Création de règles de stratégie IPS

Avant de commencer

Lisez la rubrique Comprendre les stratégies IPS .
Lisez la rubrique Comprendre les modèles de stratégie IPS .
Créez des stratégies IPS et des modèles de stratégie IPS. Reportez-vous aux sections Création de stratégies IPS et Création de modèles de stratégies IPS.

Cette page permet de créer des règles de système de prévention d’intrusion (IPS) qui définissent les actions à entreprendre lorsque le modèle de trafic correspondant est détecté. Vous pouvez ajouter, modifier ou supprimer des règles à une stratégie IPS.

Vous pouvez utiliser les modèles IPS prédéfinis lors de la création d’une stratégie IPS. Ces modèles contiennent des règles qui utilisent des actions par défaut associées aux objets d’attaque. Vous pouvez personnaliser ces modèles pour qu’ils fonctionnent sur votre réseau en sélectionnant vos propres adresses source et de destination, puis en choisissant des actions IPS qui reflètent vos besoins en matière de sécurité.

Les règles IPS protègent votre réseau contre les attaques en utilisant des objets d’attaque pour détecter les attaques connues et inconnues en fonction des anomalies de protocole et de signature dynamique. Les règles d’exemption IPS empêchent la génération d’alarmes inutiles.

Pour configurer une règle de stratégie IPS :

Sélectionnez Configurer > > ou modèles de > de stratégies IPS.
Cliquez sur le lien Ajouter des règles dans la stratégie créée.
Cliquez sur Créer , puis sélectionnez Règle IPS ou Règle d’exemption.
Complétez la configuration en suivant les instructions fournies dans les tableaux 1 et 2.
Cliquez sur Publier.

Une nouvelle règle IPS avec votre configuration est créée. Vous pouvez utiliser cette règle dans une stratégie IPS ou un modèle de stratégie IPS.

