Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre les stratégies IPS

Une stratégie de système de prévention d’intrusion (IPS) vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau passant par un équipement compatible IPS. Il existe deux types d’options de stratégie :

  • Stratégie de groupe : sélectionnez cette option lorsque vous souhaitez envoyer une configuration à un groupe d’appareils. Vous pouvez créer des règles pour une stratégie de groupe.

    Lors de l’attribution d’un appareil pour une stratégie de groupe, seuls les appareils du domaine actuel et du domaine enfant (avec le parent d’affichage activé) sont répertoriés. Les périphériques du domaine enfant avec le parent d’affichage désactivé ne sont pas répertoriés. Toutes les stratégies de groupe du domaine global ne sont pas visibles dans le domaine enfant. Les stratégies de groupe du domaine global (y compris la stratégie Tous les appareils) ne sont pas visibles par le domaine enfant si le parent d’affichage de ce domaine enfant est désactivé. Seules les stratégies de groupe du domaine global, auxquelles sont affectés des appareils du domaine enfant, sont visibles dans le domaine enfant. S’il existe une stratégie de groupe dans le domaine global avec des appareils des domaines D1 et globaux qui lui sont affectés, seule cette stratégie de groupe du domaine global est visible dans le domaine D1 avec uniquement les périphériques du domaine D1. Aucun autre périphérique, c’est-à-dire la stratégie d’exception d’appareil, du domaine global n’est visible dans le domaine D1.

    Vous ne pouvez pas modifier une stratégie de groupe du domaine global à partir du domaine enfant. Il en va de même pour la stratégie Tous les appareils. La modification de la stratégie, la suppression de la stratégie, la gestion d’un instantané, d’une stratégie d’instantané et l’acquisition du verrou de stratégie ne sont pas non plus autorisées. De même, vous ne pouvez pas effectuer ces actions sur la stratégie d’exception d’appareil du domaine D1 à partir du domaine global. Vous pouvez hiérarchiser les stratégies de groupe à partir du domaine actuel. Les stratégies de groupe des autres domaines ne sont pas répertoriées.

  • Device Policy (Stratégie d’appareil) : sélectionnez cette option lorsque vous souhaitez appliquer une configuration de stratégie IPS unique par appareil. Vous pouvez créer des règles d’appareil pour une stratégie IPS d’appareil.

    Security Director affiche un système logique ou un système de locataire comme n’importe quel autre équipement de sécurité et s’approprie la configuration de sécurité du système logique ou du système de locataire. Dans Security Director, chaque système logique ou système de locataire est géré en tant qu’équipement de sécurité unique.

    Lors de l’attribution d’un appareil pour une stratégie d’appareil, seuls les appareils du domaine actuel sont répertoriés.

Note:

Si Security Director découvre le système logique racine, le LSYS racine découvre tous les autres LSYS et TSYS utilisateurs à l’intérieur du périphérique.

Une stratégie IPS se compose de bases de règles et chaque base de règles contient un ensemble de règles. Elle vous permet de définir des règles de stratégie pour une section de trafic en fonction d’une zone, d’un réseau et d’une application, puis de prendre des mesures préventives actives ou passives sur ce trafic.

Une base de règles IPS protège votre réseau contre les attaques en utilisant des objets d’attaque pour détecter les attaques connues et inconnues. Il détecte les attaques basées sur des signatures dynamiques et des anomalies de protocole.

Une base de règles exemptée fonctionne conjointement avec la base de règles IPS. Vous devez avoir des règles dans la base de règles IPS avant de pouvoir créer des règles exemptées. Si le trafic correspond à une règle de la base de règles IPS, la stratégie IPS tente de faire correspondre le trafic à la base de règles exemptée avant d’effectuer l’action spécifiée ou de créer un enregistrement de journal pour l’événement. Si la stratégie IPS détecte un trafic qui correspond à la paire source/destination et aux objets d’attaque spécifiés dans la base de règles exemptée, elle exempte automatiquement ce trafic de la détection des attaques.

Configurez une base de règles exemptée dans les conditions suivantes :

  • Lorsqu’une règle IPS utilise un groupe d’objets d’attaque qui contient un ou plusieurs objets d’attaque qui produisent des faux positifs ou des enregistrements de journal non pertinents.

  • Lorsque vous souhaitez exclure une source, une destination ou une paire source-destination spécifique de la correspondance d’une règle IPS. Cela empêche l’IPS de générer des alarmes inutiles.

Une fois que vous avez créé une stratégie IPS en ajoutant des règles dans une ou plusieurs bases de règles, vous pouvez publier ou mettre à jour la stratégie. Vous pouvez également afficher la liste des équipements de sécurité auxquels des stratégies IPS sont affectées. Cette liste vous permet d’afficher les détails de toutes les stratégies et règles IPS attribuées à chaque appareil.

Prise en charge des stratégies de pare-feu unifiées et standard

À partir de Junos Space Security Director version 19.3, vous pouvez affecter une stratégie IPS aux stratégies de pare-feu standard et unifié. Avec la prise en charge de la stratégie IPS au sein de la stratégie de pare-feu :

  • Toutes les correspondances IPS seront désormais traitées dans les politiques de pare-feu standard ou unifié, sauf si une source, une destination ou une application explicite est définie dans la stratégie IPS.

