Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

IDP ポリシーの攻撃オブジェクトとオブジェクト グループ

攻撃オブジェクト、アプリケーションシグネチャオブジェクト、およびサービスオブジェクトは、IDPポリシールールの定義に使用されます。ジュニパーネットワークスは、新たな脆弱性への対応として、攻撃データベースの更新を含むファイルをジュニパーの Web サイトで定期的に提供しています。このファイルをダウンロードして、新しい脅威からネットワークを保護できます。これらの攻撃オブジェクトとグループは、ネットワークトラフィック内の既知の攻撃パターンとプロトコル異常を検出するように設計されています。IDP ポリシー ルールでは、攻撃オブジェクトとグループを一致条件として設定できます。

詳細については、以下のトピックを参照してください。

既知および未知の脆弱性に対処するためのジュニパーのアプローチを理解する

このトピックには、以下のセクションが含まれています。

既知の脆弱性

既知の脆弱性は、インターネット セキュリティ コミュニティ内で文書化されています。インターネット セキュリティ コミュニティは、複数のセキュリティ組織、セキュリティ アナリスト、セキュリティ フォーラムで構成されています。セキュリティ コミュニティは、新しい攻撃を継続的に発見して分析し、インターネットを介してこの情報を交換します。このようにして、攻撃を迅速に特定して特定し、本当の意味で把握できます。

セキュリティアドバイザリには、実際の攻撃コードが含まれます。攻撃情報と攻撃コードを使用して、パケット情報とサービスコンテキストをキャプチャできます。この情報を使用して、カスタム シグネチャー攻撃オブジェクトを作成できます。

残念ながら、ほとんどのアドバイザリは攻撃の説明とともに攻撃コードを投稿しません。攻撃コードを入手できない場合は、アドバイザリを注意深く読んで、攻撃パケットの基本を再構築してみてください。

注意:

未知のソースから取得したコードを分離することを忘れないでください。

以下の組織は、セキュリティ コミュニティでアクティブであり、攻撃情報を特定するための良いリソースです。

  • NVD-国の脆弱性データベース(http://nvd.nist.gov)。セキュリティ コンテンツ自動化プロトコル(SCAP)を使用して表される脆弱性管理データの米国政府リポジトリ。

  • SANS —SysAdmin、監査、ネットワーク、セキュリティインスティチュート(www.sans.org)。セキュリティアラートを提供する情報セキュリティ調査、認定資格、教育組織。また、http://www.incidents.org で Internet Storm Center(ISC)をホストしています。

  • CVE — 一般的な脆弱性と暴露(http://cve.mitre.org)。標準化された脆弱性やその他の情報セキュリティ上の脆弱性の一覧。

  • BugTraq(http://securityfocus.com/archive/1)。Security Focus がホストする管理型メーリングリストで、コンピューター セキュリティーの脆弱性について説明し、発表します。

  • CERT コーディネーション センター(http://www.cert.org)。連邦政府が資金提供するセキュリティ アラート組織で、セキュリティー アドバイザリを提供しています。

  • Packet Storm Security(http://packetstormsecurity.nl)。セキュリティーに関するニュース、アドバイザリ、フォーラム、攻撃コードを利用してセキュリティ情報を提供する非営利組織です。

  • Metasploit(http://www.metasploit.com)。Metasploit は、侵入テスト、IDS シグネチャ開発、エクスプロイト研究の実行に役立つ情報を提供します。

  • FrSIRT-フランスのセキュリティインシデントレスポンスチーム(http://www.frsirt.com)。FrSIRT は、独立したセキュリティー調査組織で、セキュリティー アドバイザリとリアルタイムの脆弱性アラートおよび通知サービスを提供しています。

  • ISS—Internet Security Systems(http://www.iss.net)。アラートとインターネットの脅威レベルを提供するインターネット セキュリティ企業。

未知の脆弱性

未知の脆弱性とは、インターネットセキュリティコミュニティアドバイザリに記載されていない脆弱性です。このような場合、本番環境で生成された IDP シリーズ プロファイラ、ファイアウォール、または IDP セキュリティ イベント ログは、不審なアクティビティや異常なトラフィックを警告します。本番環境では、パケット ロギング ツールを使用して、後でラボで分析および実験できるパケットとサービス コンテキスト情報をキャプチャします。

カスタム攻撃オブジェクトのテスト

カスタム攻撃オブジェクトをテストするには、以下のワークフローをお勧めします。以下の手順は一般的な手順で構成されており、これらのタスクに精通したエキスパート ユーザーを対象としています。

カスタム攻撃オブジェクトをテストするには、

  1. テスト対象のカスタム攻撃オブジェクトのみを含む新しいセキュリティポリシーと新しいIDPルールベースルールを作成します。ロギングとパケットロギングを有効にします。
  2. IDP シリーズのラボ デバイスにポリシーをプッシュします。
  3. 攻撃者のコンピューターから、被害者のコンピューターを標的とする攻撃を再現します。
  4. Security Directorログビューアを使用して、トラフィックが予想通りにログを生成したかどうかを確認します。

テストに失敗した場合は、攻撃アドバイザリ、プロトコル RFC、攻撃コードまたはパケットキャプチャを確認して、設定を微調整するのに役立つ追加情報を特定します。調整が必要な最も頻繁な問題は、DFA 表現の構文です。

シグネチャー攻撃オブジェクトの作成

シグネチャー攻撃オブジェクトとは、システムが検知したいパターンです。DFA 式を使用してパターンを表します。設定できるその他すべての署名プロパティ(サービスやプロトコルのコンテキスト、方向、その他の制約など)が提供されるため、システムのパフォーマンスを最適化してパターンを検出し、誤検知を排除できます。一般に、シグネチャー攻撃オブジェクトの設定を調整して、発生する可能性があるすべてのコンテキストで、他のコンテキストでは検出されないようします。

シグネチャー攻撃オブジェクトを設定するには:

  1. オブジェクト マネージャーで、 IDP オブジェクト>攻撃オブジェクトを選択します。
  2. [ カスタム攻撃 ] タブをクリックします。
  3. 「+」アイコンをクリックして、「カスタム攻撃」ダイアログ・ボックスを表示します。
  4. 攻撃オブジェクトの設定を行います。 表 1 は、設定を完了するためのガイドラインを示しています。
    表 1:カスタム攻撃ダイアログ ボックス:一般タブ設定

    設定

    説明

    名前

    UI に表示される名前。

    ヒント:

    攻撃名の一部として攻撃が使用するプロトコルを含めます。

    説明

    (オプション)攻撃に関する情報。新しい攻撃オブジェクトを作成する際の説明は任意ですが、攻撃に関する重要な情報を記憶するのに役立ちます。例えば、事前定義された攻撃に関する攻撃の説明を表示します。

    重大 度

    情報、警告、マイナー、メジャー、クリティカル。重大な攻撃とは、サーバーをクラッシュさせたり、ネットワークを制御しようとする試みです。

    • クリティカル— 検知の回避、ネットワーク デバイスのクラッシュ、システムレベルの権限の取得を試みる悪用に一致する攻撃オブジェクトを含みます。

    • 情報 — URL、DNS ルックアップ失敗、SNMP パブリック コミュニティ文字列、およびピアツーピア(P2P)パラメーターを含む、通常の無害なトラフィックに一致する攻撃オブジェクトが含まれます。情報攻撃オブジェクトを使用して、ネットワークに関する情報を取得できます。

    • メジャー — サービスの中断、ネットワーク デバイスへのユーザーレベルのアクセスの取得、または以前にデバイスに読み込まれたトロイの木馬のアクティブ化を試みる悪用に一致する攻撃オブジェクトを含みます。

    • マイナー — ディレクトリトラバーサルや情報漏洩を通じて重要な情報にアクセスしようとする偵察努力を検知する攻撃オブジェクトを含みます。

    • 警告 — 重要ではない情報を取得したり、スキャン ツールを使用してネットワークをスキャンしようとする悪用に一致する攻撃オブジェクトが含まれます。

    情報攻撃は最も危険なものであり、通常、ネットワーク管理者がセキュリティ システムの穴を発見するために使用されます。

    カテゴリ

    事前定義または新しいカテゴリー。このカテゴリーを使用して、攻撃オブジェクトをグループ化します。各カテゴリー内では、攻撃オブジェクトは重大度別にグループ化されます。例:FTP、トロイの木馬、SNMP。

    キーワード

    ログ レコードの検索と並べ替えに使用できる一意の識別子。キーワードは、攻撃と攻撃オブジェクトに関連する必要があります。

    推奨

    この攻撃オブジェクトが、最もリスクの高い攻撃オブジェクトの中に含まれることを示します。その後、この攻撃オブジェクトを動的グループに追加する場合、推奨される攻撃オブジェクトのみを含めるかどうかを指定できます。

    • はい — ジュニパーネットワークスが推奨する事前定義された攻撃を動的グループに追加します。

    • いいえ—動的攻撃グループ内で推奨されない攻撃オブジェクトを指定します。

       

    検出パフォーマンス

    パフォーマンスの低い攻撃オブジェクトを除外するには、このフィルターを指定します。このフィルターを使用して、パフォーマンスへの影響に基づいて適切な攻撃のみを選択できます。

    オプションを選択します。

    • High — 攻撃に対して脆弱なハイパフォーマンスな攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は高い7~9で、アプリケーション識別が遅い。

    • Medium — 攻撃に対して脆弱な中程度のパフォーマンス影響を与える攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は medium4 から medium6 で、アプリケーション識別は正常です。

    • 低 — 攻撃に対して脆弱なパフォーマンスの低い攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は低い 1~3 で、アプリケーション識別の速度が向上します。

    • 不明 — デフォルトですべての攻撃オブジェクトを未知に設定します。ネットワーク トラフィックに合わせて IPS を微調整する場合は、この設定を変更してパフォーマンスへの影響を追跡できます。シグネチャのパフォーマンスへの影響は 0 = 不明で、アプリケーションの識別も不明です。

  5. [ 全般 ] タブをクリックします。
  6. [攻撃バージョン] の下にある [+] アイコンをクリックすると、新しい攻撃ウィザードが表示されます。
  7. [ターゲット プラットフォームとタイプ] ページで、デバイス プラットフォームと攻撃タイプを選択します。 表 2 は、攻撃タイプを示しています。
    表 2:攻撃オブジェクト タイプ

    説明

    署名

    ステートフル攻撃シグネチャ(攻撃の特定のセクションに常に存在するパターン)を使用して、既知の攻撃を検知します。

    ステートフル シグネチャ攻撃オブジェクトには、攻撃の実行に使用されるプロトコルやサービス、攻撃が発生したコンテキストも含まれます。

    正確な攻撃シグネチャ、プロトコル、既知の攻撃に使用される攻撃コンテキストがわかっている場合は、このオプションを選択します。

    複合攻撃

    複数の方法を使用して脆弱性を悪用する攻撃を検知します。このオブジェクトは、複数のシグネチャまたはプロトコルの異常を単一の攻撃オブジェクトに組み合わせ、トラフィックが攻撃として識別される前に、複合攻撃オブジェクト内のすべての結合されたシグネチャまたは異常にトラフィックを一致させます。

    シグネチャや異常が一致する必要がある順序を組み合わせて指定することで、IDP エンジンがトラフィックを攻撃として特定する前に配置する必要があるイベントについて非常に具体的に特定できます。

    ネットワークを攻撃するためにいくつかの無害なアクティビティを使用する攻撃を検知する必要がある場合、または攻撃が悪意があると見なされる前に特定の一連のイベントを適用したい場合は、このオプションを選択します。

  8. [ 署名 ] を選択し、 [ 次へ] をクリックします。
  9. [カスタム攻撃 – 全般プロパティ] ページで、その他の設定を構成します。 表 3 は、設定を完了するためのガイドラインを示しています。
    表 3:カスタム攻撃 – 一般的なプロパティ

    プロパティ

    説明

    署名の詳細

    バインディング

    サービス – 調査によってサービスを決定できた場合は、 [サービス] を選択します。ウィザードの後半で、サービスコンテキストを指定できます。

    IP - サービスが分からないが IP の詳細がわかっている場合は、 IP を選択してプロトコル タイプ番号を指定します。

    TCPUDP、または ICMP - サービスコンテキストがわからないが、プロトコルの詳細がわかっている場合は、プロトコルを選択します。

    TCPおよびUDPプロトコルタイプでは、ポート範囲を指定します。

    RPC-リモートプロシージャコール(RPC)プロトコルを介して脅威を検知する場合は、このオプションを選択してプログラムIDを指定します。

    RPC は、分散処理アプリケーションによって、プロセス間の通信をリモートで処理するために使用されます。クライアントが RPC サーバーにリモートプロシージャコールを行うと、サーバーはリモートプログラムに返信します。各リモート・プログラムは、異なるプログラム番号を使用します。

    有効

    タイム バインディング属性は、シグネチャの繰り返し回数を追跡します。攻撃の範囲と数を設定することで、セッション全体で一定時間(1 分間)に同じ攻撃のシーケンスを検知できます。この方法は、認証認証情報を推測したり、システム容量を圧倒してデータを処理しようとする総当たり攻撃を検知するのに便利です。

    サービス

    攻撃がネットワークに侵入するために使用するサービスを指定します。攻撃の実行に使用する特定のサービスをサービス バインディングとして選択できます。

    例えば、DISCARD サービスを選択するとします。Discard protocolは、TCP/9、UDP/9がポート9に送信されたTCPまたはUDPデータを破棄するプロセスを記述するアプリケーション層プロトコルです。

