リバースシェル検出の設定
SRXシリーズファイアウォールでリバースシェル検出を設定する
リバースシェルを使用すると、攻撃者はファイアウォールやその他のセキュリティメカニズムをバイパスして、ターゲットシステムへのポートを開くことができます。ターゲットシステムの脆弱性を利用して、シェルセッションを開始し、システムにリモートでアクセスします。逆シェル検出は、シェル攻撃を検出し、潜在的なデータ盗難を防ぐのに役立ちます。詳細については、 Juniper Advanced Threat Preventionクラウドユーザーガイドを参照してください。
SRXシリーズファイアウォールでリバースシェル検出を有効にするには、以下のデバイスのcliを含めます。
-
SecIntel プロファイルとポリシーを構成します。
services security-intelligence profile RevShellProfile category Reverse-Shell services security-intelligence profile RevShellProfile rule RevShellRule1 match threat-level 7 services security-intelligence profile RevShellProfile rule RevShellRule1 match threat-level 8 services security-intelligence profile RevShellProfile rule RevShellRule1 match threat-level 9services security-intelligence profile RevShellProfile rule RevShellRule1 match threat-level 10 services security-intelligence profile RevShellProfile rule RevShellRule1 then action permit services security-intelligence profile RevShellProfile rule RevShellRule1 then logservices security-intelligence policy secintel_policy Reverse-Shell RevShellProfile
-
セキュリティファイアウォールポリシーにSecIntelポリシーを割り当てます。
set security policies from-zone trust to-zone untrust policy atp_policy then permit application-services security-intelligence-policy secintel_policyset security policies from-zone untrust to-zone trust policy atp_policy then permit application-services security-intelligence-policy secintel_policy
セキュリティ インテリジェンスの統計情報を表示するには、 show services security-intelligence statistics
コマンドを使用します。
show services セキュリティインテリジェンス統計情報
show services security-intelligence statistics Logical system: root-logical-system Category Whitelist: Profile Whitelist: Total processed sessions: 1816 Permit sessions: 0 Reverse shell permit sessions: 0 Category Blacklist: Profile Blacklist: Total processed sessions: 1816 Block drop sessions: 0 Category CC: Profile feed-cc-log-only: Total processed sessions: 0 Permit sessions: 0 Block drop sessions: 0 Block close sessions: 0 Close redirect sessions: 0 Profile secintel_profile: Total processed sessions: 116 Permit sessions: 0 Block drop sessions: 0 Block close sessions: 0 Close redirect sessions: 0 Category Infected-Hosts: Profile ih_profile: Total processed sessions: 116 Permit sessions: 0 Block drop sessions: 0 Block close sessions: 0 Close redirect sessions: 0 Category Reverse-Shell: Profile RevShellProfile: Total processed sessions: 116 Permit sessions: 0 Block drop sessions: 0 Block close sessions: 0 Close redirect sessions: 0
show services security-intelligence category summary
コマンドを使用して、セキュリティ インテリジェンス カテゴリの概要を表示します。
show services security-intelligence カテゴリの概要
show services security-intelligence category summary Category name :Whitelist Status :Enable Description :Whitelist data Update interval :300s TTL :3456000s Feed name :whitelist_domain logical-system:root-logical-system Vrf name :junos-default-vrf Version :20230714.1 Objects number:0 Create time :2023-07-14 10:05:33 PDT Update time :2023-09-06 13:21:14 PDT Update status :N/A Expired :Yes Status :Active Options :N/A Feed name :whitelist_ip logical-system:root-logical-system Vrf name :junos-default-vrf Version :20230714.1 Objects number:0 Create time :2023-07-14 10:05:31 PDT Update time :2023-09-06 13:21:14 PDT Update status :N/A Expired :Yes Status :Active Options :N/A Feed name :whitelist_reverse_shell_domain logical-system:root-logical-system Vrf name :junos-default-vrf Version :20230629.2 Objects number:1 Create time :2023-08-22 21:05:02 PDT Update time :2023-09-06 13:21:14 PDT Update status :Store succeeded Expired :No Status :Active Options :N/A Feed name :whitelist_reverse_shell_ip logical-system:root-logical-system Vrf name :junos-default-vrf Version :20230823.2 Objects number:1 Create time :2023-08-22 21:04:48 PDT Update time :2023-09-06 13:21:14 PDT Update status :Store succeeded Expired :No Status :Active Options :N/A