed;
pattern .*juniper.*;
direction client-to-server;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’une stratégie IDP pour le système logique principal
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp idp-policy root-idp-policy rulebase-ips rule 1 match application default set security idp idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf set security idp idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection set security idp idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks set system security-profile master-profile idp-policy root-idp-policy
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer une stratégie IDP :
Créez la stratégie IDP et configurez les conditions de correspondance.
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match application default admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf
Configurez les actions pour la stratégie IDP.
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks
Ajoutez la stratégie IDP au profil de sécurité.
[edit system security-profile master-profile] admin@host# set idp-policy lsys1-idp-policy
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp idp-policy root-idp-policy commandes and show system security-profile master-profile . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
admin@host# show security idp idp-policy root-idp-policy
rulebase-ips {
rule 1 {
match {
application default;
attacks {
custom-attacks http-bf;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks;
}
}
}
}
admin@host# show system security-profile master-profile
...
idp-policy lsys1-idp-policy;
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Activation de l’IDP dans une stratégie de sécurité
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match source-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match destination-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match application any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp then permit application-services idp
Procédure étape par étape
Pour activer l’IDP dans une stratégie de sécurité :
Créez la stratégie de sécurité et configurez les conditions de correspondance.
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp match source-address any admin@host# set policy enable-idp match destination-address any admin@host# set policy enable-idp match application any
Activez IDP.
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp then permit application-services idp
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
admin@host# show security policies
from-zone lsys-root-untrust to-zone lsys-root-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
}
...
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification des correspondances d’attaque
But
Vérifiez que les attaques sont mises en correspondance dans le trafic réseau.
Action
À partir du mode opérationnel, entrez la show security idp attack table commande.
admin@host> show security idp attack table IDP attack statistics: Attack name #Hits http-bf 1
Exemple : configuration et affectation d’une stratégie IDP prédéfinie pour un système logique utilisateur
L’administrateur principal peut soit télécharger des stratégies IDP prédéfinies sur l’appareil, soit configurer des stratégies IDP personnalisées au niveau racine à l’aide d’objets d’attaque personnalisés ou prédéfinis. L’administrateur principal est responsable de l’affectation d’une stratégie IDP à un système logique utilisateur. Cet exemple montre comment affecter une stratégie IDP prédéfinie à un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique principal en tant qu’administrateur principal. Reportez-vous à la section Présentation des systèmes logiques principaux et du rôle d’administrateur principal.
Affectez la stratégie de sécurité ls-design-profile au système logique de l’utilisateur ls-product-design. Reportez-vous à la section Exemple : Configuration de profils de sécurité des systèmes logiques (administrateurs principaux uniquement).
Téléchargez les modèles prédéfinis de stratégie IDP sur l’appareil. Reportez-vous à la section Téléchargement et utilisation de modèles de stratégie IDP prédéfinis (procédure CLI).
Note:L’activation d’une stratégie IDP prédéfinie avec l’instruction
active-policyde configuration au niveau de la hiérarchie [edit security idp] ne s’applique qu’au système logique principal. Dans le cas d’un système logique utilisateur, l’administrateur principal spécifie la stratégie IDP active dans le profil de sécurité lié au système logique utilisateur.
Aperçu
La stratégie IDP prédéfinie nommée Recommandé contient les objets d’attaque recommandés par Juniper Networks. Les actions de toutes les règles de la stratégie sont définies pour effectuer l’action recommandée pour chaque objet d’attaque. Vous ajoutez la stratégie IDP recommandée au profil ls-design, qui est lié au système logique utilisateur ls-product-design illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set system security-profile ls-design-profile idp-policy Recommended
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour ajouter une stratégie IDP prédéfinie à un profil de sécurité pour un système logique d’utilisateur :
Connectez-vous au système logique principal en tant qu’administrateur principal et passez en mode de configuration.
[edit] admin@host> configure admin@host#
Ajoutez la stratégie IDP au profil de sécurité.
[edit system security-profile] admin@host# set ls-design-profile idp-policy Recommended
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp commandes and show system security-profile ls-design-profile . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
admin@host# show security idp
idp-policy Recommended {
...
}
[edit]
admin@host# show system security-profile ls-design-profile
policy {
...
}
idp-policy Recommended;
logical-system ls-product-design;
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration
But
Vérifiez la stratégie IDP affectée au système logique.
Action
À partir du mode opérationnel, entrez la show security idp logical-system policy-association commande. Assurez-vous que la stratégie IDP du profil de sécurité lié au système logique est correcte.
admin@host> show security idp logical-system policy-association Logical system IDP policy ls-product-design Recommended
Exemple : Activation de l’IDP dans une stratégie de sécurité du système logique d’un utilisateur
Cet exemple montre comment activer IDP dans une stratégie de sécurité dans un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique. Reportez-vous à la section Présentation de la configuration des systèmes logiques de l’utilisateur.
En mode configuration, utilisez la
show system security-profile <profile-name> idp-policycommande pour afficher les ressources de stratégie de sécurité allouées au système logique.Configurez une stratégie de sécurité IDP pour le système logique de l’utilisateur en tant qu’administrateur principal. Reportez-vous à la section Exemple : Configuration et affectation d’une stratégie IDP prédéfinie pour un système logique utilisateur.
Aperçu
Dans cet exemple, vous configurez le système logique utilisateur ls-product-design comme indiqué dans Exemple : création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Vous activez IDP dans une stratégie de sécurité qui fait correspondre n’importe quel trafic de la zone ls-product-design-untrust à la zone ls-product-design-trust. L’activation de l’IDP dans une stratégie de sécurité indique que le trafic correspondant doit être vérifié par rapport aux bases de règles IDP.
