Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS シグネチャの作成

Contrail Service Orchestration(CSO)のシグネチャ データベースには、定義済みの侵入防御システム(IPS)シグネチャが含まれています。テナント管理者ロールまたは適切な IPS タスクを持つカスタム ロールを持つユーザーは、[IPS シグネチャの作成(Create IPS Signature)] ページから、カスタマイズされた IPS シグネチャを作成して、新しい攻撃や未知の攻撃をブロックすることもできます。

カスタマイズした IPS シグネチャを作成するには:

  1. IPS>IPSシグネチャ>設定を選択します。

    IPS シグネチャ ページは現われます。

  2. [ Create > IPS Signature] を選択します。

    IPS シグニチャの作成 ページが表示されます。

  3. 表 1 のガイドラインに従って設定を完了します。
    メモ:

    アスタリスク (*) の付いたフィールドは必須です。

  4. OK をクリックします。

    「IPS シグニチャー」ページに戻り、シグニチャーが作成されたことを示すメッセージが表示されます。

IPS 署名を作成した後、IPS または免除ルールで署名を使用し、デバイスに展開できるファイアウォール ポリシーで(ルールを含む)IPS プロファイルを参照できます。

表 1: IPS シグネチャ設定の作成

設定

ガイドライン

名前

英数字と特殊文字(コロン、ハイフン、ピリオド、アンダースコア)の文字列である IPS 署名の一意の名前を入力します。スペースは使用できません。最大長は 255 文字です。

説明

IPS シグネチャの説明を入力します。最大長は 1024 文字です。

カテゴリ

定義済みのカテゴリまたは新しいカテゴリを入力します。カテゴリには、英数字と特殊文字 (ハイフンとアンダースコア) を含めることができ、先頭は英数字である必要があります。スペースは使用できません。最大長は 63 文字です。

カテゴリーを使用して攻撃オブジェクトをグループ化し、各カテゴリー内で、攻撃オブジェクトに重大度レベルを割り当てることができます。

アクション

監視対象トラフィックが IPS ルールで指定された攻撃オブジェクトと一致した場合に実行するアクションを選択します。

  • [なし(なし)]:アクションは実行されません。このアクションを使用して、一部のトラフィックのログのみを生成します。

  • Close Client & Server - 接続を閉じ、クライアントとサーバーの両方に TCP リセット(RST)パケットを送信します。

  • [クライアントを閉じる(Close Client)]:接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。

  • [サーバーを閉じる]:接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。

  • [無視(Ignore)]:攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。

  • ドロップ:接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。

  • Drop Packet:一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックを受信できなくなる可能性があります。

キーワード

署名の検索と並べ替えに使用できる一意の識別子を入力します。キーワードは、攻撃と攻撃オブジェクトに関連している必要があります。たとえば、Amanda Amindexd Remote Overflow などです。

重大 度

署名が報告する攻撃の重大度レベルを選択します。

  • 重大 - 検知を回避しようとする、ネットワーク デバイスをクラッシュさせようとする、またはシステム レベルの権限を取得しようとする攻撃に一致する攻撃オブジェクトが含まれます。

  • [メジャー(Major)]:サービスの中断、ネットワーク デバイスへのユーザ レベルのアクセスの取得、またはデバイスに以前にロードされたトロイの木馬のアクティブ化を試みる攻撃に一致する攻撃オブジェクトが含まれます。

  • [マイナー(Minor)]:ディレクトリ トラバーサルや情報漏えいを通じて重要な情報にアクセスしようとする偵察活動を検出する攻撃に一致する攻撃オブジェクトが含まれます。

  • 警告 - 重要でない情報を取得しようとする、またはスキャン ツールを使用してネットワークをスキャンしようとする攻撃に一致する攻撃オブジェクトが含まれます。

  • 情報—URL、DNSルックアップエラー、SNMPパブリックコミュニティ文字列、ピアツーピア(P2P)パラメータを含む、通常の無害なトラフィックに一致する攻撃オブジェクトが含まれます。情報攻撃オブジェクトを使用して、ネットワークに関する情報を取得できます。

署名の詳細

 

