À propos de la page Capteur

Capture de paquets

Stockage local

Activez cette option pour stocker le fichier PCAP localement (/var/log/pcap/idp/) sur le pare-feu SRX Series.

Nombre maximal de fichiers

Entrez ou sélectionnez le nombre maximal de fichiers de capture de paquets uniques à créer avant que le fichier le plus ancien ne soit écrasé par un fichier nouvellement créé.

Portée : 1 à 5000.

Limite de stockage

Entrez ou sélectionnez l’espace disque maximal (mégaoctets) pouvant être utilisé dans le moteur de routage pour les fichiers de capture de paquets.

Plage : de 1 Mo à 4096 Mo.

Serveur externe

Activez cette option pour envoyer le fichier PCAP à un serveur externe.

Adresse IP

Entrez l’adresse IPv4 du serveur externe qui capture le paquet.

Port

Entrez ou sélectionnez le numéro de port du serveur pour que les pare-feu SRX Series envoient l’objet de capture de paquets.

Numéro de port : 0 à 65535. Le port par défaut est 2050.

Adresse source

Entrez l’adresse IPv4 source du paquet TCP ou UDP de l’opérateur.

IDP by-pass

Activez ou désactivez l’option IDP Intelligent Bypass.

Seuil de CPU de contournement IDP

Entrez la valeur de seuil.

Plage : 0 à 99. Valeur par défaut : 85.

Tolérance du processeur de by-pass IDP

Entrez la valeur de tolérance du processeur.

Portée : 1 à 99. Valeur par défaut : 5.

Inspection intelligente

Activez ou désactivez cette option.

Si vous activez cette option, saisissez les informations suivantes :

• Ignorer la décompression du contenu : activez cette option pour activer la décompression du contenu de la charge utile.

• Gravité de la signature : sélectionnez dans la liste le niveau de gravité de l’attaque que la signature signalera pour traitement IDP. Les options disponibles sont mineures, majeures et critiques.

  Note:

  Cliquez sur Effacer tout pour effacer toutes les valeurs de gravité sélectionnées.

• Protocoles : sélectionnez dans la liste les protocoles qui doivent être traités en mode Inspection intelligente.

  Note:

  Cliquez sur Tout effacer pour effacer tous les protocoles sélectionnés.

• CPU Threshold ( %) (Seuil d’utilisation du processeur) ( %) : entrez la valeur du pourcentage de seuil d’utilisation du CPU pour une inspection intelligente.

  Plage : 0 à 99 %.

• Tolérance de l’UC ( %) : entrez la valeur du pourcentage de tolérance d’utilisation de l’UC pour une inspection intelligente.

  Plage : 1 à 99 %.

• Memory Tolerance (Tolérance de la mémoire) : entrez la valeur du pourcentage de tolérance de la mémoire pour une inspection intelligente.

  Plage : 1 à 100 %.

• Seuil de mémoire disponible (Free Memory Threshold) : entrez la valeur du pourcentage de seuil de mémoire disponible pour une inspection intelligente.

  Plage : 1 à 100 %.

• Session Bytes Depth (Profondeur des octets de session) : entrez la valeur de la profondeur d’analyse des octets de session.

  Plage : 1 à 1000000 octets.

Seuil inférieur de mémoire

Entrez le pourcentage de limite inférieure de la mémoire.

Portée : 1 à 100.

Seuil supérieur de mémoire

Entrez le pourcentage de limite supérieure de la mémoire.

Portée : 1 à 100.

Protection Mode

Sélectionnez une option pour spécifier les paramètres d’inspection afin d’inspecter efficacement le trafic dans l’appareil. Les options disponibles sont les suivantes :

• Datacenter : désactive toute inspection du trafic STC.

• Datacenter plein : désactive toutes les inspections du trafic STC.

• Périmètre : inspecte l’ensemble du trafic STC (Server To Client).

• Périmètre plein : inspecte l’ensemble du trafic STC.

Gestion des exceptions

Drop On Limit

Activez cette option pour spécifier les connexions interrompues en cas de dépassement des limites de ressources.

Drop On Basculement

Activez cette option pour spécifier le trafic abandonné sur les sessions de basculement HA.

Abandonner si aucune stratégie n’est chargée

Activez cette option pour spécifier tout le trafic abandonné jusqu’à ce que la stratégie IDP soit chargée.

Consigner les erreurs

Activez cette option pour spécifier si les erreurs de flux doivent être consignées.

Sélectionnez une option dans la liste.

Taille maximale FIFO de flux

Entrez une valeur pour spécifier la taille FIFO maximale.

Plage : 1 à 65535. La valeur par défaut est 1.

Taille de la table de hachage

Entrez une valeur pour spécifier la taille de la table de hachage.

Portée : 1024 à 1 000 000. La valeur par défaut est 1024.

Nombre maximal de ticks d’interrogation des minuteries

Entrez une valeur pour spécifier la durée maximale pendant laquelle le minuteur s’exécute à intervalles réguliers.

Plage : 0 à 1000 ticks. La valeur par défaut est de 1000 ticks.

Délai d’expiration du rejet

Entrez une valeur pour spécifier la durée en millisecondes pendant laquelle une réponse doit être reçue.

Portée : 1 à 65 535 secondes. La valeur par défaut est de 300 secondes.