    時間範囲

    カウントが発生するスコープを選択します。

    • 送信元IP - 宛先IPアドレスに関係なく、指定された回数、送信元IPアドレスからのトラフィックのシグネチャを検出します。

    • 宛先IP - 送信元IPアドレスに関係なく、指定された回数、宛先IPアドレスからのトラフィックのシグネチャを検出します。

    • ピア-指定された回数のセッションの送信元と宛先のIPアドレス間のトラフィックのシグネチャを検出します。

    時間数

    デバイスが攻撃対象を攻撃と見なす前に、攻撃オブジェクトが攻撃を検知する必要がある回数を指定します。

    範囲は 0~4,294,967,295 です。

    一致保証

    このフィルターを指定して、攻撃によってネットワークに誤検知が発生する頻度に基づいて攻撃オブジェクトを追跡します。

    オプションを選択します。

    • — 頻繁に追跡される誤検知の発生に関する情報を提供します。

    • — 時折追跡される誤検知の発生に関する情報を提供します。

    • — まれに追跡される誤検知の発生に関する情報を提供します。

    パフォーマンスへの影響

    パフォーマンスの低い攻撃オブジェクトを除外するには、このフィルターを指定します。このフィルターを使用して、パフォーマンスへの影響に基づいて適切な攻撃のみを選択できます。

    オプションを選択します。

    • High — 攻撃に対して脆弱なハイパフォーマンスな攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は高い7~9で、アプリケーション識別が遅い。

    • Medium — 攻撃に対して脆弱な中程度のパフォーマンス影響を与える攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は medium4 から medium6 で、アプリケーション識別は正常です。

    • 低 — 攻撃に対して脆弱なパフォーマンスの低い攻撃オブジェクトを追加します。シグネチャのパフォーマンスへの影響は低い 1~3 で、アプリケーション識別の速度が向上します。

    • 不明 — デフォルトですべての攻撃オブジェクトを未知に設定します。ネットワーク トラフィックに合わせて IPS を微調整する場合は、この設定を変更してパフォーマンスへの影響を追跡できます。シグネチャのパフォーマンスへの影響は 0 = 不明で、アプリケーションの識別も不明です。

    スコープ

    セッション内またはセッション内のトランザクション間で攻撃が一致するかどうかを指定します。

    • セッション — 同じセッション内のオブジェクトに対して複数の一致を許可します。

    • トランザクション — 同じセッション内で発生する複数のトランザクション間でオブジェクトを照合します。

    [ 次へ] をクリックします。

  10. 「カスタム攻撃 - 攻撃パターン」ページで、パターン設定を構成します。 表 4 は、設定を完了するためのガイドラインを示しています。
    表 4:カスタム攻撃 – 攻撃パターン

    設定

    説明

    パターン

    DFA 式。以下の行は、DFA 構文の表記規則を要約しています。詳細については、正規表現を使用したプログラミングに関する標準ソースを参照してください。

     

    \B.0.1..00\B

    バイナリ プロトコルのビットレベルマッチング。ビットマスクの長さは 8 の倍数にする必要があります。

    最初の \B はビットマスクの先頭を示します。最後の \B はビットマスクの末尾を示します。

    10進数(.)は、ビットが0または1であることを示しています。

    0 または 1 は、その位置のビットが 0、または 1 である必要があることを示します。

    \0 <octal_number>

    直接バイナリ一致の場合。

    \X<ヘキサデシマル番号>\X

    直接バイナリ一致の場合。

    \[<特徴セット>\]

    大文字と小文字を区別しない一致の場合。

    .

    任意のシンボルに一致します。

    *

    0 以上のシンボルに一致します。

    +

    1 つ以上のシンボルに一致します。

    ?

    0 または 1 シンボルに一致します。

    ()

    式のグループ化。

    |

    交替。通常、()と共に使用されます。

    例:以下の式は、犬または猫と一致します。

    []

    文字クラス。位置の括弧内の明示的な値が一致します。

    例:[Dd]ayは日と日に一致します。

    [<start>-<end>]

    文字範囲。範囲内の任意の値(ハイフンで示す)。文字クラスと 16 進範囲を組み合わせることができます。

    例:[AaBbCcDEeFf0-9]。

    [^<start>-<end>]

    - 文字範囲の否定。

    例:[^Dd]ayはヘイとレイと一致するが、日も日も合わない。

    メモ:

    署名パターン全体を無効にするには、パターン テキスト ボックスの下にある Negate オプションを選択します。

    \u<ストリング>\u

    ユニコードを区別しない一致。

    \S

    空白。

     

    \

    特殊文字を一致させ、正規表現演算子として処理しないように、バックスラッシュを使用して特殊文字をエスケープします。

    文字 エスケープ

    *

    \*

    (

    \(

    )

    \)

    .

    \.

    +

    \+

    \

    \\

    [

    \0133

    ]

    \0135

    メモ:

    大文字と小文字を区別しない式では、バックスラッシュと開閉する角括弧の組み合わせが使用されるため、括弧文字にはバックスラッシュをオクタルコードで使用する必要があります。

    否定

    攻撃パターンを無効にします。

    Regex

    正規表現を入力して、ネットワーク上の悪意のある動作や望ましくない動作に一致させるルールを定義します。

    例えば、\[hello\]構文では、想定されるパターンはhelloで、大文字と小文字が区別されます。

    一致例は、hElLo、HEllO、heLLO です。

    コンテキスト

    パターン マッチングをコンテキストにバインドします。

    HTTP などの既知のサービスについては、最初のボックスでサービスを選択し、2 番目のボックスで、HTTP POST 解析パラメータなど、検出した scio ccapHTTP コンテキストを選択します。

    コンテキストを見つけることができない場合は、最初のボックスで [ その他 ] を選択し、2 番目のボックスで次のいずれかのコンテキストを選択します。

    • パケット - 任意のパケットのパターンを検出します。

    • First Packet - ストリームの最初のパケットのみを検査します。フロー方向を任意に設定すると、ディテクタ エンジンは、サーバー間(STC)フローとクライアント間(CTS)フローの最初のパケットをチェックします。処理が少なくて済むほど、パフォーマンスが向上します。セッションの最初のパケットにパターンが表示されることがわかっている場合は、最初の パケットを選択します。

    • 最初のデータ パケットインスペクションは、ストリームの最初のパケットの後に終了します。ストリームの最初のデータ パケットでのみ攻撃を検知する場合は、このオプションを選択します。パターンがストリームの最初のデータ パケットに表示されることがわかっている場合は、最初の データ パケットを選択します。

    • ストリーム256 - パケットを再構築し、トラフィックストリームの最初の256バイト内でパターン一致を検索します。多くの場合、Stream 256 は UDP 以外の攻撃に最適な選択肢です。フロー方向が に any設定されている場合、検出器エンジンは STC と CTS の両方のフローの最初の 256 バイトをチェックします。セッションの最初の 256 バイトにパターンが表示されることがわかっている場合は、 ストリーム 256 を選択します。

    • ストリーム8K - パケットを再構築し、トラフィックストリームの最初の8192バイト内でパターン一致を検索する以外は、Stream 256と同様です。

    • ストリーム1K - パケットを再構築し、トラフィックストリームの最初の1024バイト内でパターン一致を検索する以外は、Stream 256と同様です。

    • – 特定の回線内のパターンを検出します。このコンテキストは、行指向アプリケーションまたはプロトコル(FTP など)に使用します。

    • Stream - パケットを再構築し、データを抽出してパターン一致を検索します。ただし、IDP エンジンはストリームコンテキストのパケット境界を認識しないため、複数のパケットのデータが組み合わされます。他のコンテキスト オプションに攻撃が含まれている場合にのみ、このオプションを選択します。

    メモ:

    回線、ストリーム、またはサービス コンテキストを選択した場合、IP 設定とプロトコル ヘッダー フィールドの一致条件は構成しません。

    方向

    パターンを検出する方向を選択します。

    • クライアントからサーバー間のトラフィック - クライアントからサーバーへのトラフィックでのみパターンを検出します。

    • サーバーからクライアントへのトラフィック - サーバーからクライアントへのトラフィックでのみパターンを検出します。

    • 任意 - どちらの方向でもパターンを検出します。

    ソースIPがサーバーであっても、セッションイニシエーターはクライアントとみなされます。

    異常を追加

    異常

    使用されている特定のプロトコルのルールのセットに従って、接続内の異常または不明瞭なメッセージを検出するオプションを選択します。

    プロトコル異常検知は、RFC と一般的な RFC 拡張によって定義されるプロトコル標準からの逸脱を検出することで機能します。

    方向

    攻撃の接続方向を指定します。

    • クライアントからサーバーへ—クライアントからサーバーへのトラフィックでのみ攻撃を検知します。

    • サーバーからクライアントへ—サーバーからクライアントへのトラフィックでのみ攻撃を検知します。

    • 任意—どちらの方向でも攻撃を検知します。

    単一方向(Any ではなく)を使用すると、パフォーマンスが向上し、誤検知が減少し、検知精度が向上します。

    [ 次へ] をクリックします。

  11. 回線、ストリーム、ストリーム 256、またはサービス コンテキストを選択した場合、IP 設定とプロトコル ヘッダー フィールドの一致条件は構成しません。[ 完了] をクリックします。

    パケット コンテキストを使用している場合は、次の表で説明するように、IP フラグとパケット ヘッダーの条件を追加することで、マッチングを改善できます。

    ヒント:

    一致させる IP フラグと IP フィールドが不明な場合は、すべてのフィールドを空白のままにします。値が設定されていない場合、IDP エンジンはすべてのヘッダーコンテンツの署名と一致しようとします。

    カスタム攻撃 - IPv4設定とヘッダーが一致するページで、パターン設定を構成します。 表 5 は、設定を完了するためのガイドラインを示しています。

    表 5:カスタム攻撃 - IPv4 設定とヘッダーの一致ページ

    設定

    説明

    チェックサム検証

    チェックサム フィールドを計算されたチェックサムに対して検証します。

    サービスのタイプ

    サービス タイプ。一般的なサービス タイプは次のとおりです。

    • 0000(デフォルト)

    • 0001 コストの最小化

    • 0002 信頼性を最大化

    • 0003 スループットを最大化

    • 0004 遅延を最小限に抑える

    • 0005 セキュリティーの最大化

    IP フラグ

    IP フラグ ビット。

    Ihl

    インターネットヘッダーの長さを単語で表します。

    全長

    IP データグラムの全長。

    Id

    フラグメントパケットを再構築するために宛先システムが使用する一意の値。

    稼働までの時間

    パケットのTTL(Time-to-Live)値。この値は、パケットが通過できるルーターの数を表します。パケットを処理する各ルーターはTTLを1ずつデクリメントします。TTL が 0 に達すると、パケットは破棄されます。

    プロトコル

    攻撃に使用されるプロトコル。

    ソース

    攻撃対象デバイスの IP アドレス。

    攻撃ターゲットの IP アドレス。

    カスタム攻撃 - IPv6設定とヘッダーがページに一致する場合、パターン設定を構成します。 表 6 は、設定を完了するためのガイドラインを示しています。

    表 6:カスタム攻撃 - IPv6 設定とヘッダーの一致ページ

    設定

    説明

    攻撃ターゲットの IP アドレス。

    拡張ヘッダー

    侵入検出サービス(IDS)の IPv6 拡張ヘッダーを定義します。

    フローラベル

    IPv6パケットフローラベルを有効にします。

    ホップ制限

    ルーターのアドバタイズメントとすべてのIPv6パケットに使用できるホップの最大数を指定します。

    次のヘッダー

    IPv6 ヘッダーの直後に続くヘッダーのインターネット プロトコルのタイプを識別します。

    ペイロードの長さ

    オクテットで表される IPv6 パケット ペイロード(コンテンツ)の長さを指定します。

    ソース

    IPv6 パケットを生成したノード上のホスト デバイス(インターフェイス)を識別します。

    トラフィッククラス

    ソースノードまたはルーターが、IPv6パケットのさまざまなクラス(またはサービス品質の優先度)を識別できるようにします。(このフィールドは、IPv4サービスタイプフィールドを置き換えます。