バインディング

攻撃がネットワークに侵入するために使用するプロトコルまたはサービスを選択します。

  • IP:[プロトコル(Protocol)] フィールドで指定する必要がある指定されたプロトコル タイプ番号の攻撃に一致します。

  • [IPv6]:[次のヘッダー(Next Header)] フィールドで指定する必要がある、指定されたプロトコル タイプ番号(IPv6 ヘッダーに続くヘッダー)の攻撃に一致します。

  • ICMP - ICMP パケットの攻撃を照合します。

  • IPv6 - ICMPv6 パケットの攻撃に一致させます。

  • TCP:[ポート範囲(Port Range(s)] フィールドで指定する必要がある指定された TCP ポートまたはポート範囲の攻撃に一致します。

  • UDP - 指定された UDP ポートまたはポート範囲の攻撃に一致します。

  • RPC:[プログラム番号(Program Number)] フィールドで指定する必要がある指定されたリモート プロシージャ コール(RPC)プログラム番号の攻撃を照合します。

  • [サービス(Service)]:指定したサービスの攻撃に一致し、[サービス] フィールドから選択する必要があります。

プロトコル

[IP バインド] で、攻撃に一致させるトランスポート層のプロトコル番号を指定します。

範囲: 1 から 139 (1、6、および 17 を除く)。

次のヘッダー

IPv6 バインディングの場合、攻撃に一致する IPv6 ヘッダーに続く次のヘッダーのトランスポート層プロトコル番号を指定します。

範囲: 1 から 139 (6、17、および 58 を除く)。

ポート範囲

TCP または UDP バインドの場合は、攻撃に一致させるポート番号またはポート範囲 (min-port-no-max-port-no 形式) を指定します。

プログラム番号

RPC バインドの場合は、攻撃に一致する RPC プログラム番号 (ID) を指定します。

サービス

[サービス バインド] で、攻撃に一致するサービスを選択します。

時間カウント

イベントをトリガーする前に、指定された時間内にIPSが攻撃を検出する回数を指定します。

時間範囲

攻撃のカウントが発生する範囲を指定します。

  • 送信元 IP:宛先 IP アドレスに関係なく、指定された時間カウントの間、送信元 IP アドレスからの攻撃を検出します。

  • Dest IP:送信元 IP アドレスに関係なく、指定された時間カウントの宛先 IP アドレスからの攻撃を検出します。

  • ピア:指定された時間カウントで、セッションの送信元 IP アドレスと宛先 IP アドレス間の攻撃を検出します。

マッチアシュアランス

誤検知フィルターを指定して、攻撃がネットワーク上で誤検知を生成する頻度に基づいて攻撃オブジェクトを追跡します。

  • [高(High)]:頻繁に追跡される誤検知の発生に関する情報を提供します。

  • [中(Medium)]:不定期に追跡される誤検知の発生に関する情報を提供します。

  • [低]:まれに追跡される誤検知の発生に関する情報を提供します。

パフォーマンスへの影響

このフィルターを指定して、パフォーマンスへの影響に基づいて適切な攻撃のみを選択します。たとえば、パフォーマンスの低い攻撃オブジェクトを除外するには、次のようにします。

  • [高] - 攻撃に対して脆弱な、高パフォーマンスの影響を持つ攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は高7から高9で、アプリケーションの識別が遅くなります。

  • [中] - 攻撃に対して脆弱な、中程度のパフォーマンス影響の攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は medium4 から medium6 で、アプリケーションの識別は正常です。

  • 低 - 攻撃に対して脆弱な、パフォーマンスへの影響の少ない攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は低1から低3で、アプリケーションの識別が高速です。

  • 不明 - パフォーマンスへの影響が不明な攻撃オブジェクトを追加します。

署名の追加

ステートフル攻撃シグネチャ (攻撃の特定のセクション内に常に存在するパターン) を使用して既知の攻撃を検出する 1 つ以上のシグニチャ攻撃オブジェクトを指定できます。

メモ:

カスタマイズされた IPS シグネチャの場合、少なくとも 1 つのシグネチャ攻撃オブジェクトまたは異常を指定する必要があります。

  • シグネチャ攻撃オブジェクトを追加するには:

    1. 追加(+)アイコンをクリックします。

      [署名の追加] ページが表示されます。

    2. 表 2 のガイドラインに従って構成を完了します。

    3. OK をクリックします。

      前のページに戻り、シグネチャ攻撃オブジェクトがテーブルに表示されます。

  • 追加したシグニチャ攻撃オブジェクトを変更するには:

    1. 攻撃オブジェクトを選択し、編集(鉛筆)アイコンをクリックします。

      [署名の編集(Edit Signature)] ページが表示され、署名攻撃オブジェクトを追加したときと同じフィールドが表示されます。

    2. 必要に応じてフィールドを変更します。 表 2 を参照してください。

    3. OK をクリックします。

      変更内容が保存され、前のページに戻ります。

  • 追加したシグニチャ攻撃オブジェクトを削除するには:

    1. 攻撃オブジェクトを選択し、削除(ゴミ箱)アイコンをクリックします。

      削除操作の確認を求めるポップアップが表示されます。

    2. [ はい] をクリックします。

      シグネチャ攻撃オブジェクトが削除され、前のページに戻ります。

異常の追加

メモ:
  • 「異常の追加」フィールドは、サービス・バインディングを指定した場合にのみ表示されます。

  • カスタマイズされた IPS シグネチャの場合、少なくとも 1 つのシグネチャ攻撃オブジェクトまたは異常を指定する必要があります。

プロトコル異常攻撃オブジェクトは、使用されている特定のプロトコルのルールセットに従って、接続内の異常またはあいまいなメッセージを検出します。

異常攻撃オブジェクトを追加、変更、または削除できます。

  • 異常を追加するには:

    1. 追加(+)アイコンをクリックします。

      異常の追加 ページが表示されます。

    2. 表 3 のガイドラインに従って構成を完了します。

    3. OK をクリックします。

      前のページに戻り、異常がテーブルに表示されます。

  • 追加した異常を変更するには:

    1. 異常を選択し、編集(鉛筆)アイコンをクリックします。

      [異常の編集(Edit Anomaly)] ページが表示され、異常を追加したときと同じフィールドが表示されます。

    2. 必要に応じてフィールドを変更します。 表 3 を参照してください。

    3. OK をクリックします。

      変更内容が保存され、前のページに戻ります。

  • 追加した異常を削除するには:

    1. 異常を選択し、削除(ゴミ箱)アイコンをクリックします。

      削除操作の確認を求めるポップアップが表示されます。

    2. [ はい] をクリックします。

      署名の異常が削除され、前のページに戻ります。

表 2: 署名設定の追加

設定

ガイドライン

署名番号

システムによって生成された署名番号を表示します。このフィールドは変更できません。

コンテキスト

IPS が特定のアプリケーション層プロトコルで攻撃を探すシグネチャの場所を定義する攻撃コンテキストを選択します。

方向

攻撃の接続方向を選択します。

  • [任意(Any)]:いずれかの方向のトラフィックに対する攻撃を検知します。

  • クライアントからサーバー:クライアントからサーバーへのトラフィックでのみ攻撃を検知します。

  • サーバーからクライアント:サーバーからクライアントへのトラフィックでのみ攻撃を検知します。

パターン

検出する攻撃のシグネチャパターン(ジュニパーネットワークス独自の正規表現構文)を入力します。

攻撃パターンは、コードのセグメント、URL、またはパケットヘッダーの値であり、署名パターンはその攻撃パターンを表す構文式です。

たとえば、大文字と小文字を区別しない一致に使用します \[<character-set>\]

Regex

正規表現を入力して、ネットワーク上の悪意のある動作や望ましくない動作に一致するルールを定義します。例: 構文 \[hello\] の場合、想定されるパターンは hello で、大文字と小文字が区別されます。一致の例は、hElLo、HEllO、および heLLO です。

否定

このチェックボックスをオンにすると、指定したパターンがマッチングから除外されます。パターンを無効にすると、攻撃で定義されたパターンが指定されたパターンと一致しない場合、攻撃は一致したと見なされます。

表 3: 異常設定の追加

設定

ガイドライン

異常番号

システムによって生成された異常番号を表示します。このフィールドは変更できません。

異常

攻撃で異常が定義されているプロトコル(サービス)を選択します。

方向

攻撃の接続方向を選択します。

  • [任意(Any)]:いずれかの方向のトラフィックに対する攻撃を検知します。

  • クライアントからサーバー:クライアントからサーバーへのトラフィックでのみ攻撃を検知します。

  • サーバーからクライアント:サーバーからクライアントへのトラフィックでのみ攻撃を検知します。