Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ajouter des règles à une stratégie IPS

Vous êtes ici : services de sécurité > stratégies > IPS.

Pour ajouter des règles à une stratégie IPS :

Note:

Vous pouvez uniquement ajouter des règles pour les stratégies IPS personnalisées.
  1. Cliquez sur Ajouter des règles ou sur le numéro de règle disponible en face de la colonne du nom de votre stratégie IPS.
    La page Règles IPS s’affiche.
  2. Cliquez sur + dans le coin supérieur droit de la page Règles IPS ou Règles exemptées.
    La page Règles IPS ou Règles exemptées avec les champs éditables en ligne s’affiche.
  3. Complétez la configuration selon les consignes fournies dans le tableau 1.
  4. Cliquez sur l’icône de coche à droite de la ligne une fois la configuration effectuée.
    Une fois les règles de stratégie IPS configurées, vous pouvez associer la stratégie IPS à la stratégie de sécurité.
Tableau 1 : Champs sur la page Règles IPS ou Règles exemptées

Champ

Action

Nom de la règle

Saisissez le nom de la règle pour la stratégie IPS.

Description

Saisissez la description de la règle.
Critères réseau
Sources

Zone source

Sélectionnez une zone source à associer à la stratégie IPS :

  • Non configuré : correspond à la zone source configurée à partir de la stratégie de pare-feu.

  • Any : correspond à n’importe quelle zone source de la stratégie de pare-feu.

  • Spécifique : sélectionnez une zone source dans la liste d’origine du trafic réseau.

Adresses source

Sélectionnez l’adresse source à associer à la stratégie IPS :

  • Non configuré : correspond à l’adresse IP source configurée de la stratégie de pare-feu.

  • Any : correspond à n’importe quelle adresse IP source de la stratégie de pare-feu.

  • Spécifique : adresse IP source d’où provient le trafic réseau.

    Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour les déplacer vers la colonne Sélectionnée. Vous pouvez sélectionner Exclure la sélection pour exclure uniquement l’adresse sélectionnée de la liste.
Destinations

Zone de destination

Sélectionnez une zone de destination à associer à la stratégie IPS :

  • Non configuré : correspond à la zone de destination configurée de la stratégie de pare-feu.

  • Any : correspond à n’importe quelle zone de destination à partir de la stratégie de pare-feu.

  • Spécifique : sélectionnez une zone de destination dans la liste à laquelle le trafic réseau est envoyé.

Adresses de destination

Sélectionnez l’adresse de destination à associer à la stratégie IPS :

  • Non configuré : correspond à l’adresse IP de destination configurée de la stratégie de pare-feu.

  • Any : correspond à n’importe quelle adresse IP de destination de la stratégie de pare-feu.

  • Spécifique : adresse IP de destination à laquelle le trafic réseau est envoyé.

    Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour les déplacer vers la colonne Sélectionnée. Vous pouvez sélectionner Exclure la sélection pour exclure uniquement l’adresse sélectionnée de la liste.
IPS Signatures

Ajouter

Sélectionnez des signatures prédéfinies ou personnalisées dans la liste pour les ajouter aux règles de stratégie IPS.

Supprimer

Sélectionnez les signatures IPS que vous ne souhaitez pas ajouter aux règles de stratégie IPS et cliquez sur l’icône de suppression.

Nom

Affiche le nom des signatures prédéfinies ou personnalisées de l’IPS.

Catégorie

Affiche les catégories prédéfinies des attaques ou des groupes d’attaques. Par exemple, App, HTTP et LDAP.

Gravité

Affiche le niveau de gravité de l’attaque signalé par la signature.

Type d’attaque

Affiche le type d’attaque (signature ou anomalie).

Action recommandée

Affiche l’action spécifiée de l’équipement lorsqu’il détecte une attaque. Par exemple, ignorer et abandonner.

Type

S’affiche si le type de signature IPS est prédéfini ou personnalisé.

Ajouter des signatures prédéfinies

Voir par

Affichez et sélectionnez les attaques ou groupes d’attaques prédéfinis souhaités, puis cliquez sur OK pour l’ajouter à la stratégie IPS sélectionnée.

Afficher ou masquer les colonnes

Utilisez l’icône Afficher masquer les colonnes dans le coin supérieur droit de la page et sélectionnez les options que vous souhaitez afficher ou désélectionnez pour masquer les options sur la page.

Nom

Affiche le nom des objets d’attaque prédéfinis ou du groupe d’objets d’attaque.

Catégorie

Affiche les catégories prédéfinies des attaques ou des groupes d’attaques. Par exemple, App, HTTP et LDAP.