Tableau 1 : paramètres des règles de stratégie IPS
Paramètres	Lignes directrices
Nom	Saisissez une chaîne unique de caractères alphanumériques, de deux-points, de points, de tirets et de traits de soulignement. Aucun espace n’est autorisé et la longueur maximale est de 255 caractères.
Type d’IPS	Affichez la règle du type spécifié. Par exemple, IPS, Exempté.
Src. Zone	Cliquez sur le champ Zone source et configurez les paramètres de l’éditeur de zone source.
Editeur de zone source
Zone	Sélectionnez n’importe quelle zone pour la source. Vous pouvez également utiliser des exceptions de zone pour spécifier des zones uniques pour chaque appareil. Spécifiez any pour surveiller le trafic réseau provenant de n’importe quelle zone. La valeur par défaut est any.
Src. Adresse	Cliquez sur le champ Adresse source et configurez les paramètres de l’adresse source.
Adresse source
Sélection de l’adresse	Incluez ou excluez des adresses de la liste d’adresses sélectionnée pour la règle. Vous pouvez également choisir d’inclure l’une des adresses IP des objets source.
Adresses	Sélectionnez une ou plusieurs adresses IP disponibles dans la colonne Disponible à inclure dans la liste sélectionnée pour la règle.
Ajouter une nouvelle adresse source	Cliquez sur le bouton pour ajouter une nouvelle adresse source.
Dest. Zone	Cliquez sur le champ Zone de destination et configurez les paramètres de l’éditeur de zone de destination.
Editeur de zone de destination
Zone	Sélectionnez n’importe quelle zone pour la destination. Vous pouvez également utiliser des exceptions de zone pour spécifier des zones uniques pour chaque appareil. Spécifiez any pour surveiller le trafic réseau vers n’importe quelle zone. La valeur par défaut est any.
Dest. Adresse	Cliquez sur le champ Adresse de destination et configurez les paramètres d’adresse de destination.
Adresse de destination
Sélection de l’adresse	Incluez ou excluez des adresses de la liste d’adresses sélectionnée pour la règle. Vous pouvez également choisir d’inclure l’une des adresses IP des objets source.
Adresses	Sélectionnez une ou plusieurs adresses IP disponibles dans la colonne Disponible à inclure dans la liste sélectionnée pour la règle de stratégie.
Ajouter une nouvelle adresse de destination	Cliquez sur le bouton pour ajouter une nouvelle adresse de destination.
Service	Cliquez sur le champ Service et configurez les paramètres de l’éditeur de services.
Editeur de services
Services	Sélectionnez un service disponible pour la règle de stratégie. Par exemple: ftp : FTP permet l’envoi et la réception de fichiers entre les machines. ssh : SSH est un programme permettant de se connecter à un autre ordinateur via un réseau par le biais d’une authentification forte et de communications sécurisées sur un canal qui n’est pas sécurisé. Web : la stratégie autorise l’accès aux utilisateurs qui ont déjà été authentifiés par authentification Web. Pare-feu utilisateur : utilise les informations du nom d’utilisateur et du rôle pour déterminer s’il faut autoriser ou refuser la session ou le trafic d’un utilisateur. Infranet : envoie les informations sur l’utilisateur et le rôle de tous les utilisateurs authentifiés à partir du service de contrôle d’accès. La valeur par défaut est Default.Un service dans Security Director fait référence à une application sur un appareil, tel que le système de noms de domaine (DNS). Les services sont basés sur des protocoles et des ports et, lorsqu’ils sont ajoutés à une stratégie, ils peuvent être appliqués à tous les équipements gérés par Security Director.
Ajouter un nouveau service	Cliquez sur le bouton pour ajouter un nouveau service.
IPS Signature	Cliquez sur le champ Signature IPS et configurez les paramètres de signature IPS.
IPS Signature
IPS Signatures	Sélectionnez une ou plusieurs signatures IPS disponibles dans la colonne Disponible à inclure dans la liste sélectionnée pour la règle de stratégie.
Ajouter une nouvelle signature IPS	Cliquez sur le bouton pour ajouter une nouvelle signature IPS.
Action	Cliquez sur le champ Action et configurez les paramètres d’action.
Action
Action	Sélectionnez une option pour l’action que vous souhaitez que l’IPS effectue lorsque le trafic surveillé correspond aux objets d’attaque spécifiés dans les règles : Aucune action : n’effectue aucune action. Utilisez cette action lorsque vous souhaitez uniquement générer des journaux pour une partie du trafic. Ignore (Ignorer) : arrête l’analyse du trafic pour le reste de la connexion si une correspondance d’attaque est trouvée. IPS désactive la base de règles pour la connexion spécifique. Note: Il ne s’agit pas d’ignorer une attaque. Drop Packet (Supprimer le paquet) : supprime un paquet correspondant avant qu’il n’atteigne sa destination, mais ne ferme pas la connexion. Utilisez cette action pour supprimer des paquets en vue d’attaques dans un trafic sujet à l’usurpation d’identité, tel que le trafic UDP. L’interruption de connexion pour ce type de trafic peut entraîner un déni de service qui vous empêche de recevoir du trafic à partir d’une adresse IP source légitime. Drop Connection (Abandonner la connexion) : supprime tous les paquets associés à la connexion, empêchant ainsi le trafic de la connexion d’atteindre sa destination. Utilisez cette action pour supprimer les connexions pour le trafic qui n’est pas sujet à l’usurpation d’identité. Close Client (Fermer le client) : ferme la connexion et envoie un paquet RST au client, mais pas au serveur. Close Server (Fermer le serveur) : ferme la