    カスタム攻撃 - TCPパケットヘッダーページで、パターン設定を構成します。 表 7 は、設定を完了するためのガイドラインを示しています。

    表 7:カスタム攻撃オブジェクト:TCPパケットヘッダーフィールド

    設定

    説明

    送信元ポート

    攻撃対象デバイスのポート番号。

    宛先ポート

    攻撃ターゲットのポート番号。

    シーケンス番号

    パケットのシーケンス番号。この番号は、データシーケンス全体に関連するデータの場所を識別します。

    ACK番号

    パケットの ACK 番号。この番号は、次のシーケンス番号を識別します。このフィールドをアクティブにするには、ACK フラグを設定する必要があります。

    ヘッダーの長さ

    - TCP ヘッダーのバイト数。

    ウィンドウ サイズ

    - TCP ウィンドウ サイズのバイト数。

    データ長

    データ ペイロード内のバイト数。SYN、ACK、およびFINパケットの場合、このフィールドは空にする必要があります。

    緊急の指針

    パケット内のデータは緊急です。このフィールドをアクティブにするには、URG フラグを設定する必要があります。

    Mss

    TCP の最大セグメント サイズを有効にして指定します。

    予約

    TCPヘッダーフィールドに3つの予約ビットを指定します。

    TCP フラグ

    TCP ヘッダー フラグ。TCP フラグが設定されているかどうかに関係なく、IDP がパターン一致を検索するように指定します。

    ウィンドウスケール

    攻撃のセッションで使用するスケールファクターを指定します。

    カスタム攻撃 - UDP ヘッダー ページで、パターン設定を構成します。 表 8 は、設定を完了するためのガイドラインを示しています。

    表 8:カスタム攻撃オブジェクト:UDP ヘッダー フィールド

    設定

    説明

    チェックサム検証

    チェックサム フィールドを計算されたチェックサムに対して検証します。

    送信元ポート

    攻撃対象デバイスのポート番号。

    宛先ポート

    攻撃ターゲットのポート番号。

    データ長

    データ ペイロード内のバイト数。

    カスタム攻撃 - ICMPパケットヘッダーページで、パターン設定を構成します。 表 9 は、設定を完了するためのガイドラインを示しています。

    表 9:カスタム攻撃オブジェクト:ICMP パケット ヘッダー フィールド

    設定

    説明

    チェックサム検証

    チェックサム フィールドを計算されたチェックサムに対して検証します。

    ICMP タイプ

    要求または応答の機能を識別する 1 次コード。

    ICMP コード

    指定されたタイプ内で要求または応答の機能を識別する 2 次コード。

    シーケンス番号

    パケットのシーケンス番号。この番号は、シーケンス全体に関連するリクエスト/返信の場所を識別します。

    ICMP ID

    識別番号は、宛先システムがリクエストと返信を関連付けるために使用する一意の値です。

    データ長

    データ ペイロード内のバイト数。

  12. [ 完了] をクリックします。

事前定義された IDP 攻撃オブジェクトとオブジェクト グループについて

侵入検出防御(IDP)のセキュリティパッケージには、IDPポリシーで使用できる、定義済みのIDP攻撃オブジェクトとIDP攻撃オブジェクトグループのデータベースが含まれており、既知および未知の攻撃に対するトラフィックを照合できます。ジュニパーネットワークスは、事前に定義された攻撃オブジェクトとグループを、新たに発見された攻撃パターンで定期的に更新します。

攻撃オブジェクトデータベースの更新には、以下のものがあります。

  • 既存の攻撃オブジェクトに関する新しい説明または重大度

  • 新しい攻撃オブジェクト

  • 時代遅れの攻撃オブジェクトの削除

このトピックには、以下のセクションが含まれています。

事前定義された攻撃オブジェクト

事前定義された攻撃オブジェクトは、アルファベット順に表示されます。これらの攻撃オブジェクトには、攻撃を特定するのに役立つ一意の名前があります。名前の最初の部分は、攻撃オブジェクトが属するグループを示しています。例えば:

  • FTP:USER:ROOTグループに FTP:USER 属します。アカウントを使用して root FTP サーバーにログインしようとする試みを検出します。

  • HTTP:HOTMAIL:FILE-UPLOADグループに HTTP:HOTMAIL 属します。Web ベースの電子メール サービス Hotmailを介して送信された電子メールに添付されたファイルを検出します。

事前定義された攻撃オブジェクトグループ

事前定義された攻撃グループリストには、以下に示すカテゴリー内の攻撃オブジェクトが表示されます。このリストには、ジュニパーネットワークスが深刻な脅威と見なす推奨される一連の攻撃オブジェクトも含まれます。推奨される攻撃オブジェクトは、以下のカテゴリーに分類されます。

表 10:事前定義された攻撃オブジェクト グループ

攻撃オブジェクトグループ

説明

攻撃タイプ

攻撃オブジェクトをタイプ別(異常またはシグネチャ)ごとにグループ化します。各タイプ内では、攻撃オブジェクトは重大度別にグループ化されます。

カテゴリ

事前定義されたカテゴリー別に攻撃オブジェクトをグループ化します。各カテゴリー内では、攻撃オブジェクトは重大度別にグループ化されます。

オペレーティング システム

BSD、Linux、Solaris、Windows など、適用するオペレーティング システムによって攻撃オブジェクトをグループ化します。各オペレーティング システム内では、攻撃オブジェクトはサービスと重大度によってグループ化されます。

重大 度

攻撃に割り当てられた重大度によって攻撃オブジェクトをグループ化します。IDP には、重大、メジャー、マイナー、警告、情報の 5 つの重大度レベルがあります。各重大度内では、攻撃オブジェクトはカテゴリー別にグループ化されます。

Web サービス

一般的な Web サービスによって攻撃オブジェクトをグループ化します。これらのサービスは、重大度レベル(警告、クリティカル、メジャー、マイナー、情報)ごとにグループ化されます。

パフォーマンス レベル別に攻撃オブジェクトをグループ化します。一定レベルの IDP パフォーマンスに影響を与える攻撃オブジェクトは、このカテゴリーにグループ化されます。

応答

サーバー内をクライアント方向に流れるトラフィック内の攻撃オブジェクトをグループ化します。

カスタム攻撃オブジェクトについて

カスタム攻撃オブジェクトを作成して新しい攻撃を検知したり、事前定義された攻撃オブジェクトをカスタマイズして、ネットワーク固有のニーズを満たすことができます。

カスタム攻撃オブジェクトを設定するには、一意の攻撃オブジェクトの名前を指定し、一般的な説明やキーワードなどの追加情報を指定することで、攻撃オブジェクトの検索と維持が容易になります。

攻撃オブジェクト定義の特定のプロパティは、攻撃名、説明、重大度レベル、サービスまたはアプリケーションのバインディング、時間バインディング、推奨アクション、プロトコルまたはポートバインディングなど、あらゆるタイプの攻撃に共通です。一部のフィールドは攻撃タイプに固有で、その特定の攻撃定義でのみ使用できます。

メモ:

IDP機能はデフォルトで有効になっており、ライセンスは必要ありません。また、有効なライセンスおよび署名データベースがデバイスにインストールされていない場合でも、IDP ポリシー内のカスタム攻撃およびカスタム攻撃グループを構成およびインストールできます。

このトピックには、以下のセクションが含まれています。

攻撃名

オブジェクトの英数字名を指定します。攻撃名に攻撃が使用するプロトコルを含めることができます。

Junos OS リリース 15.1X49-D140 以降、カスタム攻撃オブジェクト名で許可される最大文字数は 60 です。コマンドを使用してステートメントを set security idp custom-attack 検証できます。

重大 度

ネットワークに対する攻撃の残酷さを指定します。深刻度カテゴリーは、残酷性を増すために、情報、警告、マイナー、メジャー、クリティカルです。クリティカルな攻撃は最も危険です。通常、これらの攻撃はサーバーをクラッシュさせたり、ネットワークを制御したりしようとします。情報攻撃は最も危険なものであり、通常はネットワーク管理者が自社のセキュリティ システムの穴を発見するために使用されます。

サービスバインディングとアプリケーションバインディング

サービスまたはアプリケーション バインディング フィールドは、攻撃がネットワークへの侵入に使用するサービスを指定します。

メモ:

カスタム攻撃におけるサービスまたはプロトコル バインディングのいずれかを指定します。両方を指定した場合、サービスバインディングが優先されます。

  • any- 正しいサービスが不明で、すべてのサービスの署名に一致させたいかどうかを指定 any します。一部の攻撃はネットワークを攻撃するために複数のサービスを使用するため、攻撃が接続に選択するサービスに関係なく、攻撃を検知するサービス バインディングを選択 Any することができます。

  • service—ほとんどの攻撃は、特定のサービスを使用してネットワークを攻撃します。攻撃の実行に使用する特定のサービスをサービス バインディングとして選択できます。

    サービス、サービスバインディング、およびコンテキストの一覧については、 IDPカスタム攻撃オブジェクトサービスコンテキストについてを参照してください。

プロトコルとポートのバインディング

プロトコルまたはポートバインディングにより、攻撃がネットワークに侵入するために使用するプロトコルを指定できます。ネットワークプロトコルの名前またはプロトコル番号を指定できます。

メモ:

カスタム攻撃におけるサービスまたはプロトコル バインディングのいずれかを指定します。両方を指定した場合、サービスバインディングが優先されます。

  • IP—プロトコル番号を使用して、サポートされているネットワーク層プロトコルのいずれかを指定できます。 表 11 は 、異なるプロトコルのプロトコル番号を示しています。

    表 11:サポートされているプロトコルとプロトコル番号

    プロトコル名

    プロトコル番号

    Igmp

    2

    IP-IP

    4

    Egp

    8

    子犬

    12

    Tp

    29

    IPV6

    41

    ルーティング

    43

    フラグメント

    44

    Rsvp

    46

    Gre

    47

    特に

    50

    ああ

    51

    ICMPV6

    58

    なし

    59

    DSTOPTS

    60

    Mtp

    92

    ENCAP

    98

    Pim

    103

    作曲

    108

    255

  • ICMP、TCP、UDP—特定のサービスを使用しない攻撃は、特定のポートを使用してネットワークを攻撃する可能性があります。TCP および UDP 攻撃の中には、ネットワークに入って接続を確立するために標準ポートを使用するものもあります。

  • RPC — リモートプロシージャコール(RPC)プロトコルは、分散処理アプリケーションによって使用され、プロセス間の通信をリモートで処理します。クライアントが RPC サーバーにリモート プロシージャ コールを行うと、サーバーはリモート プログラムに返信します。各リモート・プログラムは異なるプログラム番号を使用します。RPC を使用する攻撃を検知するには、サービス バインディングを RPC として構成し、RPC プログラム ID を指定します。

表 12 は 、鍵プロトコルのサンプル形式を示しています。

表 12:プロトコルのサンプル形式

プロトコル名

プロトコル番号

説明

Icmp

<Port>ICMP</Port>

プロトコル名を指定します。

Ip

<Port>IP/protocol-number</Port>

ネットワーク層プロトコル番号を指定します。

Rpc

<Port>RPC/program-number</Port>

RPC プログラム番号を指定します。

TCP または UDP

  • <Port>TCP </Port>

  • <Port>TCP/port </Port>

  • <Port>TCP/minport-maxport </Port>

TCP および UDP プロトコルでは、ポートの指定はオプションです。例えば、以下のいずれかを指定できます。

  • <Port>UDP</Port>

  • <Port>UDP/10</Port>

  • <Port>UDP/10-100</Port>

時間バインディング

タイムバインディングを使用して、タイムバインディングカスタム攻撃オブジェクトの時間属性を設定します。時間属性は、一定回数繰り返される攻撃を攻撃オブジェクトがどのように特定するかを制御します。攻撃の範囲と数を設定することで、セッション全体で一定期間にわたり同じ攻撃のシーケンスを検知できます。

Junos OS リリース 18.4R1 以降、タイム バインディング カスタム攻撃の任意の 2 つのインスタンス間の最大時間間隔と、最大時間間隔の範囲は 0 分、0 秒~60 分、0 秒です。18.4R1 以前の Junos OS リリースでは、タイム バインディング攻撃の任意の 2 つのインスタンス間の最大時間間隔は 60 秒です。攻撃トリガー カウントはタイム バインディングで設定されたカウントに達するまでです。ステートメントは interval interval-value 、 階層で導入され [edit security idp custom-attack attack-name time-binding] 、カスタムタイムバインディングを設定します。

スコープ

攻撃数の範囲を指定します。

  • 送信元— 宛先アドレスに関係なく、指定した回数、送信元アドレスからの攻撃を検知するには、このオプションを指定します。つまり、特定の攻撃では、送信元アドレスからの攻撃ごとにしきい値が維持されます。宛先アドレスは無視されます。たとえば、同じ送信元アドレスを持ち、宛先アドレスip-a ip-b ip-cと が異なる 2 つの異なるペア(ip-a, ip-b)と(ip-aip-c)から異常が検出されます。次に、インクリメントの一致ip-aの数を.2しきい値または count 値も 2 に設定すると、シグネチャーが攻撃イベントをトリガーします。

  • 宛先 — 送信元アドレスに関係なく、指定された回数、宛先アドレスに送信された攻撃を検出するには、このオプションを指定します。つまり、特定の攻撃に対して、宛先アドレスからの攻撃ごとにしきい値が維持されます。送信元アドレスは無視されます。例えば、同じ宛先アドレスを持ち、送信元アドレスと 送信元アドレスip-bが異なる 2 つの異なるペア(ip-a, ip-b)と(ip-cip-b)から異常が検出された場合。ip-a ip-c次に、インクリメントの一致ip-bの数を.2しきい値 または count も に2設定すると、シグネチャーが攻撃イベントをトリガーします。

  • ピア—このオプションを指定すると、指定した回数のセッションの送信元と宛先の IP アドレス間の攻撃を検知できます。これは、閾値が送信元アドレスと宛先アドレスのペアに適用されていることを意味します。2 つの異なる送信元と宛先のペア(、)ip-bと(ip-aip-c)から異常が検出されたとip-aします。そして、両方のペアが共通の送信元アドレスを1持っていても、各ペアの一致数は に設定されています。

カウント

カウントまたはしきい値は、攻撃オブジェクトが攻撃と一致するとデバイスが判断する前に、指定されたスコープ内で攻撃を検知する必要がある回数を指定します。攻撃オブジェクトを複数のポートにバインドし、攻撃オブジェクトが異なるポートに対する攻撃を検知した場合、各ポートに対する各攻撃は別々の発生としてカウントされます。たとえば、攻撃オブジェクトがオン TCP/80 とオンの攻撃を検知すると TCP/8080、カウントは2になります。