Gravité

Affiche le niveau de gravité de l’attaque signalé par la signature.

Attaque de type

Affiche le type d’attaque (signature ou anomalie).

Recommandé

Affiche les attaques prédéfinies recommandées par Juniper Networks dans le groupe d’attaques dynamique.

Action recommandée

Affiche l’action spécifiée de l’équipement lorsqu’il détecte une attaque. Par exemple, ignorer et abandonner.

Performance

Affiche un filtre de performances (rapide, normal, lent et inconnu) pour ajouter des objets d’attaque en fonction du niveau de performance vulnérable à l’attaque.

Direction

Affiche le sens de connexion (n’importe quel, du client au serveur ou du serveur au client) de l’attaque.

Ajouter des signatures personnalisées

Voir par

Affichez et sélectionnez les attaques personnalisées, les groupes statiques ou les groupes dynamiques souhaités, puis cliquez sur OK pour l’ajouter à la stratégie IPS sélectionnée.

Signatures personnalisées : attaques personnalisées

Nom

Affiche le nom de l’objet d’attaque personnalisé.

Gravité

Affiche le niveau de gravité de l’attaque signalé par la signature.

Type d’attaque

Affiche le type d’attaque (signature ou anomalie).

Action recommandée

Affiche l’action spécifiée de l’équipement lorsqu’il détecte une attaque. Par exemple, ignorer et abandonner.

Signatures personnalisées : groupe statique

Nom

Affiche le nom statique du groupe pour les signatures personnalisées.

Membres du groupe

Affiche le nom de l’objet d’attaque ou de l’objet d’attaque de groupe. Les membres peuvent être des attaques prédéfinies, des groupes d’attaques prédéfinis, des attaques personnalisées ou des groupes dynamiques personnalisés.

Signatures personnalisées : groupes dynamiques

Nom

Affiche le nom dynamique du groupe pour les signatures personnalisées.

Préfixe d’attaque

Affiche la correspondance des préfixes pour les noms d’attaque. Par exemple : HTTP:*

Gravité

Affiche le niveau de gravité de l’attaque signalé par la signature.

Type d’attaque

Affiche le type d’attaque (signature ou anomalie).

Catégorie

Affiche les catégories de groupes d’attaques dynamiques. Par exemple, App, HTTP et LDAP.

Direction

Affiche le sens de connexion (n’importe quel, du client au serveur ou du serveur au client) de l’attaque.

Action
Note:

Cette option n’est pas disponible pour les règles exemptées.

Sélectionnez l’une des actions dans la liste :

  • Recommandé (par défaut) : une action par défaut est associée à tous les objets d’attaque prédéfinis. C’est l’action que nous recommandons lorsque cette attaque est détectée.

  • Aucune action : aucune action n’est prise. Utilisez cette action pour générer uniquement des journaux pour certains trafics.

  • Connexion d’abandon : supprime tous les paquets associés à la connexion, empêchant ainsi le trafic de la connexion d’atteindre sa destination. Utilisez cette action pour supprimer les connexions pour le trafic qui n’est pas susceptible d’usurper.

  • Drop Packet : abandonne un paquet correspondant avant qu’il n’atteigne sa destination, mais ne ferme pas la connexion. Utilisez cette action pour supprimer des paquets en cas d’attaques dans le trafic susceptible d’usurper, comme le trafic UDP. L’abandon d’une connexion pour un tel trafic peut entraîner un déni de service qui vous empêche de recevoir du trafic provenant d’une adresse IP source légitime.

  • Fermer le client : ferme la connexion et envoie un paquet RST au client, mais pas au serveur.

  • Fermer le serveur : ferme la connexion et envoie un paquet RST au serveur, mais pas au client.

  • Fermer le client et le serveur : ferme la connexion et envoie un paquet RST au client et au serveur.

  • Ignorer la connexion : arrête d’analyser le trafic pour le reste de la connexion si une correspondance d’attaque est trouvée. IPS désactive la base de règles pour la connexion spécifique.

  • Mark DiffServ : attribue la valeur de différenciation de service indiquée au paquet en cas d’attaque, puis la transmet normalement.

Options

Note:

Cette option n’est pas disponible pour les règles exemptées.

Journalisation des attaques

Activez les attaques de journal pour créer un enregistrement de journal qui apparaît dans la visionneuse de journaux.

Journaux de paquets

Activez les paquets journaux pour capturer les paquets reçus avant et après l’attaque pour une analyse hors ligne du comportement de l’attaquant.