connexion et envoie un paquet RST au serveur, mais pas au client. Fermer le client et le serveur (Close Client and Server) : ferme la connexion et envoie un paquet RST au client et au serveur. Recommandé : répertorie tous les objets d’attaque que Juniper Networks considère comme des menaces sérieuses, classés par catégories. Par exemple, les groupes de gravité attaquent les objets en fonction de la gravité attribuée à l’attaque. Marquage Diffserv : attribue la valeur DSCP (Differentiated Services Code Point) indiquée au paquet lors d’une attaque, puis transmet le paquet normalement. Lorsque vous sélectionnez Marquage Diffserv, vous devez entrer la valeur du code. Point de code pour le marquage Diffserv : entrez une valeur de point de code. En fonction de la valeur DSCP, les classificateurs d’agrégation de comportement définissent la classe de transfert et la priorité de perte pour le trafic, décidant du traitement de transfert qu’il reçoit. Note: La valeur DSCP n’est pas appliquée au premier paquet détecté comme une attaque, mais aux paquets suivants.
Option de notification.	Cliquez sur le champ Notification et configurez les paramètres de notification.
Option de notification.
Journalisation des attaques	Activez cette option pour consigner les attaques.
Indicateur d’alerte	Activez cette option pour ajouter un indicateur d’alerte à un journal d’attaque.
Paquets de journaux	Activez cette option pour consigner la capture de paquets lorsqu’une règle correspond.
Paquets avant	Entrez le nombre de paquets traités avant que l’attaque ne soit capturée.
Paquets après	Entrez le nombre de paquets traités après la capture de l’attaque.
Délai d’expiration de la fenêtre de publication	Entrez la limite de temps pour capturer les paquets post-attaque pour une session. Aucune capture de paquets n’est effectuée après l’expiration du délai d’expiration. La plage est comprise entre 0 et 1800 secondes.
IP Action Opt.	Cliquez sur le champ Action IP et configurez les paramètres de l’action IP.
IP Action Opt.
Action en matière de PI	Sélectionnez une option pour appliquer des actions sur les connexions futures qui utilisent les mêmes attributs d’action IP : Aucun : n’effectue aucune action contre le trafic futur. IP Notify (Notification IP) : n’effectue aucune action contre le trafic futur, mais consigne l’événement. Il s’agit de l’option par défaut. IP Close (Fermeture IP) : ferme toutes les nouvelles sessions correspondant à cette règle d’action IP en envoyant des paquets RST au client et au serveur. Blocage IP : tous les paquets d’une session correspondant à la règle d’action IP sont abandonnés silencieusement. Lorsque le trafic correspond à plusieurs règles, l’action IP la plus sévère de toutes les règles correspondantes est appliquée. L’action IP la plus sévère est l’action Fermer la session, la suivante est l’action Abandonner/Bloquer la session, puis l’action Notifier.
IP cible	Sélectionnez une option pour bloquer les connexions futures : Aucun : ne correspond à aucun trafic. Destination Address (Adresse de destination) : fait correspondre le trafic en fonction de l’adresse de destination du trafic d’attaque. Service : pour TCP et UDP, correspond au trafic en fonction de l’adresse source, du port source, de l’adresse de destination et du port de destination du trafic d’attaque. Il s’agit de l’option par défaut. Source Address (Adresse source) : fait correspondre le trafic en fonction de l’adresse source du trafic d’attaque. Source Zone (Zone source) : correspond au trafic en fonction de la zone source du trafic d’attaque. Source Zone Address (Adresse de la zone source) : fait correspondre le trafic en fonction de la zone source et de l’adresse source du trafic d’attaque. Service de zone : fait correspondre le trafic en fonction de la zone source, de l’adresse de destination, du port de destination et du protocole du trafic d’attaque.
Délai d’expiration de l’actualisation	Activez cette option pour actualiser le délai d’expiration de l’action IP afin qu’il n’expire pas lorsque les connexions futures correspondent au filtre d’action IP.
Valeur du délai d’expiration	Entrez le nombre de secondes pendant lesquelles vous souhaitez que l’action IP reste en vigueur après une correspondance de trafic. La valeur par défaut est 0 seconde et la plage est comprise entre 0 et 64 800 secondes.
Journal pris	Activez cette option pour consigner des informations sur l’action IP par rapport au trafic qui correspond à une règle.
Création d’un journal	Activez cette option pour générer un événement de journal sur le filtre d’action IP.
Opt. supplémentaire	Cliquez sur le champ Supplémentaire et configurez les paramètres supplémentaires.
Opt. supplémentaire
Sévérité	Sélectionnez un niveau de gravité pour remplacer la gravité d’attaque héritée dans les règles. Les niveaux, par ordre croissant de gravité, sont info, avertissement, mineur, majeur et critique. Le niveau le plus dangereux est critique, car il tente de faire planter votre serveur ou de prendre le contrôle de votre réseau. Le niveau informationnel est le niveau le moins dangereux et est utilisé par les administrateurs réseau pour découvrir les failles dans leurs systèmes de sécurité.
Terminal	Activez cette option pour définir un indicateur de règle de terminal. L’appareil arrête de faire correspondre les règles pour une session lorsqu’une règle de terminal est mise en correspondance.
Description	Entrez une description pour la règle de stratégie IPS ; La longueur maximale est de 4096 caractères.