  • Vous n’avez pas besoin de configurer l’adresse source ou de destination, la source et la destination, sauf, la zone de départ et d’arrivée, ou l’application, car la correspondance se produit dans la stratégie de pare-feu. Toutefois, vous pouvez configurer des conditions de correspondance dans la stratégie IPS pour obtenir une granularité supplémentaire.

  • La correspondance initiale de la stratégie de pare-feu peut entraîner une ou plusieurs correspondances de stratégie. Dans le cadre de la vérification de l’intérêt de session, IPS sera activé si la stratégie IPS est présente dans l’une des règles correspondantes.

Note:

Pour les équipements équipés de Junos OS version 18.2, une stratégie IPS unique est prise en charge dans les règles de stratégie de pare-feu. Pour les équipements à partir de Junos OS version 18.3, plusieurs stratégies IPS sont prises en charge dans les règles de stratégie de pare-feu.

Si vous avez configuré une stratégie de pare-feu traditionnelle (avec une condition de correspondance de 5 tuples ou une application dynamique configurée comme aucune) et une stratégie unifiée (avec une condition de correspondance de 6 tuples), la stratégie de pare-feu traditionnelle correspond d’abord au trafic, avant la stratégie unifiée.

Lorsque vous configurez une stratégie unifiée avec une application dynamique comme l’une des conditions correspondantes, la configuration élimine les étapes supplémentaires impliquées dans la configuration de la stratégie IPS. Toutes les configurations de la stratégie IPS sont gérées dans la stratégie de pare-feu unifié, ce qui simplifie la tâche de configuration de la stratégie IPS afin de détecter toute attaque ou intrusion pour une session donnée.

À partir de Junos OS version 18.2, la configuration CLI de la stratégie IPS est générée en même temps que la stratégie de pare-feu standard ou unifié à laquelle la stratégie IPS est attachée.

Stratégies IPS multiples pour les stratégies de pare-feu unifiées et standard

Lorsqu’un équipement SRX Series est configuré avec des stratégies de pare-feu standard et unifiées, vous pouvez configurer plusieurs stratégies IPS et définir l’une d’entre elles comme stratégie par défaut. Si plusieurs stratégies IPS sont configurées pour une session et qu’un conflit de stratégie se produit, l’équipement applique la stratégie IPS par défaut pour cette session et résout ainsi les conflits de stratégie.

Note:

Si vous avez configuré au moins deux stratégies IPS dans une stratégie de pare-feu, vous devez configurer la stratégie IPS par défaut.

La phase initiale de recherche des stratégies de sécurité, qui précède l’identification d’une application dynamique, peut générer plusieurs correspondances potentielles des stratégies. L’IPS est activé sur la session si au moins une des stratégies de sécurité correspondantes a une stratégie IPS configurée.

Si une seule stratégie IPS est configurée dans la liste des stratégies potentielles, cette stratégie IPS est appliquée à la session. Si plusieurs stratégies IPS sont configurées pour une session dans la liste des stratégies potentielles, le périphérique SRX Series applique la stratégie IPS configurée en tant que stratégie IPS par défaut.

IPS dans les systèmes logiques

À partir de Junos Space Security Director version 20.1R1, une stratégie IPS vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau passant par un système logique (LSYS).

Vous pouvez configurer les stratégies IPS au niveau racine. La configuration d’une stratégie IPS pour LSYS est similaire à la configuration d’une stratégie IPS sur un périphérique qui n’est pas configuré pour LSYS. Cela peut inclure la configuration d’objets d’attaque personnalisés. Les modèles de stratégie IPS installés dans le LSYS racine sont visibles et utilisés par tous les LSYS. Spécifiez une stratégie IPS dans le profil de sécurité qui est liée à un LSYS. Bien qu’il soit possible de configurer plusieurs stratégies IPS, un LSYS ne peut avoir qu’une seule stratégie IPS active à la fois. Pour l’utilisateur LSYS, vous pouvez soit lier la même stratégie IPS à plusieurs LSYS utilisateur, soit lier une stratégie IPS unique à chaque LSYS utilisateur.

Si vous avez configuré plusieurs stratégies IPS dans une stratégie de sécurité, la configuration de la stratégie IPS par défaut est obligatoire. Si la stratégie IPS n’est pas configurée pour un LSYS utilisateur, la stratégie IPS configurée par défaut est utilisée.

Vous devez installer la licence de signature IPS au niveau racine. Une fois que l’IPS est activé au niveau racine, il peut être utilisé avec n’importe quel LSYS sur l’appareil. Un seul package de sécurité IPS est installé pour tous les LSYS sur l’appareil au niveau racine. Les options de téléchargement et d’installation ne peuvent être exécutées qu’au niveau racine. La même version de la base de données d’attaque IPS est partagée par tous les LSYS.

Note:

Les équipements exécutant Junos OS version 18.3 et ultérieure prennent en charge IPS pour le système logique.

Pour configurer une stratégie IPS dans une stratégie de pare-feu et pour importer une stratégie de pare-feu pour laquelle une stratégie IPS est configurée, reportez-vous au Guide À la une.

Documentation connexe