一致に count 達すると、基準に一致する各攻撃によって攻撃数が 1 つ増えます。このカウントサイクルは、ユーザーが定義した期間(オプションを interval 使用して設定)まで持続し、その後はサイクルが繰り返されます。

間隔

間隔は、時間バインディングカスタム攻撃の任意の 2 つのインスタンス間の最大時間間隔を指定します。時間間隔の範囲は0秒~1時間で、デフォルト値は60秒です。

攻撃のプロパティ(シグネチャ攻撃)

シグネチャー攻撃オブジェクトは、ステートフル攻撃シグネチャ(攻撃の特定のセクションに常に存在するパターン)を使用して、既知の攻撃を検知します。また、攻撃の実行に使用されるプロトコルやサービス、攻撃が発生したコンテキストも含まれます。以下のプロパティはシグネチャ攻撃に固有のプロパティで、シグネチャ攻撃を設定する際に設定できます。

メモ:

シグネチャー攻撃の定義には、攻撃コンテキスト、フロー タイプ、方向のフィールドが必須です。

攻撃コンテキスト

攻撃コンテキストは、シグネチャの場所を定義します。サービスと特定のサービスコンテキストがわかっている場合は、そのサービスを指定し、適切なサービスコンテキストを指定します。サービスがわかっているが、特定のサービスコンテキストが不明な場合は、以下の一般的なコンテキストのいずれかを指定します。

  • first-data-packet—このコンテキストを指定して、最初のデータ パケットのみで攻撃を検知します。

  • first-packet—このコンテキストを指定して、ストリームの最初のパケットのみで攻撃を検知します。攻撃オブジェクトのフロー方向が にany設定されている場合、デバイスはサーバー間フローとクライアント間フローの両方の最初のパケットをチェックします。攻撃シグネチャがセッションの最初のパケットに表示されることがわかっている場合は、代わりにpacketを選択するとfirst packet、デバイスが監視する必要のあるトラフィック量が減少し、パフォーマンスが向上します。

  • packet— パケット内の攻撃パターンに一致するよう、このコンテキストを指定します。このオプションを選択する場合、サービス ヘッダー オプションを定義するためにサービス バインディングも指定する必要があります。必須ではありませんが、これらの追加パラメータを指定すると、攻撃オブジェクトの精度が向上し、パフォーマンスが向上します。

  • line—このコンテキストを指定して、ネットワーク トラフィック内の特定の回線内でパターン一致を検出します。

  • normalized-stream—このコンテキストを指定して、正規化されたストリーム全体で攻撃を検知します。正規化されたストリームは、情報を送信する複数の方法の1つです。このストリームでは、パケット内の情報は一致が実行される前に正規化されます。と同じwww.yahoo.com/s%70ortsだとしますwww.yahoo.com/sports。これらの両方の URL を表す正規化された形式は、 であるwww.yahoo.com/sports可能性があります。正確な形式でstreamいくつかのパターンを検出しない限り、 ではなく を選択normalized streamします。例えば、正確なパターンwww.yahoo.com/s%70ortsを検出したい場合は、 を選択streamします。

  • normalized-stream256-このコンテキストを指定して、正規化されたストリームの最初の 256 バイトのみで攻撃を検出します。

  • normalized-stream1k-このコンテキストを指定して、正規化されたストリームの最初の1024バイトのみで攻撃を検出します。

  • normalized-stream-8k-正規化されたストリームの最初の 8192 バイトのみで攻撃を検出するには、このコンテキストを指定します。

  • streamパケットを再構築し、データを抽出してパターン一致を検索するには、このコンテキストを指定します。ただし、デバイスはストリームコンテキストのパケット境界を認識できないため、複数のパケットのデータが組み合わされます。このオプションは、他のコンテキスト オプションに攻撃が含まれている場合にのみ指定します。

  • stream256パケットを再構築し、トラフィック ストリームの最初の 256 バイト内でパターン一致を検索するには、このコンテキストを指定します。フロー方向が にany設定されている場合、デバイスはサーバー間フローとクライアント間フローの両方の最初の 256 バイトを確認します。攻撃署名がセッションの最初の 256 バイトに表示されることがわかっている場合は、代わりにstreamを選択するとstream256、デバイスが監視およびキャッシュする必要があるトラフィック量が減少し、パフォーマンスが向上します。

  • stream1kパケットを再構築し、トラフィック ストリームの最初の 1024 バイト内でパターン一致を検索するには、このコンテキストを指定します。フロー方向が にany設定されている場合、デバイスはサーバー間フローとクライアント間フローの両方の最初の 1024 バイトをチェックします。攻撃シグネチャがセッションの最初の1024バイトに現れることが分かっている場合は、代わりにstreamを選択することでstream1024、デバイスが監視およびキャッシュする必要のあるトラフィック量を減らすので、パフォーマンスが向上します。

  • stream8kパケットを再構築し、トラフィック ストリームの最初の 8192 バイト内でパターン一致を検索するには、このコンテキストを指定します。フロー方向が に any設定されている場合、デバイスはサーバー間フローとクライアント間フローの両方の最初の 8192 バイトをチェックします。攻撃シグネチャがセッションの最初の8192バイトに現れることが分かっている場合は、代わりにを選択することで stream8192 、デバイスが監視およびキャッシュする必要のあるトラフィック量を減らすの stream で、パフォーマンスが向上します。

攻撃の方向

攻撃の接続方向を指定できます。単一方向(ではなく Any)を使用すると、パフォーマンスが向上し、誤検知が減少し、検出精度が向上します。

  • クライアントからサーバーへ(クライアントからサーバーへのトラフィックでのみ攻撃を検知)

  • サーバーツークライアント(サーバーからクライアントへのトラフィックでのみ攻撃を検知)

  • 任意(どちらの方向でも攻撃を検知)

攻撃パターン

攻撃パターンは、検知したい攻撃のシグネチャです。シグネチャとは、常に攻撃内に存在するパターンのことです。攻撃が存在する場合はシグネチャも同様です攻撃パターンを作成するには、まず攻撃を分析してパターン(コードのセグメント、URL、パケットヘッダーの値など)を検出し、そのパターンを表す構文表現を作成する必要があります。また、パターンをネゲートすることもできます。パターンを否定すると、攻撃で定義されたパターンが指定されたパターンと一致すると、攻撃が not 一致したと見なされます。

メモ:

パターン否定は、パケット、ライン、アプリケーションベースのコンテキストでのみサポートされ、ストリームおよび正規化されたストリームコンテキストではサポートされません。

プロトコル固有のパラメーター

パケット ヘッダー内に存在する特定の値とオプションを指定します。これらのパラメータは、プロトコルによって異なります。カスタム攻撃定義では、TCP、UDP、または ICMP の 1 つのプロトコルに対してのみフィールドを指定できます。ただし、カスタム攻撃定義では、TCP または UDP で IP プロトコル フィールドを定義できます。

メモ:

ヘッダー パラメーターは、パケットまたは最初のパケット コンテキストを使用する攻撃オブジェクトに対してのみ定義できます。行、ストリーム、ストリーム 256、またはサービス コンテキストを指定した場合、ヘッダー パラメーターを指定することはできません。

悪意のあるパケットのオプションやフラグの設定に不明な点がある場合は、すべてのフィールドを空白のままにし、侵入検出および防御(IDP)はすべてのヘッダー コンテンツの署名と一致するよう試みます。

表 13 に 、IP プロトコルを使用する攻撃に対して設定できるフィールドとフラグを示します。

表 13:IP プロトコル フィールドとフラグ

フィールド

説明

サービスのタイプ

サービス タイプの値を指定します。一般的なサービス タイプは次のとおりです。

  • 0000(デフォルト)

  • 0001 コストの最小化

  • 0002 信頼性を最大化

  • 0003 スループットを最大化

  • 0004 遅延を最小限に抑える

  • 0005 セキュリティーの最大化

全長

すべてのヘッダー フィールドとデータ ペイロードを含む、パケット内のバイト数の値を指定します。

Id

フラグメントパケットを再構築するために宛先システムが使用する一意の値を指定します。

今からでもご利用ください

パケットのTTL(Time-to-live)値に0~255の範囲で整数値を指定します。この値は、パケットが通過できるデバイスの数を表します。パケットを処理する各ルーターは、 によって 1TTL をデクリメントします。TTL が 0 に達すると、パケットは破棄されます。

プロトコル

使用するプロトコルの値を指定します。

ソース

攻撃対象デバイスの送信元アドレスを入力します。

攻撃対象の宛先アドレスを入力します。

予約ビット

このビットは使用されません。

その他のフラグメント

(1)を設定した場合、このオプションはパケットに多くのフラグメントが含まれていることを示します。セット解除(0)すると、フラグメントが残らないことを示します。

フラグメント化しない

(1)を設定した場合、このオプションは、パケットを送信のためにフラグメント化できないことを示します。

表 14 は、 TCP プロトコルを使用する攻撃に対して設定できるパケット ヘッダー フィールドとフラグを示しています。

表 14:TCP ヘッダー フィールドとフラグ

フィールド

説明

送信元ポート

攻撃対象デバイスのポート番号の値を指定します。

宛先ポート

攻撃ターゲットのポート番号の値を指定します。

シーケンス番号

パケットのシーケンス番号の値を指定します。この番号は、データシーケンス全体に関連するデータの場所を識別します。

ACK番号

パケットの ACK 番号の値を指定します。この番号は、次のシーケンス番号を識別します。このフィールドをアクティブにするには、ACK フラグを設定する必要があります。

ヘッダーの長さ

TCP ヘッダーのバイト数の値を指定します。

データ長

データ ペイロード内のバイト数の値を指定します。SYN、ACK、およびFINパケットの場合、このフィールドは空にする必要があります。

ウィンドウ サイズ

TCPウィンドウサイズのバイト数の値を指定します。

緊急の指針

緊急ポインタの値を指定します。この値は、パケット内のデータが緊急であることを示しています。このフィールドをアクティブにするには、URG フラグを設定する必要があります。

URG

設定すると、緊急フラグはパケットデータが緊急であることを示します。

Ack

設定されると、確認フラグはパケットの受信を確認します。

Psh

設定すると、pushフラグは、受信側がシーケンス内の残りのパケットを待たずに、現在のシーケンス内のすべてのデータを宛先アプリケーション(ポート番号で識別)にプッシュする必要があることを示します。

Rst

設定すると、リセット フラグは TCP 接続をリセットし、既存のシーケンス内のすべてのパケットを破棄します。

Syn

設定すると、SYNフラグは新しいセッションのリクエストを示します。

フィン

設定すると、最終フラグはパケット転送が完了し、接続を閉じることができます。

R1

この予約ビット(1/2)は使用されません。

R2

この予約ビット(2/2)は使用されません。

表 15 は、UDP プロトコルを使用する攻撃に対して設定できるパケット ヘッダー フィールドとフラグを示しています。

表 15:UDP ヘッダー フィールドとフラグ

フィールド

説明

送信元ポート

攻撃対象デバイスのポート番号の値を指定します。

宛先ポート

攻撃ターゲットのポート番号の値を指定します。

データ長

データ ペイロード内のバイト数の値を指定します。

表 16 に、ICMP プロトコルを使用する攻撃に対して設定できるパケット ヘッダー フィールドとフラグを示します。

表 16:ICMP ヘッダー フィールドとフラグ

フィールド

説明

ICMP タイプ

要求または応答パケットの機能を識別する 1 次コードの値を指定します。

ICMP コード

指定されたタイプ内の要求または応答パケットの機能を識別する 2 次コードの値を指定します。

シーケンス番号

パケットのシーケンス番号の値を指定します。この番号は、シーケンス全体に関連するリクエストまたは返信パケットの場所を識別します。

ICMP ID

識別番号の値を指定します。識別番号は、要求と応答パケットを関連付けるために宛先システムが使用する一意の値です。

データ長

データ ペイロード内のバイト数の値を指定します。

シグネチャー攻撃の定義例

シグネチャー攻撃の定義例を以下に示します。

攻撃プロパティ(プロトコル異常攻撃)

プロトコル異常攻撃オブジェクトは、プロトコル仕様(RFCおよび一般的なRFC拡張)に違反する未知または高度な攻撃を検知します。新しいプロトコル異常は作成できませんが、検知された場合にデバイスが事前に定義されたプロトコルの異常を処理する方法を制御する新しい攻撃オブジェクトを設定できます。

メモ:

サービスまたはアプリケーション バインディングは、プロトコル異常攻撃の必須フィールドです。

以下のプロパティは、プロトコルの異常攻撃に固有のものです。異常攻撃定義を設定するには、攻撃方向とテスト条件の両方が必須フィールドです。

攻撃の方向

攻撃方向により、攻撃の接続方向を指定できます。単一方向(ではなく Any)を使用すると、パフォーマンスが向上し、誤検知が減少し、検出精度が向上します。

  • クライアントからサーバーへ(クライアントからサーバーへのトラフィックでのみ攻撃を検知)

  • サーバーツークライアント(サーバーからクライアントへのトラフィックでのみ攻撃を検知)

  • 任意(どちらの方向でも攻撃を検知)

テスト条件

テスト条件は、異常攻撃に一致させる条件です。ジュニパーネットワークスは、特定の定義済みテスト条件をサポートしています。次の例では、条件が長すぎるメッセージです。メッセージのサイズがこのテスト条件の構成済み値よりも長い場合、攻撃が一致します。

プロトコル異常攻撃の定義例

以下に、プロトコル異常攻撃の定義例を示します。

攻撃のプロパティ(複合攻撃または連鎖攻撃)