Tableau 2 : paramètres de règle des modèles de stratégie IPS
Paramètres	Lignes directrices
Nom	Saisissez une chaîne unique de caractères alphanumériques, de deux-points, de points, de tirets et de traits de soulignement. Aucun espace n’est autorisé et la longueur maximale est de 63 caractères.
Type d’IPS	Affichez la règle du type spécifié. Par exemple, IPS, Exempté.
IPS Signature	Cliquez sur le champ Signature IPS et configurez les paramètres de signature IPS.
IPS Signature
IPS Signatures	Sélectionnez une ou plusieurs signatures IPS disponibles dans la colonne Disponible à inclure dans la liste sélectionnée pour la règle de stratégie.
Ajouter une nouvelle signature IPS	Cliquez sur le bouton pour ajouter une nouvelle signature IPS.
Action	Cliquez sur le champ Action et configurez les paramètres d’action.
Action
Action	Sélectionnez une option pour l’action que vous souhaitez que l’IPS effectue lorsque le trafic surveillé correspond aux objets d’attaque spécifiés dans les règles : Aucune action : n’effectue aucune action. Utilisez cette action lorsque vous souhaitez uniquement générer des journaux pour une partie du trafic. Ignore (Ignorer) : arrête l’analyse du trafic pour le reste de la connexion si une correspondance d’attaque est trouvée. IPS désactive la base de règles pour la connexion spécifique. Note: Il ne s’agit pas d’ignorer une attaque. Drop Packet (Supprimer le paquet) : supprime un paquet correspondant avant qu’il n’atteigne sa destination, mais ne ferme pas la connexion. Utilisez cette action pour supprimer des paquets en vue d’attaques dans un trafic sujet à l’usurpation d’identité, tel que le trafic UDP. L’interruption de connexion pour ce type de trafic peut entraîner un déni de service qui vous empêche de recevoir du trafic à partir d’une adresse IP source légitime. Drop Connection (Abandonner la connexion) : supprime tous les paquets associés à la connexion, empêchant ainsi le trafic de la connexion d’atteindre sa destination. Utilisez cette action pour supprimer les connexions pour le trafic qui n’est pas sujet à l’usurpation d’identité. Close Client (Fermer le client) : ferme la connexion et envoie un paquet RST au client, mais pas au serveur. Close Server (Fermer le serveur) : ferme la connexion et envoie un paquet RST au serveur, mais pas au client. Fermer le client et le serveur (Close Client and Server) : ferme la connexion et envoie un paquet RST au client et au serveur. Recommandé : répertorie tous les objets d’attaque que Juniper Networks considère comme des menaces sérieuses, classés par catégories. Par exemple, les groupes de gravité attaquent les objets en fonction de la gravité attribuée à l’attaque. Marquage Diffserv : attribue la valeur DSCP (Differentiated Services Code Point) indiquée au paquet lors d’une attaque, puis transmet le paquet normalement. Lorsque vous sélectionnez Marquage Diffserv, vous devez entrer la valeur du code. Point de code pour le marquage Diffserv : entrez une valeur de point de code. En fonction de la valeur DSCP, les classificateurs d’agrégation de comportement définissent la classe de transfert et la priorité de perte pour le trafic, décidant du traitement de transfert qu’il reçoit. Note: La valeur DSCP n’est pas appliquée au premier paquet détecté comme une attaque, mais aux paquets suivants.
Option de notification.	Cliquez sur le champ Notification et configurez les paramètres de notification.
Option de notification.
Journalisation des attaques	Activez cette option pour consigner les attaques.
Indicateur d’alerte	Activez cette option pour ajouter un indicateur d’alerte à un journal d’attaque.
Paquets de journaux	Activez cette option pour consigner la capture de paquets lorsqu’une règle correspond.
Paquets avant	Entrez le nombre de paquets traités avant que l’attaque ne soit capturée.
Paquets après	Entrez le nombre de paquets traités après la capture de l’attaque.