Avancé
Note:

Cette option n’est pas disponible pour les règles exemptées.

Profilage des menaces

Note:

Les flux ne s’affichent que si vous vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande, request services security-intelligence download.

Ajouter l’attaquant au flux

Sélectionnez dans la liste pour ajouter les adresses IP des attaquants au flux afin de configurer une règle IPS avec des profils de menace.

Ajouter une cible au flux

Sélectionnez dans la liste pour ajouter les adresses IP cibles au flux afin de configurer une règle IPS avec des profils de menace.

Notifications

Paquets avant

Saisissez le nombre de paquets traités avant la capture de l’attaque.

Plage : 1 à 255. Par défaut est 1.

Note:

Cette option est disponible lorsque vous activez les paquets de journal.

Paquets après

Saisissez le nombre de paquets traités après la capture de l’attaque.

Portée : 0 à 255. Par défaut est 1.

Note:

Cette option est disponible lorsque vous activez les paquets de journal.

Délai d’expiration post-fenêtre

Saisissez le délai de capture des paquets post-attaque pour une session. Aucune capture de paquets n’est effectuée après l’expiration du délai.

Portée : 0 à 1800 secondes. La valeur par défaut est de 1 seconde.

Note:

Cette option est disponible lorsque vous activez les paquets de journal.

Indicateur d’alerte

Activez cette option pour définir un indicateur d’alerte dans la colonne Alerte de l’afficheur de journaux pour l’enregistrement de journal correspondant.

Note:

Cette option est disponible lorsque vous activez les attaques de journal.

IP Actions

Action

Spécifie l’action que l’IPS prend contre les connexions futures qui utilisent la même adresse IP.

Sélectionnez une action IP dans la liste :

  • Aucun : ne prenez aucune action, c’est-à-dire le paramètre par défaut.

  • Notifier : n'agissez pas sur le trafic futur, mais notez l'événement.

  • Fermeture : fermez les connexions futures de nouvelles sessions qui correspondent à l’adresse IP en envoyant des paquets RST au client et au serveur.

  • Bloquer : bloquez les connexions futures de n’importe quelle session correspondant à l’adresse IP.

Cible IP

Configurez la manière dont le trafic doit être associé aux actions IP configurées.

Sélectionnez une cible IP dans la liste :

  • Aucun : ne correspond à aucun trafic.

  • Adresse de destination : correspondance du trafic en fonction de l’adresse IP de destination du trafic d’attaque.

  • Service : pour TCP et UDP, faites correspondre le trafic en fonction de l’adresse IP source, du port source, de l’adresse IP de destination et du port de destination du trafic d’attaque.

  • Adresse source : correspondance du trafic en fonction de l’adresse IP source du trafic d’attaque.

  • Zone source : correspondance du trafic en fonction de la zone source du trafic d’attaque.

  • Adresse de la zone source : correspondance du trafic en fonction de la zone source et de l’adresse IP source du trafic d’attaque.

  • Service de zone : correspondance du trafic en fonction de la zone source, de l’adresse IP de destination, du port de destination et du protocole du trafic d’attaque.

Délai d’actualisation

Activez l’actualisation du délai d’action IP (que vous spécifiez dans le champ Timeout) si le trafic futur correspond aux actions IP configurées.

Timeout

Spécifie le nombre de secondes que l’action IP doit rester effective avant que de nouvelles sessions ne soient lancées dans le délai spécifié.

Saisissez la valeur du délai d’expiration en quelques secondes. La valeur maximale est de 65 535 secondes. Par défaut est de 300 secondes.

Log IP-Action

Permet d’enregistrer les informations sur l’action IP sur le trafic correspondant à une règle. Par défaut, ce paramètre est désactivé.

Création de règles IP-Action de journalisation

Activez la génération d’un événement lorsque le filtre d’action IP est déclenché. Par défaut, ce paramètre est désactivé.

Modificateurs de règles

Remplacement de la gravité

Niveau de gravité (Aucun, Critique, Info, Majeur, Mineur, Avertissement) pour remplacer la gravité héritée de l’attaque dans les règles. Le niveau le plus dangereux est critique, qui tente de planter votre serveur ou de prendre le contrôle de votre réseau. Le niveau informationnel est le moins dangereux et est utilisé par les administrateurs réseau pour trouver des failles dans leurs systèmes de sécurité.

Correspondance des terminaux

Activez la marque d’une règle IPS en tant que terminal. Lorsqu’une règle de terminal est appariée, l’équipement cesse de correspondre aux règles restantes de cette stratégie IPS.

Documentation connexe