複合攻撃またはチェーン攻撃オブジェクトは、複数の方法を使用して脆弱性を悪用する攻撃を検知します。このオブジェクトは、複数のシグネチャやプロトコルの異常を単一の攻撃オブジェクトに組み合わせ、トラフィックが攻撃であると識別される前に、複合攻撃オブジェクト内でシグネチャーと異常を組み合わせたパターンに一致させます。シグネチャや異常が一致する必要がある順序を組み合わせて指定することで、デバイスがトラフィックを攻撃として識別する前に発生する必要があるイベントについて非常に具体的に特定できます。

複合攻撃では、最低 2 メンバー(攻撃)を指定する必要があります。複合攻撃では、最大 32 人のメンバーを指定できます。メンバーはシグネチャ攻撃または異常攻撃のいずれかです。

次のプロパティは複合攻撃に固有のものです。

スコープ

スコープでは、セッション内またはセッション内のトランザクション間で攻撃が一致するかどうかを指定できます。指定されたサービスが単一セッション内で複数のトランザクションをサポートしている場合、1 つのセッションで一致を行う必要があるか、セッション内で複数のトランザクションで実行できるかどうかを指定することもできます。

  • 同じセッション内のオブジェクトに対して複数の一致を許可するように指定 session します。

  • 同じセッション内で発生する複数のトランザクション間でオブジェクトを照合するように指定 transaction します。

順序

ordered matchを使用して、指定した順序で各メンバーシグネチャまたはプロトコル異常に一致する必要がある複合攻撃オブジェクトを作成します。順序付き一致を指定しない場合、複合攻撃オブジェクトは依然としてすべてのメンバーと一致する必要がありますが、攻撃パターンやプロトコルの異常は攻撃の順序で表示される可能性があります。

リセット

同じセッション内で攻撃が検知されるたびに、新しいログが生成されるように指定します。このフィールドが に no 設定されている場合、攻撃はセッションに対して 1 回だけ記録されます。

式(ブール式)

ブール式フィールドを使用すると、順序付き一致関数が無効になります。ブール式フィールドは、メンバー名またはメンバー インデックス プロパティを使用します。以下の 3 つのブール演算子は括弧と共にサポートされており、優先順位の決定に役立ちます。

  • or- メンバー名パターンのいずれかが一致する場合、式は一致します。

  • and- メンバー名パターンが両方とも一致する場合、式は一致します。メンバーがどの順序で登場するかは問題ではありません。

  • oand (ordered and)メンバー名パターンの両方が一致し、ブール式で指定された順序で表示される場合は、式が一致します。

「-s5」とラベル付けされた 5 つの署名メンバーを作成したs1とします。攻撃には常に、 または s3のいずれかがs2続くパターンs1が含まれているとします。また、攻撃には常に および s5が含まれていますs4が、攻撃における位置はさまざまです。この場合、以下のブール式を作成します。

メモ:

カスタム攻撃定義では、順序付き一致または式(両方ではない)を定義できます。

メンバーインデックス

メンバーインデックスは、チェーン攻撃で指定され、メンバー(攻撃)を一意に特定します。次の例では、メンバーを識別するために、およびm02定義された式でメンバー m01 インデックスを使用します。

メモ:

式を定義する際には、すべてのメンバーのメンバー・インデックスを指定する必要があります。

複合攻撃の定義例

複合攻撃の定義例を以下に示します。

複合攻撃オブジェクトの作成

複合攻撃オブジェクトは、次の場合に使用します。

  • 攻撃は複数の方法で脆弱性を悪用し、個別に検査すると個々のコンテキストが無害に見えます。

  • 複数のコンテキストに一致すると、誤検知が減少します。

  • シグネチャとプロトコル異常を組み合わせて使用することで、誤検知を減らします。

シグネチャー攻撃オブジェクトまたは定義済みの異常を複合オブジェクトの「メンバー」として選択し、ブール式を使用して一致するロジックを指定します。

複合攻撃オブジェクトを設定するには:

  1. シグネチャー攻撃オブジェクトの説明に従って、一般的な攻撃オブジェクトのプロパティと参照情報を設定します。

    [ターゲット プラットフォームとタイプ] ページで、ターゲット プラットフォームを選択し、[ 複合攻撃] を選択して [ 次へ] をクリックします。

  2. 「カスタム攻撃 - 一般的なプロパティ」ページで、 表 17 に記載されている設定を構成します。
    表 17:カスタム攻撃 – 一般的なプロパティ

    プロパティ

    説明

    タイム バインディング

    シグネチャー攻撃オブジェクトと同じガイドライン。

    [ 次へ] をクリックします。

  3. [複合メンバー] ページで、複合攻撃パラメーターを指定し、メンバーを追加します。 表 18 は、設定を完了するためのガイドラインを示しています。
    表 18:複合攻撃パラメータ

    設定

    説明

    スコープ

    攻撃がセッション内で一致するか、セッション内のトランザクション間で一致するかを指定します。以下のいずれかを選択します。

    • セッション - 同じセッション内のオブジェクトに対して複数の一致を許可します。

    • トランザクション - 同じセッション内で発生する複数のトランザクション間でオブジェクトを照合します。

    リセット

    このオプションを有効にすると、同じセッション内で攻撃が検知されるたびに新しいログを生成できます。このオプションが選択されていない場合、攻撃はセッションごとに1回のみ記録されます。

    ブール式

    攻撃メンバーの一致方法を識別するために使用される攻撃メンバーのブール式を入力します。次のブール演算子を使用して、ブール式を入力します。

    • OR–メンバー名パターンのいずれかが一致する場合、式は一致します。

    • AND – メンバー名パターンの両方が一致する場合、式は一致します。メンバーがどの順序で登場するかは問題ではありません。

    • OAND - 両方のメンバー名パターンが一致し、それらがブール式と同じ順序で表示される場合、式は一致します。

    たとえば、ブール式(s1 OAND s2)または(s1 OAND s3))AND(s4 AND s5)は、s1 の後に s2 または s3 が続き、任意の場所に s4 と s5 も含まれる攻撃と一致します。

    メンバーの追加

    [+]アイコンをクリックし、[ Signature](署名 )または [プロトコル異常]を選択して、設定の詳細を入力します。

    署名メンバーの場合は、署名攻撃オブジェクトと同じコンテキスト情報を指定します。

    プロトコル異常メンバーの場合は、定義済みのプロトコル異常のリストから選択します。

    ベスト プラクティス:

    メンバーの命名規則の例として、m01、m02、m03 などが挙げられます。同じ命名規則を使用することをお勧めします。

    順序

    このオプションを有効にすると、指定した順序で各メンバーシグネチャまたはプロトコルの異常に一致する必要がある複合攻撃オブジェクトを作成できます。順序を指定しない場合、複合攻撃オブジェクトは依然としてすべてのメンバーに一致する必要がありますが、パターンやプロトコルの異常は攻撃の順序で表示される可能性があります。

    複合攻撃オブジェクトは、複数の方法を使用して脆弱性を悪用する攻撃を検知します。

    プロトコル バインディング

    攻撃を検知するプロトコル バインディング。

  4. [ 完了] をクリックします。

署名更新で導入された変更によるカスタム攻撃オブジェクトの変更

このトピックでは、HTTP プロトコル デコーダーによって生成されるいくつかのサービス コンテキストの変更について説明します。 署名更新 #1972 以降、HTTP プロトコル デコーダーでは一部のコンテキストが生成されなくなります。IDP セキュリティ ポリシーに、削除されたコンテキストを使用するカスタム シグネチャが含まれている場合、ポリシーのコンパイル エラーを回避するには、以下の説明に従って攻撃オブジェクト定義を変更する必要があります。このトピックには、以下の情報が含まれています。

リファレンス:削除されたコンテキスト

パフォーマンスを向上させるために、HTTPプロトコルデコーダーは 、表19の最初の列にリストされたコンテキストを生成しなくなりました。この表に、カスタム攻撃オブジェクトのコンテキストの置き換えに関するガイドラインをご覧ください。

表 19:HTTP サービス コンテキスト

削除

置き換え

ガイドライン

http-text-html-body

http-text-html

コンテキスト http-text-html-body を使用する署名を http-text-html に変更します。署名パターンやその他のプロパティを変更する必要はありません。

  • http-get-url-parsed-param

  • http-post-url-parsed-param

  • http-head-url-parsed-param

  • http-get-url-parsed-param-parsed

  • http-post-url-parsed-param-parsed

  • http-head-url-parsed-param-parsed

以下のコンテキストを組み合わせて使用します。

  • http-request-method

  • http-url-parsed

  • http-variable-parsed

複合シグネチャとブール AND を使用して、シグネチャ パターンを複数の部分に分割します。[スコープ] フィールドが [トランザクション] に設定されていることを確認します。

http-request-method コンテキストの使用はオプションです。http-request-method コンテキストを使用して、検出を http GET または POST または HEAD トランザクションにバインドします。GET メソッドでは、パターン \[GET\] (大文字と小文字が区別されない GET)を使用します。以前に Request Method に一致した結果を保持する価値がある場合にのみ、http-request-method を使用します。そうでない場合は、省略してパフォーマンスを向上させます。http-request-methodを使用する場合は、複合チェーンの最初に注文します。

http-url 解析コンテキストを使用して、URL で識別可能な攻撃シグネチャを照合します。このコンテキストを使用して、変数パラメータ(疑問符の前に URL の一部)の前に表示される URL のパターンに一致します。

1つ以上のhttp変数解析コンテキストを使用して、URL変数パラメーター(通常はアンパサンド(&)で区切られた疑問符(?)の後のURLの一部を一致させます。

例:HTML テキストに表示されるパターンのコンテキストの置換

HTTP 検出器エンジンによって生成される各コンテキストには、パフォーマンス コストがあります。コンテキスト http-text-html と http-text-html-body は同じ目的を果たします。コンテキスト数を減らすことで、パフォーマンスが向上します。

表 20 は、更新 #1972 の前の署名のプロパティと更新後の署名のプロパティを示しています。これは簡単な変更です。コンテキストのみを変更します。パターンやその他のプロパティを変更する必要はありません。

表 20:HTTP サービスコンテキスト:HTML テキスト

更新前

更新後

コンテキスト

http-text-html-body

http-text-html

パターン

.*<span></span>.*

.*<span></span>.*

例: URL に表示されるパターンのコンテキストの置換

このセクションには 2 つの部分があります。

要求メソッドに一致する署名

GET、POST、または HEAD と一致したカスタム攻撃オブジェクトを変更する場合、これらのリクエストメソッドパターンと一致するものが有効かどうかを検討します。生成される各コンテキストにはパフォーマンス コストが発生します。request メソッドが結果に不可欠でない場合は、この機会に署名なしで再度キャストしてください。

表 21表 22 は、 Update #1972 の前の署名のプロパティと後の複合署名を示しています。この例では、要求メソッドへの関心を保持します。

表 21:HTTP サービスコンテキスト:更新前のリクエストメソッド

更新前の署名

スコープ

コンテキスト

http-get-url-parsed-param

パターン

\[/viper/vegaspalms/\].*

表 22:HTTP サービス コンテキスト: 更新後のリクエスト メソッド

更新後の複合署名

m01

m02

スコープ

トランザクション

 

コンテキスト

http-request-method

http-url-parsed

パターン

\[GET\]

\[/viper/vegaspalms/\].*

URL 文字列と URL 変数に一致する署名

一般に、単一のパターンを複数のコンテキストに分割すると、パフォーマンスにプラスまたはマイナスの影響を与える可能性があります。本番ネットワークに攻撃オブジェクトを展開する前に、パフォーマンスへの影響を理解するために変更をテストする必要があります。 表 23表 24 に示す例では、URL の一致を複数のコンテキストに分けます。ジュニパーのセキュリティ チームは、ここに記載されている推奨事項についてパフォーマンスをテストしました。

表 23: HTTP サービスコンテキスト: URL 文字列と変数更新前

更新前の署名

スコープ

コンテキスト

http-get-url-param-parsed-param

パターン

\[/cvs/index[0-9]?\.php\?option=com_content&do_pdf=1&id=1\]

表 24:HTTP サービスコンテキスト:URL 文字列と更新後の変数

更新後の複合署名

 

m01

m02

m03

m04

スコープ

トランザクション

     

コンテキスト

http-url-parsed

http-variable-parsed

http-variable-parsed

http-variable-parsed

パターン

\[/cvs/index[0-9]?\.php\]

\[option=com_content\]

\[do_pdf=1\]

\[id=1\]

例:複合攻撃または連鎖攻撃の設定

この例では、特定の一致条件に対して複合攻撃または連鎖攻撃を設定する方法を示します。複合攻撃オブジェクトまたはチェーン攻撃オブジェクトは、複数の方法を使用して脆弱性を悪用する攻撃を検知するように構成できます。

要件

開始する前に、デバイスで IDP をサポートして有効にする必要があります。

概要

複合攻撃オブジェクトまたはチェーン攻撃オブジェクトは、シグネチャと異常を組み合わせて単一の攻撃オブジェクトを形成できます。単一の攻撃オブジェクトには、以下のものが含まれます。

  • 2 つ以上の署名

  • 2 つ以上の異常

  • シグネチャと異常の組み合わせ

複合攻撃オブジェクトまたはチェーン攻撃オブジェクトは、複数のシグネチャやプロトコルの異常を1つの攻撃オブジェクトに組み合わせ、トラフィックが攻撃として識別される前に、複合攻撃オブジェクト内でシグネチャーと異常を組み合わせたパターンにトラフィックを一致させます。これらのオブジェクトは、誤検知を減らし、検出精度を高めるためにも使用されます。これにより、IDP がトラフィックを攻撃として識別する前に発生する必要があるイベントについて具体的に特定できます。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