Cet exemple utilise la stratégie IDP configurée et affectée au système logique utilisateur ls-product-design par l’administrateur principal dans Exemple : Configuration et affectation d’une stratégie IDP prédéfinie pour un système logique utilisateur.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match source-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match destination-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp then permit application-services idp
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer une stratégie de sécurité afin d’activer IDP dans un système logique utilisateur :
Connectez-vous au système logique en tant qu’administrateur du système logique utilisateur et passez en mode de configuration.
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
Configurez une stratégie de sécurité qui fait correspondre le trafic de la zone ls-product-design-untrust à la zone ls-product-design-trust.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp match source-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match destination-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match application any
Configurez la stratégie de sécurité afin d’activer l’IDP pour le trafic correspondant.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp then permit application-services idp
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
...
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification des correspondances d’attaque
But
Vérifiez que les attaques sont mises en correspondance dans le trafic réseau.
Action
À partir du mode opérationnel, entrez la show security idp attack table commande.
admin@host> show security idp attack table IDP attack statistics: Attack name #Hits FTP:USER:ROOT 1
Exemple : Configuration d’une stratégie IDP pour un système logique utilisateur
Cet exemple montre comment configurer et affecter une stratégie IDP à un système logique utilisateur. Après l’affectation de la stratégie IDP, le trafic est envoyé à partir du client pour vérifier la détection d’attaque sur l’attaque personnalisée configurée.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 18.3R1 et ultérieures
un appareil SRX4200
Avant de configurer la stratégie IDP sur le système logique de l’utilisateur :
Configurez les zones de sécurité. Reportez-vous à la section Exemple : Configuration de zones de sécurité pour les systèmes logiques d’un utilisateur.
Aperçu
Dans cet exemple, vous configurez une attaque personnalisée qui est utilisée dans une stratégie IDP. La stratégie IDP est spécifiée et activée à l’aide d’une stratégie de sécurité configurée dans le système logique de l’utilisateur.
Configuration
Pour configurer l’IDP dans un système logique utilisateur :
- Configuration d’un système logique utilisateur
- Configuration d’une attaque personnalisée
- Configuration d’une stratégie IDP pour le système logique de l’utilisateur
- Activation de l’IDP dans une stratégie de sécurité
Configuration d’un système logique utilisateur
Configuration rapide de la CLI
Procédure étape par étape
Pour configurer un système logique utilisateur :
Configurez un système logique utilisateur.
[edit] user@host# set logical-system LSYS1
Quittez le mode de configuration et passez en mode opérationnel.
user@host# exit
Connectez-vous en tant qu’utilisateur LSYS1 au système logique de l’utilisateur et passez en mode de configuration.
user@host> set cli logical-system LSYS1 user@host:LSYS1> edit user@host:LSYS1#
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show logical-systems commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show logical-systems
LSYS1 {
}
Configuration d’une attaque personnalisée
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*test.* set security idp custom-attack my-http attack-type signature direction any
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer un objet d’attaque personnalisé :
Connectez-vous au système logique de l’utilisateur en tant que LSYS1 et entrez en mode de configuration.
[edit] user@host:LSYS1#
Créez l’objet d’attaque personnalisé et définissez le niveau de gravité.
[edit security idp] user@host:LSYS1# set custom-attack my-http severity info
Configurez les paramètres de signature dynamique.
[edit security idp] user@host:LSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:LSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:LSYS1# set custom-attack my-http attack-type signature pattern .*test.* user@host:LSYS1# set custom-attack my-http attack-type signature direction any
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp custom-attack my-http commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host:LSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*test.*;
direction any;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’une stratégie IDP pour le système logique de l’utilisateur
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer une stratégie IDP :
Créez la stratégie IDP et configurez les conditions de correspondance.
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
Configurez les actions pour la stratégie IDP.
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp idp-policy idpengine commandes and show system security-profile master-profile . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host:LSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Activation de l’IDP dans une stratégie de sécurité
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security policies from-zone z1 to-zone z2 policy p1 match source-address any set security policies from-zone z1 to-zone z2 policy p1 match destination-address any set security policies from-zone z1 to-zone z2 policy p1 match application any set security policies from-zone z1 to-zone z2 policy p1 then permit application-services idp-policy idpengine
Procédure étape par étape
Pour activer l’IDP dans une stratégie de sécurité :
Créez la stratégie de sécurité et configurez les conditions de correspondance.
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 match source-address any user@host:LSYS1# set policy p1 match destination-address any user@host:LSYS1# set policy p1 match application any
Activez IDP.
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 then permit application-services idp-policy idpengine
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host:LSYS1# show security policies
from-zone z1 to-zone z2 {
policy p1{
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour envoyer du trafic et vérifier la détection d’attaques à partir du système logique de l’utilisateur :
Vérification de la détection des attaques
But
Vérifiez que l’attaque est détectée pour l’attaque personnalisée.
Action
À partir du mode opérationnel, entrez la show security idp attack table commande.
user@host:LSYS1> show security idp policies PIC : FPC 0 PIC 0: ID Name Sessions Memory Detector 1 idpengine 0 188584 12.6.130180509
user@host:LSYS1> show security idp attack table
IDP attack statistics:
Attack name #Hits
my-http 1
Signification
La sortie affiche les attaques détectées pour l’attaque personnalisée configurée dans la stratégie IDP du système logique de l’utilisateur LSYS1.