Activer tous les modules Q

Sélectionnez une option dans la liste pour spécifier que tous les modules qmodules de la stratégie de sécurité IDP de la base de règles globale sont activés.

Activer le pool de paquets

Sélectionnez une option dans la liste pour spécifier que le pool de paquets peut être utilisé lorsque le pool actuel est épuisé.

Cache de recherche de stratégie

Sélectionnez une option dans la liste pour spécifier que le cache est activé pour accélérer la recherche de stratégie IDP.

Pourcentage de limite de mémoire

Entrez une valeur pour spécifier la limite d’utilisation de la mémoire IDP à ce pourcentage de mémoire disponible.

Plage : 10 à 90 %.

HTTP X-Forwarded

Lorsque vous activez cette option, pendant le flux de trafic, IDP enregistre les adresses IP sources (IPv4 ou IPv6) dans les contextes du trafic HTTP et les affiche dans les journaux des attaques.

Détecter le shellcode

Sélectionnez une option dans la liste pour indiquer si la détection de shellcode doit être appliquée.

Ignorer l’expression régulière

Sélectionnez une option dans la liste pour spécifier si le capteur doit contourner la correspondance DFA et PCRE.

Processus Ignorer le serveur au client

Sélectionnez une option dans la liste pour indiquer si le capteur doit ignorer le traitement IPS pour les flux serveur-client.

Remplacement du processus

Sélectionnez une option dans la liste pour spécifier si le capteur doit exécuter des décodeurs de protocole, même sans stratégie IDP.

Port de traitement

Entrez un nombre entier pour spécifier un port sur lequel le capteur exécute les décodeurs de protocole.

Plage : 0 à 65535.

Taille maximale IPS FIFO

Entrez un nombre entier pour spécifier la taille maximale allouée à la FIFO IPS.

Plage : 1 à 65535.

Chevauchement minimal des bûches

Entrez un nombre entier pour spécifier le nombre minimal de journaux pour déclencher la fonctionnalité de hiérarchie de signatures.

Plage : 0 à 65535.

Taille du cache

Entrez une valeur pour spécifier la taille en octets du cache de journal de chaque utilisateur.

Désactiver la suppression

Activez cette option pour spécifier si la suppression des journaux doit être désactivée.

Inclure l’adresse de destination

Sélectionnez une option dans la liste pour indiquer si vous combinez les enregistrements de journal pour les événements avec une adresse source correspondante.

Nombre maximal de journaux fonctionnant

Entrez une valeur pour spécifier le nombre maximal de journaux sur lesquels la suppression des journaux peut s’opérer. La plage est comprise entre 255 et 65536.

Rapport de temps max

Entrez une valeur pour spécifier la durée (en secondes) après laquelle les journaux supprimés seront signalés. IDP signale par défaut la suppression des journaux au bout de 5 secondes.

Démarrer le journal

Entrez une valeur pour spécifier le nombre d’occurrences de journal après lequel la suppression du journal commence. Par défaut, la suppression des journaux commence par la première occurrence.

La plage est comprise entre 1 et 128.

Ignorer le débordement de mémoire

Sélectionnez une option dans la liste pour indiquer si l’utilisateur doit autoriser la mémoire par flux à dépasser la limite.

Ignorer le débordement de mémoire de réassemblage

Sélectionnez une option dans la liste pour indiquer si l’utilisateur doit autoriser la mémoire de réassemblage par flux à sortir de la limite.

Ignorer le débordement de réassemblage

Activez cette option pour spécifier que le réassembleur TCP doit ignorer le dépassement de capacité du réassemblage global afin d’éviter l’abandon du trafic applicatif.

Mémoire de flux max

Entrez un entier pour spécifier la mémoire maximale par flux pour le réassemblage TCP en kilo-octets.

Plage : 64 à 4 294 967 295 kilo-octets.

Mémoire maximale de paquets

Entrez un nombre entier pour spécifier la mémoire de paquets maximale pour le réassemblage TCP en kilo-octets.

Portée : 64 à 4 294 967 295 kilo-octets

Nombre maximal de synacks en file d’attente

Entrez un entier pour spécifier la limite maximale de mise en file d’attente de paquets Syn/Ack avec des numéros SEQ différents.

Portée : 0 à 5

Nombre maximal de sessions

Entrez un nombre entier pour spécifier le nombre maximal de sessions effectuant activement des captures de paquets pré-attaque sur un périphérique à la fois.

Portée : 1 à 100 %

Mémoire totale

Entrez un nombre entier pour spécifier la quantité maximale de mémoire à allouer à la capture de paquets pour le périphérique.

Portée : 1 à 100 %

Detectors (Détecteurs) : cliquez sur +.

La fenêtre Détecteur s’ouvre et saisissez les détails du champ suivant.

Protocole

Sélectionnez le nom du protocole dans la liste pour activer ou désactiver le détecteur.

Nom réglable

Sélectionnez le nom du paramètre accordable spécifique dans la liste afin d’activer ou de désactiver le détecteur de protocole pour chacun des services.

Valeur ajustable

Entrez la valeur de protocole du paramètre accordable spécifique pour activer ou désactiver le détecteur de protocole pour chacun des services.

Plage : 0 à 4294967295