特定の一致条件に対して複合攻撃または連鎖攻撃を設定するには:

  1. IDP ポリシーを作成します。

  2. ルールベースをポリシーに関連付けます。

  3. ルールベースにルールを追加します。

  4. ルールの一致条件を定義します。

  5. ルールの基準に一致するアプリケーション セット名を指定します。

  6. 攻撃オブジェクトに一致する攻撃オブジェクトと名前を指定します。

  7. ルールのアクションを指定します。

  8. ルールの通知またはロギング オプションを指定します。

  9. IDP ポリシーをアクティブ化します。

  10. カスタム攻撃の名前を指定します。

  11. カスタム攻撃の重大度を設定します。

  12. カスタム攻撃の攻撃タイプとアプリケーション名を設定します。

  13. 範囲と攻撃の定義順序を設定します。

  14. チェーン攻撃オブジェクトの最初のメンバーの名前を指定します。

  15. チェーン攻撃オブジェクトの最初のメンバーのコンテキスト、パターン、方向を設定します。

  16. チェーン攻撃オブジェクトの2番目のメンバーの名前を指定します。

  17. チェーン攻撃オブジェクトの2番目のメンバーのコンテキスト、パターン、方向を設定します。

  18. チェーン攻撃オブジェクトの3番目のメンバーの名前を指定します。

  19. チェーン攻撃オブジェクトの3番目のメンバーの攻撃タイプと方向を指定します。

  20. IDP サービスのトレース・オプションとトレース・ファイル情報を指定します。

  21. トレース出力に含める必要があるイベントやその他の情報を指定します。

結果

設定モードから、 コマンドを入力して設定を show security idp 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

メモ:

設定モードでを入力 commit すると、設定が内部で検証され、コミットされます。エラーが発生した場合、コミットは失敗し、エラーが報告されます。

検証

チェーン攻撃の設定が正しく機能していることを確認するには、次のタスクを実行します。

設定の検証

目的

チェーン攻撃の設定が正しいことを確認します。

アクション

運用モードから、 コマンドを show security idp policy-commit-status 入力して、ポリシーのコンパイルまたはロードステータスを確認します。

メモ:

コマンドの show security idp policy-commit-status 出力は動的であるため、このコマンドの出力は1つもありません。

攻撃が構成に従って検知されていることを確認し、デバイスを通じてトラフィックを渡して攻撃の一致をトリガーします。例えば、 コマンドを show security idp status 入力して、ポリシーが読み込まれているかどうかを確認します。

user@host> show security idp status

コマンドを show security idp attack table 入力して攻撃トラフィックを渡し、攻撃が検知されていることを確認します。

メモ:

コマンドは、攻撃が検出された場合にのみ出力を表示します。

user@host> show security idp attack table

例:動的攻撃グループとカスタム攻撃グループを使用した攻撃グループの設定

この例では、FTP または Telnet サーバーを保護するために、IDP ポリシーで動的攻撃グループとカスタム攻撃グループを使用して攻撃グループを設定する方法を示します。

要件

開始する前に、以下のステートメントのいずれかが true の場合にのみ、デバイスにセキュリティ パッケージをインストールします。

  • 動的攻撃グループが設定されています。

  • カスタム攻撃グループには、事前定義された攻撃または攻撃グループが含まれています。

メモ:

カスタム攻撃グループにカスタム攻撃のみが含まれている場合、セキュリティパッケージライセンスは必要なく、セキュリティパッケージをデバイスにインストールする必要はありません。セキュリティ パッケージをインストールするには、IDP セキュリティ パッケージ ライセンスが必要です。

概要

IDP には、事前に定義された多数の攻撃オブジェクトが含まれています。IDP ポリシーを管理および整理するために、攻撃オブジェクトをグループ化できます。攻撃オブジェクト グループには、2 つ以上のタイプの攻撃オブジェクトを含めることができます。攻撃グループは次のように分類されます。

  • 動的攻撃グループ — 特定の一致条件に基づいて攻撃オブジェクトを含みます。署名の更新時に、動的グループメンバーシップは、そのグループの一致条件に基づいて自動的に更新されます。たとえば、動的攻撃グループフィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

  • カスタム攻撃グループ — 攻撃定義で指定された攻撃のリストが含まれます。また、カスタム攻撃グループには、特定の事前定義された攻撃、カスタム攻撃、事前定義された攻撃グループ、または動的攻撃グループを含めることもできます。カスタム攻撃グループは、攻撃がグループで指定されるため、本質的に静的です。そのため、セキュリティ データベースを更新しても攻撃グループは変更されません。メンバーは、署名データベースまたはその他のカスタム攻撃や動的攻撃グループから、事前定義された攻撃グループまたは事前定義された攻撃グループを使用できます。

この例では、カスタム攻撃および動的攻撃から FTP または Telnet サーバーを保護するために、IDP ポリシーに攻撃グループを設定します。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

動的攻撃グループとカスタム攻撃グループで攻撃グループを設定するには::

  1. IDP ポリシーを作成します。

  2. ルールベースをポリシーに関連付けます。

  3. ルールベースにルールを追加します。

  4. ルールの一致条件を定義します。

  5. ルールの基準に一致するアプリケーション セット名を指定します。

  6. カスタム攻撃グループの一致を指定します。

  7. 動的攻撃グループの一致を指定します。

  8. ルールのアクションを指定します。

  9. ルールの通知またはロギング オプションを指定します。

  10. IDP ポリシーをアクティブ化します。

  11. カスタム攻撃の名前を指定します。

  12. カスタム攻撃の重大度を設定します。

  13. 攻撃のタイプとコンテキストを設定します。

  14. 攻撃のパターンを指定します。

  15. 攻撃の方向を指定します。

  16. カスタム攻撃グループの名前を指定します。

  17. カスタム攻撃グループに属する攻撃または攻撃グループのリストを指定します。

  18. 最初の動的攻撃グループの名前を指定します。

  19. フィルターを設定し、フィルターのカテゴリ値を設定します。

  20. 2 番目の動的攻撃グループの名前を指定します。

  21. 2 番目の動的攻撃グループのフィルターを設定し、このフィールドの方向とその値を設定します。

  22. IDP サービスのトレース・オプションとトレース・ファイル情報を指定します。

  23. トレース出力に含める必要があるイベントやその他の情報を指定します。

結果

設定モードから、 コマンドを入力して設定を show security idp 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

メモ:

設定モードでを入力 commit すると、設定が内部で検証され、コミットされます。エラーが発生した場合、コミットは失敗し、エラーが報告されます。

検証

設定の検証

目的

設定が正しいことを確認します。

アクション

運用モードから、 コマンドを show security idp policy-commit-status 入力して、ポリシーのコンパイルまたはロードステータスを確認します。

メモ:

コマンドの show security idp policy-commit-status 出力は動的であるため、このコマンドの出力は1つもありません。

攻撃が構成に従って検知され、攻撃の一致がトリガーされるデバイスを介してトラフィックを渡していることを確認します。例えば、 コマンドを show security idp status 入力して、ポリシーが読み込まれているかどうかを確認します。

user@host> show security idp status

コマンドを show security idp attack table 入力して攻撃トラフィックを渡し、攻撃が検知されていることを確認します。

メモ:

コマンドは、攻撃が検出された場合にのみ出力を表示します。

user@host> show security idp attack table

カスタム攻撃オブジェクトDFA表現

表 25 は、攻撃パターンに一致する構文の例を示しています。

表 25:例:カスタム攻撃オブジェクト正規表現

構文例

説明

一致例

こんにちは。。\B.0.1..00\B...世界

マッチングには 2 つの側面があります。

ビットマスク パターンに一致する必要があります。\B.0.0.1.。00\B

ビットマスク パターンの前後のバイト数(.で示す)に一致する必要があります。

一致:

こんにちは。。\B.0.11100\B..worldHello..\B.0.10000\B..世界

一致しない:

Hello.\B.0.1..00\B.worldHello..\B.0.1..11\B..世界

\X01 86 A5 00 00\X

指定された 5 バイトの説明文を持つパターン。

01 86 A5 00 00

(hello|world)

hello またはワールドが一度発生するパターン。

こんにちは

世界

(hello|world)+

hello または world が 1 回以上発生するパターン。

Helloworld

ワールドヘッロ

Hellohello

\[hello\]

パターン Hello、大文字と小文字を区別しません。

こんにちは

こんにちは

こんにちは

\uHello\u

パターン hello、ユニコード区別なし。

こんにちは

68656c6c6f

hello\sworld

パターン hello world、空白で区切られた 2 つの単語。

ハローワールド

[c-e]a(d|t)

最初の文字が c、d、または e のパターン。ミドルレターa;d または t で終わる必要があります。

お父さん

食べる

[^c-d]a(d|t)

c、d、または e 以外の文字で始まるパターン。2番目の文字aを持っています。d または t で終わる必要があります。

流行

Zad

a*b+c

任意の数の文字を持つパターン(ゼロを含む)その後に1つ以上のb文字が続きます。その後に c 文字が続きます。

紀元 前

Abc

aaaabbbbc

株式会社T[株式会社]

大文字の T で始まり、大文字と小文字を区別しない k が続くパターン。

Tk

Tk

([Tt])k

大文字と小文字を区別しない t で始まり、その後に小文字の k が続くパターン。

Tk

Tk

Sea[In]

Sea で始まるパターンの後に、l、m、または n を小文字で表記します。

シール

縫い目

ショーン

([B-D]):

B、C、または D を大文字で始め、その後に 小文字で表記するパターン。

バット

Dat

\0133\[hello\]\0135

開始括弧で始まり、大文字と小文字を区別しない hello で始まるパターンで、終わりは閉括弧で終わる。この式では\0式を使用して、以下の式がオクタルコードであることを表し、次に始め括弧(133)または閉じ括弧(135)のオクタルコードが続きます。

[こんにちは]

[HeLLo]

例: パターン否定の使用

パターン否定を使用して、安全であることがわかっているパターンを除外し、他のすべてに一致させることができます。

例えば、FTP サーバーへのトラフィックを検査する攻撃オブジェクトを設計するとします。アカウントのユーザー名とパスワードは十分に管理されており、承認されたユーザーのみが内部リソースにアクセスできるようにしています。ただし、ネットワークが拡大し、新しいコンポーネントが追加されるにつれて、ユーザー アカウントが増殖し、特定のコンポーネントへのネットワーク アクセスが増加する可能性があります。この例では、内部ネットワーク上に複数のユーザーアカウントが有効になっているFTPサーバーがあります。セキュリティーを向上させるために、FTP 管理者へのアクセスを制限します。

FTP サービス、FTP ユーザー名コンテキスト、およびパターン adminに対する攻撃オブジェクトを作成し、 Negate チェック ボックスをオンにします。その結果、以外 adminのユーザーによるログイン試行にフラグを立てることができる攻撃オブジェクトになります。この攻撃オブジェクトは、一致するトラフィックをログに記録またはドロップするルールで使用できます。

例: ファイル拡張子のマッチング

この例では、拡張機能 .emf (Windows 拡張メタファイル) と .wmf (Microsoft Windows Metafile) を使用する Microsoft Windows メタファイルを検出します。

これらのファイル タイプのいずれかを照合するには、単純な DFA 式を使用します。

この式では:

  • アスタリスク(.*)と組み合わせたピリオドは、1 つ以上の文字が表示される必要があることを示しています(ワイルドカードの一致)。

  • 円記号をピリオド(\.)と組み合わせると、ピリオド文字がエスケープされていることを示します(ピリオドはパターンに表示されます)。

  • 式()の先頭と末尾の括弧はグループを示します。e と w(e|w)の間のパイプ文字は、文字間の OR 関係を示します。この式の場合、eまたはwはこの式に一致するようにパターンに表示する必要があります。1 つだけ存在する必要があります。

  • 始め括弧(\[)は、閉括弧(\])が表示されるまで、大文字と小文字を区別しないすべての文字の一致の始まりを示します。

  • 閉括弧(\])は、大文字と小文字を区別しない一致の終わりを示しています。

例:Apache の Apache のサービス拒否攻撃

この例では、Apache の Apache を実行している Web サーバがあると仮定します。セキュリティ管理者は、Apache Apache の脆弱性が発表されたばかりであることを通知し、ダウンタイムをスケジュールしてサーバーにパッチを適用するまで、ネットワークを保護するカスタム攻撃オブジェクトを作成することを決定します。

脆弱性に関する CVE アドバイザリ(http://nvd.nist.gov/nvd.cfm?cvename=CAN-2002-0682)には、次の引用が記載されています。

この情報から、この攻撃はHTTPを使用します。ここで攻撃コードを特定する必要があります。アドバイザリには、攻撃に関するより多くの情報へのリンクも含まれています。残念ながら、参照されている Web ページにはエクスプロイト コードが含まれておりいません。CVEアドバイザリから学習した情報を使用してWebを検索した後、 http://packetstormsecurity.nl/0210-exploits/neuter.c でいくつかのエクスプロイトコードを検索します。スクリプトをコピーして、テスト ラボの攻撃者のコンピューターに移動します。