Délai d’expiration de la fenêtre de publication	Entrez la limite de temps pour capturer les paquets post-attaque pour une session. Aucune capture de paquets n’est effectuée après l’expiration du délai d’expiration. La plage est comprise entre 0 et 1800 secondes.
IP Action Opt.	Cliquez sur le champ Action IP et configurez les paramètres de l’action IP.
IP Action Opt.
Action en matière de PI	Sélectionnez une option pour appliquer des actions sur les connexions futures qui utilisent les mêmes attributs d’action IP : Aucun : n’effectue aucune action contre le trafic futur. IP Notify (Notification IP) : n’effectue aucune action contre le trafic futur, mais consigne l’événement. Il s’agit de l’option par défaut. IP Close (Fermeture IP) : ferme toutes les nouvelles sessions correspondant à cette règle d’action IP en envoyant des paquets RST au client et au serveur. Blocage IP : tous les paquets d’une session correspondant à la règle d’action IP sont abandonnés silencieusement. Lorsque le trafic correspond à plusieurs règles, l’action IP la plus sévère de toutes les règles correspondantes est appliquée. L’action IP la plus sévère est l’action Fermer la session, la suivante est l’action Abandonner/Bloquer la session, puis l’action Notifier.
IP cible	Sélectionnez une option pour bloquer les connexions futures : Aucun : ne correspond à aucun trafic. Destination Address (Adresse de destination) : fait correspondre le trafic en fonction de l’adresse de destination du trafic d’attaque. Service : pour TCP et UDP, correspond au trafic en fonction de l’adresse source, du port source, de l’adresse de destination et du port de destination du trafic d’attaque. Il s’agit de l’option par défaut. Source Address (Adresse source) : fait correspondre le trafic en fonction de l’adresse source du trafic d’attaque. Source Zone (Zone source) : correspond au trafic en fonction de la zone source du trafic d’attaque. Source Zone Address (Adresse de la zone source) : fait correspondre le trafic en fonction de la zone source et de l’adresse source du trafic d’attaque. Service de zone : fait correspondre le trafic en fonction de la zone source, de l’adresse de destination, du port de destination et du protocole du trafic d’attaque.
Délai d’expiration de l’actualisation	Activez cette option pour actualiser le délai d’expiration de l’action IP afin qu’il n’expire pas lorsque les connexions futures correspondent au filtre d’action IP.
Valeur du délai d’expiration	Entrez le nombre de secondes pendant lesquelles vous souhaitez que l’action IP reste en vigueur après une correspondance de trafic. La valeur par défaut est 0 seconde et la plage est comprise entre 0 et 64 800 secondes.
Journal pris	Activez cette option pour consigner des informations sur l’action IP par rapport au trafic qui correspond à une règle.
Création d’un journal	Activez cette option pour générer un événement de journal sur le filtre d’action IP.
Opt. supplémentaire	Cliquez sur le champ Supplémentaire et configurez les paramètres supplémentaires.
Opt. supplémentaire
Sévérité	Sélectionnez un niveau de gravité pour remplacer la gravité d’attaque héritée dans les règles. Les niveaux, par ordre croissant de gravité, sont info, avertissement, mineur, majeur et critique. Le niveau le plus dangereux est critique, car il tente de faire planter votre serveur ou de prendre le contrôle de votre réseau. Le niveau informationnel est le niveau le moins dangereux et est utilisé par les administrateurs réseau pour découvrir les failles dans leurs systèmes de sécurité.
Terminal	Activez cette option pour définir un indicateur de règle de terminal. L’appareil arrête de faire correspondre les règles pour une session lorsqu’une règle de terminal est mise en correspondance.
Description	Entrez une description pour la règle de stratégie IPS ; La longueur maximale est de 1024 caractères.

Création de règles de stratégie IPS

Documentation connexe