この攻撃オブジェクトを開発するには、

  1. 攻撃のコンテキスト、方向、パターンを決定する攻撃を再現します。理想的には、 と Wireshark を同時に使用 scio ccap するため、攻撃を一度だけ実行する必要があります。
  2. 攻撃シグネチャの次の要素を発見します
    • サービス。CVEアドバイザリから、この攻撃はHTTPプロトコルを使用します。パケット キャプチャを確認してプロトコルを確認します。

    • コンテキスト。を使用して scio ccap 、特定のサービスコンテキストに一致できるかどうかを判断します。この例では、HTTP URL 解析されたサービス コンテキストで署名パターンが発生します。

    • パターン。アドバイザリから、HTTPプロトコルで悪用されたGETメソッドを使用して攻撃が発生することを知っています。GET メソッドを含むフレームを選択して、パケットのそのセクションの詳細を表示します。署名パターン examples/servlet/AUXを として迅速に識別できます。

    • 方向。セッションを開始した送信元 IP を確認します。この攻撃は TCP を使用するため、Wireshark の [TCP ストリームを追跡] オプションを使用して、セッションを開始した送信元 IP を迅速に検出できます。攻撃の方向はクライアントからサーバーへです。

  3. 攻撃シグネチャに一致する攻撃オブジェクトを作成します。この例では、以下の正規表現を使用してシグネチャに一致します。

    この式では:

    • ドットスターの組み合わせ(.*)は、ワイルドカードの一致を示しています。

    • /examples/サーブレット/セクションは、パケット・キャプチャから直接取得されます。

    • 括弧()は項目のグループを示し、パイプ文字(|)はORを示します。これらの文字は、多くの場合、攻撃にグループの 1 つの項目が含まれていなければならないことを示すために一緒に使用されます。この例では、文字列/examples/サーブレット/ の後に、攻撃に aux、lpt1、con、prn という単語を含める必要があります。

      この例では、グループを使用していることに注意してください。パケット・キャプチャは、署名パターンを /examples/サーブレット/AUX として表示します。AUX は Windows デバイスです。LPT1、CON、および PRN デバイスを悪用しようとする試みを監視する十分な理由があります。

  4. 攻撃オブジェクトをテストします。

特定のプロトコルの IDP テスト条件の一覧表示

IDPカスタム攻撃を設定する際、特定のプロトコルのリストテスト条件を指定できます。ICMP のテスト条件を示します。

  1. ICMP でサポートされているテスト条件をリストし、設定するテスト条件を選択します。サポートされているテスト条件は、 階層レベルの CLI で [edit security idp custom-attack test1 attack-type anomaly] 使用できます。

  2. テスト条件を設定するサービスを設定します。

  3. テスト条件を設定します(プロトコル名の指定は不要です)。

  4. デバイスの設定が完了したら、設定モードから を入力します commit

IDPプロトコルデコーダーについて

プロトコルデコーダーは、IDP(侵入検出防御)によって使用され、異常を探し、RFC標準を満たしていることを確認することで、プロトコルの整合性とプロトコルのコンテキスト情報を確認します。異常は、ヘッダー、メッセージ本体、そのプロトコルの RFC 標準から逸脱したその他の個々のフィールドなど、プロトコルの任意の部分にできます。たとえば、SMTP の場合、SMTP MAIL TO が SMTP HELO の前にある場合、これは SMTP プロトコルの異常です。

プロトコルのコンテキスト情報が利用可能な場合、プロトコルデコーダーはそれらのコンテキスト内で攻撃をチェックします。たとえば、SMTP の場合、電子メールが user@company.com に送信される場合、user@company.com はコンテキスト情報であり、SMTP MAIL TO はコンテキストです。プロトコルデコーダーは、パケット全体ではなくプロトコルコンテキストデータを使用して攻撃を検知し、全体的なパフォーマンスと精度を向上させます。

プロトコルデコーダーのSMTPチェックと一致するルールで構成されたポリシーがある場合、ルールがトリガーされ、適切なアクションが実行されます。

IDP モジュールには、プロトコル デコーダーが事前に設定されたセットが付属しています。これらのプロトコルデコーダーは、プロトコル固有のさまざまなコンテキストチェックを実行するためのデフォルト設定を備えています。これらのデフォルトを使用することも、サイトの特定のニーズに合わせて調整することもできます。利用可能なプロトコル デコーダーのリストを表示するには、次のコマンドを入力します。

プロトコル デコーダーの現在のセットとそのデフォルトのコンテキスト値の詳細については、デバイスの /ar/db/idpd/sec-download フォルダにあるdetector-capabilities.xml ファイルを表示できます。新しいセキュリティ パッケージをダウンロードすると、現在のプロトコルとデフォルトのデコーダー コンテキスト値がリストされたこのファイルも受信します。

例:UNIX CDE/dtloginの脆弱性

この例では、ネットワークに UNIX を実行している複数のユーザー ワークステーションとサーバーが含まれています。多くの UNIX オペレーティング システムは、CDE(Common Desktop Environment)をグラフィカル ユーザー インターフェイスとして使用しています。セキュリティ管理者は、CDE の dtlogin プロセスに新しい脆弱性を通知します(dtlogin プロセスは CDE への GUI ログイン プロセスを処理します)。

脆弱性に対する CERT アドバイザリ(http://www.kb.cert.org/vuls/id/179804)には、以下の情報が含まれています。

この情報から、この攻撃は XDMCP プロトコル パケットを使用し、UDP/177 で実行されます。ここで攻撃コードを特定する必要があります。アドバイザリには、攻撃に関するより多くの情報へのリンクも含まれています。1 つの参考資料 http://lists.immunitysec.com/pipermail/dailydave/2004-March/000402.html、最初に攻撃を報告した人物が、攻撃を複製するスクリプトも作成したことを示しています。スクリプトを取得し、テスト ラボの攻撃者のコンピューターに移動します。

この攻撃オブジェクトを開発するには、

  1. 攻撃のコンテキスト、方向、パターンを決定する攻撃を再現します。理想的には、 と Wireshark を同時に使用 scio ccap するため、攻撃を一度だけ実行する必要があります。
  2. 攻撃シグネチャの要素についてご説明します。
    • サービス。CERT アドバイザリから、この攻撃は XDMCP プロトコルを使用します。Wireshark のパケット キャプチャを確認して、プロトコルを確認します。

    • コンテキスト。を使用して scio ccap 、特定のサービスコンテキストに一致できるかどうかを判断します。この例では、XMCP サービス・コンテキストは IDP システムではサポートされず、 の scio ccap 出力はブランクとなります。攻撃のパケットコンテキストを指定する必要があります。

    • パターン。XDMCP プロトコルに関する知識を活用して、攻撃で NUL 以外の文字(16 進コード 00 1b)を使用して、無効な接続タイプを指定していることを確認します(NUL 文字は XDMCP のインターネット接続タイプを表します)。署名パターンに非 NUL 文字を固定するには、パターンの一部として前のバイトの一部を含めます。この例では、NUL 以外の文字をバージョン番号(16 進コード 00 01)と要求オプション コード(16 進コード 00 07)で固定することを選択します。完全な攻撃パターンは 00 01 00 07 の後に任意のタイプの 5 文字が続き、その後に 6 文字、非 NUL 文字(上記 00 1b で示すように)または非 NUL 文字と別の文字のいずれかが続きます。

    • 方向。セッションを開始した送信元 IP を確認します。この例では、攻撃方向を決定することはできません。

  3. 攻撃シグネチャに一致する攻撃オブジェクトを作成します。署名と一致するには、以下の正規表現を使用します。

    この式では:

    • \x 式は、16 進値を示します。

    • XDMP プロトコルの番号 00 01 00 07 は、バージョン番号(16 進コード 00 01 とリクエスト オプション コード(16 進コード 00 07)を表します。

    • 5 つのピリオド(....)は、任意の種類の 5 文字を示します。

    • 括弧()は項目のグループを示し、パイプ文字(|)はORを示します。これらの文字は、多くの場合、攻撃にグループの 1 つの項目が含まれていなければならないことを示すために一緒に使用されます。

    • キャレット [^ と組み合わせた開口部と閉じブラケットは否定を示します。

    • バックスラッシュをゼロ(\0)と組み合わせると、オクタルコード番号を示します。

    • 00 文字は NUL 文字の 16 進コードです。この例では、攻撃の前または後に別の文字([^\000]または[^\000])のいずれかの非NUL文字を含む必要があります。

    • ドットスターの組み合わせ(.*)は、ワイルドカードの一致を示しています。ワイルドカードは、式の最後に使用すると、指定された式に従うことができることを示します。

  4. 攻撃オブジェクトをテストします。

例:ワームの検知

ワームやトロイの木馬は、多くの場合、ファイアウォールやその他の従来のセキュリティ対策を迂回してネットワークに侵入します。この例では、カスタム攻撃オブジェクトを作成して、ネットワーク上のブラスターワームを検出します。

BlasterワームのCERTアドバイザリ(http://www.cert.org/advisories/CA-2003-20.html)は、以下の情報を提供します。

この情報から、この攻撃は以前に識別されたセキュリティ ホールである DCOM エクスプロイトを使用します。ここで攻撃コードを特定する必要があります。アドバイザリには、攻撃に関するより多くの情報へのリンクも含まれています。残念ながら、参照されている Web ページにはエクスプロイト コードが含まれておりいません。CERT アドバイザリから学習した情報を使用して Web を検索した後、PacketStorm(http://packetstormsecurity.com/0307-exploits/dcom.c)でエクスプロイトコードを検索します。

この攻撃オブジェクトを開発するには、

  1. 攻撃のコンテキスト、方向、パターンを決定する攻撃を再現します。理想的には、 と Wireshark を同時に使用 scio ccap するため、攻撃を一度だけ実行する必要があります。
  2. 攻撃シグネチャの要素についてご説明します。
    • サービス。CERT アドバイザリから、攻撃で ICMP が使用され、IDP OS はサービス コンテキストをサポートしていません。パケット キャプチャを確認して、プロトコルを ICMP として確認します。

    • コンテキスト。特定のサービスコンテキストに一致できるかどうかを判断するために使用 scio ccap します。この例では、ICMP サービスコンテキストは IDP システムでサポートされず、 の scio ccap 出力は空白です。攻撃には、最初のパケット コンテキストを指定する必要があります。

    • パターン。Wiresharkにリストされている最初のフレームを選択し、2番目のセクションの情報を確認します。ICMP パケットにデータを含める必要はないことを知っているので、64 バイトデータ ペイロードを調査します。不規則なペイロードが複数の「AA」文字で、おそらくコードがバッファーにオーバーフローしようとしているのを簡単に確認できます。このパターンは ICMP パケットのコンテキストでは通常とは異なるため、署名として選択します。

    • 方向。セッションを開始した送信元 IP を確認します。この例では、攻撃方向を決定することはできません。

  3. 攻撃シグネチャに一致する攻撃オブジェクトを作成します。この例では、以下の正規表現を使用してシグネチャに一致します。

    この式では:

    • \X 式は、16 進数値が追随することを示します。

    • ドットスターの組み合わせ(.*)は、ワイルドカードの一致を示しています。ワイルドカードは、式の最後に使用すると、指定された式に従うことができることを示します。

  4. 攻撃オブジェクトをテストします。

例:複合シグネチャによる HTTP の脆弱性の悪用を検出する

一部の攻撃は、パケットごとに見たときに無害に見えるように作られています。このような攻撃に対して、複合シグネチャを作成して、複数のコンテキスト(サービス、非サービス、またはその両方)で複数のシグネチャ パターンを検出できます。

この例では、Microsoft フロント ページ サーバー拡張機能を使用する Web サーバーがあります。セキュリティ管理者は、フロントページ サーバー拡張機能に新しいバッファー オーバーフローの脆弱性を通知します。

脆弱性に関する BugTraq アドバイザリ(http://www.securityfocus.com/bid/9007/discussion/)には、以下の情報が含まれています。

概念実証の次の例も提供されます。

さらに、コンパイルされたエクスプロイトへのリンクが含まれています。

この情報から、攻撃は HTTP プロトコルを使用し、攻撃の少なくとも一部は POST 方式を使用します。コンパイルされたエクスプロイトへのリンクを使用してスクリプトを取得し、テスト ラボの攻撃者のコンピューターに移動します。

この攻撃オブジェクトを開発するには、

  1. 攻撃のコンテキスト、方向、パターンを決定する攻撃を再現します。理想的には、 と Wireshark を同時に使用 scio ccap するため、攻撃は 1 回だけ実行する必要があります。
  2. 攻撃シグネチャの要素についてご説明します。
    • サービス。BugTraq アドバイザリから、この攻撃は HTTP プロトコルを使用します。パケット キャプチャを確認し、HTTP プロトコルの使用状況を確認します。

    • コンテキスト。を使用して scio ccap 、特定のサービスコンテキストに一致できるかどうかを判断します。この例では、サービスコンテキストはHTTP URL解析されます。

    • パターン。HTTP サービス内で署名パターン POST /_vti_bin/_vti_aut/fp30reg.dll をすばやく識別します。

      ただし、このパターンは誤検知を引き起こす可能性があるため、2 つ目のシグネチャ パターンを決定して、ルールが攻撃のみを検知するようにします。この場合、2番目のシグネチャ(BugTraqアドバイザリで記載)は.Transfer-Encoding: chunked

    • 方向。セッションを開始した送信元 IP を確認します。この例では、両方のシグネチャー パターンの攻撃方向はクライアントからサーバーへです。

  3. 攻撃シグネチャに一致する攻撃オブジェクトを作成します。最初のシグネチャと一致するには、次の正規表現を使用します。

    この式では:

    • 始め括弧(\[)は、閉括弧が表示されるまで、すべての文字に大文字と小文字を区別しない一致の開始を示します。

    • パターン /_vti_bin/_vti_aut/fp30reg は、直接文字一致です。

    • バックスラッシュをピリオド(\.)と組み合わせることで、ピリオドがエスケープされていることを示します(ピリオドはパターンに表示されます)。

    • 閉括弧(\])は、大文字と小文字を区別しない一致の終わりを示します。

    • アスタリスク文字(.*)と組み合わせたピリオドは、1つ以上の文字が表示される必要があることを示しています。

  4. 2 つ目の署名を追加します。2 番目のシグネチャと一致するには、以下の正規表現を使用します。

    この式では:

    • 始め括弧(\[)は、閉括弧が表示されるまで、すべての文字に大文字と小文字を区別しない一致の開始を示します。

    • パターン転送エンコード: は、直接文字一致です。

    • 正符号 (+) は、スペース文字がパターン内で 1 回以上表示される必要があることを示します。

    • パターン・チャンクは、直接一致する文字です。

    • 閉括弧(\])は、大文字と小文字を区別しない一致の終わりを示します。

  5. 攻撃オブジェクトをテストします。

例:時間バインディングパラメーターを使用して総当たり攻撃を検知する

時間バインディング制約では、トラフィックが一致すると見なされるために、1分以内にパターンが一定回数発生する必要があります。

タイム バインディング パラメーターをシグネチャと共に使用して、総当たり攻撃の兆候を検出できます。パスワードを変更したユーザーは無害なイベントであり、通常はネットワーク上で発生する場合があります。しかし、1 分間に数千ものパスワード変更が疑わしい。

総当たり攻撃では、攻撃者は純粋な力を使ってシステム防御を突破しようとします。一般的には、宛先サーバーの容量を圧倒するか、認証認証情報を照合するための試行錯誤を繰り返します。総当たりログイン攻撃では、攻撃者は最初にユーザー名とパスワード辞書のリストを収集します。次に、攻撃者はリスト内の最初のユーザーの最初のパスワードを辞書に入力するツールを使用し、一致するまですべてのユーザーのすべてのパスワードを試します。攻撃者がユーザー名とパスワードのすべての組み合わせを試みた場合、常に成功します。しかし、パスワード辞書は通常制限されており(すべてのパスワードが含まれていない)、攻撃ツールがパスワードに順列を実行しないため(大文字と小文字を逆にしたり、ケースを変更したりするなど)、総当たり攻撃が失敗することがよくあります。

この例では、HTTP(Webベースのアプリケーション)を介して認証されたユーザーに対して過剰なパスワード変更を検知する署名攻撃オブジェクトを作成します。

まず、攻撃パターンを設定します。

この式では:

  • ドットスターの組み合わせ(.*)は、ワイルドカードの一致を示しています。

  • 文字の前のバックスラッシュは、その文字が正規表現を表しており、エスケープする必要があることを示しています。この場合、文字は始め括弧です。この式では、ファイル拡張子マーカー(点)の前と閉じ括弧の前にもバックスラッシュが使用されます。

  • ユーザーパスワードの変更に使用されるcgiスクリプトの名前とcgi拡張が含まれています。

  • コンテキストについては、Web ベースのアプリケーションで発生するパスワード変更を検出しようとするため、リストから HTTP-URL-PARSED を選択します。changepassword.cgi スクリプトを使用すると、URL の一部として表示されますが、IDP シリーズ デバイスに URL を解析して名前を確認するよう指示する必要があります。

次に、時間バインディングを設定します。

これらの設定では、

  • スコープは Peer に設定されているため、攻撃パターンは送信元または宛先に関係なくイベントに一致します。

  • 誤検知を避けるために、Count は高い数値(1000 に)に設定されます。この値は、changepassword.cgi スクリプトは、攻撃オブジェクトが一致する前に URL に 1000 回表示される必要があることを意味します。

リファレンス:カスタム攻撃オブジェクトプロトコル番号

表 26 IDP システムで使用されるプロトコル番号。

表 26:IDP 攻撃オブジェクト:プロトコル番号

プロトコル名

プロトコル番号

HOPOPT

0

Icmp

1

Igmp

2

GGP

3

IPIP

4

5

Tcp

6

Cbt

7

Egp

8

Igp

9

BBN-RCC-MON

10

NVP-II

11

子犬

12

アーガス

13

EMCON

14

XNET

15

カオス

16

Udp

17

Mux

18

DCN-MEAS

19

Hmp

20

Prm

21

XND-IDP

22

トランク-1

23

トランク-2

24

リーフ-1

25

リーフ-2

26

Rdp

27

IRTP

28

ISO-TP4

29

NETBLT

30

MFE-NSP

31

MERIT-INP

32

9 月

33

3PC

34

IDPR

35

XTP

36

Ddp

37

TP_PLUS_PLUS

39

イリノイ

40

IPV6

41

SDRP

42

IPV6-ROUTING

43

IDV6-FRAGMENT

44

IDRP

45

Rsvp

46

Gre

47

MHRP

48

Bna

49

特に

50

ああ

51

I-NLSP

52

スワイプ

53

NARP

54

モバイル

55

TLSP

56

スキップ

57

IPV6-ICMP

58

IPV6-NONXT

59

IPV6-OPTS

60

AHIP

61

CFTP

62

ALNP

63

SAT-EXPAK

64

クリスプトラン

65

Rvd

66

IPPC

67

ADFSP

68

土-月

69

ビザ

70

IPCV

71

CPNX

72

CPHB

73

Wsn

74

Pvp

75

BR-SAT-MON

76

SUN-ND

77

WB-MON

78

WB-EXPAK

79

ISO-IP

80

VMTP

81

SECURE-VMTP

82

ブドウ

83

Ttp

84

NSFNET-IBP

85

Dgp

86

Tcf

87

Eigrp

88

OSPFIGP

89

スプライト-RPC

90

Larp

91

Mtp

92

AX_25

93

IPIP

94

MICP

95

SCC-SP

96

イーサIP

97

ENCAP

98

99

GMTP

100

IFMP

101

PNNI

102

Pim

103

アリス

104

SCPS

105

Qnx

106

A/N

107

IPCOMP

108

Snp

109

COMPAT-PEER

110

IPZ-IN-IP

111

Vrrp

112

Pgm

113

HOP-O

114

L2tp

115

Ddx

116

IATP

117

Stp

118

Srp

119

Uti

120

Smp

121

Ssm

122

Ptp

123

イシス

124

125

CRTP

126

CRUDP

127

SSCOPMCE

128

IPLT

129

Sps

130

パイプ

131

Sctp

132

Fc

133

RSVP-E2E-IGNORE

134

N/a

 

N/a

 

N/a

 

予約

255

参照:印刷不可能な印刷可能なASCII文字

次の表は、印刷不可能で印刷可能な文字の ASCII 表現の詳細を示しています。

表 27:ASCII リファレンス:印刷不能文字

12 月

16 進

10 月

Char

コメント

0

0

000

Nul

Null

1

1

001

Soh

見出しの開始

2

2

002

Stx

テキストの開始

3

3

003

Etx

テキストの終わり

4

4

004

Eot

送信終了

5

5

005

ENQ

お 問い合わせ

6

6

006

Ack

認める

7

7

007

ベル

ベル

8

8

010

Bs

Backspace

9

9

011

] タブ

水平タブ

10

A

012

Lf

改行

11

B

013

Vt

[縦]タブ

12

C

014

Ff

フォームフィード

13

D

015

Cr

復帰

14

E

016

だから

シフトアウト

15

F

017

Si

シフトイン

16

10

020

Dle

データリンクエスケープ

17

11

021

DC1

デバイス制御 1

18

12

022

DC2

デバイスコントロール 2

19

13

023

DC3

デバイスコントロール 3

20

14

024

DC4

デバイスコントロール 4

21

15

025

Nak

ネガティブな認識

22

16

026

Syn

同期アイドル

23

17

027

Etb

送信ブロックの終了

24

18

030

Cna

キャンセル

25

19

031

Em

中堅・

26

1A

032

サブ

代替

27

1B

033

Esc キー

エスケープ

28

1C

034

Fs

ファイル区切り記号

29

1D

035

Gs

グループ区切り記号

30

1e

036

Rs

レコード区切り記号

31

1f

037

私たち

ユニット分離器

表 28: ASCII リファレンス: 印刷可能な文字

12 月

16 進

10 月

Char

32

20

040

スペース

33

21

041

!

34

22

042

 

35

23

043

#

36

24

044

$

37

25

045

%

38

26

046

&

39

27

047

 

40

28

050

(

41

29

051

)

42

2A

052

*

43

20 億

053

+

44

2C

054

,

45

2d

055

-

46

2e

056

.

47

2f

057

/

48

30

060

0

49

31

061

1

50

32

062

2

51

33

063

3

52

34

064

4

53

35

065

5

54

36

066

6

55

37

067

7

56

38

070

8

57

39

071

9

58

3A

072

:

59

3B

073

;

60

3C

074

<

61

3 d

075

=

62

3e

076

>

63

3階

077

?

64

40

100

@

65

41

101

A

66

42

102

B

67

43

103

C

68

44

104

D

69

45

105

E

70

46

106

F

71

47

107

G

72

48

110

H

73

49

111

74

4A

112

J

75

4B

113

K

76

4C

114

L

77

4D

115

M

78

4E

116

N

79

4f

117

O

80

50

120

P

81

51

121

Q

82

52

122

R

83

53

123

S

'84

54

124

T

85

55

125

U

86

56

126

V

87

57

127

W

88

58

130

X

89

59

131

Y

90

5A

132

Z

91

50 億

133

[

92

5C

134

\

93

5D

135

]

94

5E

136

^

95

5f

137

_

96

60

140

`

97

61

141

A

98

62

142

B

99

63

143

C

100

64

144

D

101

65

145

E

102

66

146

F

103

67

147

G

104

68

150

H

105

69

151

106

6A

152

J

107

6B

153

K

108

6C

154

L

109

6D

155

M

110

6E

156

N

111

6f

157

O

112

70

160

P

113

71

161

Q

114

72

162

R

115

73

163

S

116

74

164

T

117

75

165

U

118

76

166

V

119

77

167

W

120

78

170

X

121

79

171

Y

122

A-7a

172

Z

123

7b

173

{

124

7C

174

|

125

7D

175

}

126

7E

176

~

127

7f

177

Del

128

80

200

Ç

129

81

201

Ü

130

82

202

É

131

83

203

Â

132

84

204

Ä

133

85

205

à

134

86

206

å

135

87

207

ç

136

88

210

ê

137

89

211

ë

138

8A

212

È

139

80 億

213

ï

140

8C

214

î

141

8D

215

ì

142

8E

216

Ä

143

8f

217

Å

144

90

220

É

145

91

221

æ

146

92

222

Æ

147

93

223

ô

148

94

224

ö

149

95

225

ò

150

96

226

û

151

97

227

Ù

152

98

230

ÿ

153

99

231

Ö

154

9A

232

Ü

155

90 億

233

¢

156

9C

234

£

157

9D

235

¥

158

9E

236

P

159

9f

237

ƒ

160

A0

240

Á

161

A1

241

Í

162

A2

242

Ó

163

A3

243

Ú

164

A4

244

ñ

165

A5

245

Ñ

166

A6

246

ª

167

A7

247

º

168

A8

250

¿

169

A9

251

¬

170

Aa

252

 

171

Ab

253

½

172

Ac

254

¼

173

広告

255

¡

174

Ae

256

"

175

Af

257

"

176

B0

260

¦

177

B1

262

¦

178

B2

262

¦

179

B3

263

¦

180

B4

264

¦

181

B5

265

¦

182

B6

266

¦

183

B7

267

+

184

B8

270

+

185

B9

271

¦

186

Ba

272

¦

187

Bb

273

+

188

紀元 前

274

+

189

Bd

275

+

190

Bve

276

+

191

Bf

277

+

192

C0

300

+

193

C1

301

-

194

C2

302

-

195

C3

303

+

196

C4

304

-

197

C5

305

+

198

C6

306

¦

199

C7

307

¦

200

C8

310

+

201

C9

311

+

202

Ca

312

-

203

Cb

313

-

204

Cc

314

¦

205

Cd

315

-

206

Ce

316

+

207

Cf

317

-

208

D0

320

-

209

D1

321

-

210

D2

322

-

211

D3

323

+

212

D4

324

+

213

D5

325

+

214

D6

326

+

215

D7

327

+

216

D8

330

+

217

D9

331

+

218

Da

332

+

219

Db

333

¦

220

Dc

334

_

221

Dd

335

¦

222

336

¦

223

Df

337

¯

224

E0

340

A

225

E1

341

ß

226

E2

342

G

227

E3

343

P

228

E4

344

S

229

E5

345

S

230

E6

346

µ

231

E7

347

T

232

E8

350

F

233

E9

351

T

234

Ea

352

O

235

Eb

353

D

236

Ec

354

8

237

355

F

238

Ee

356

E

239

Ef

357

N

240

F0

360

=

241

F1

361

+/-

242

F2

362

=

243

F3

363

=

244

F4

364

(

245

F5

365

)

246

F6

366

÷

247

F7

367

˜

248

F8

370

°

249

F9

371

250

Fa

372

251

Fb

373

V

252

Fc

374

N

253

Fd

375

²

254

Fe

376

¦

255

Ff

377

 

例:IDPプロトコルデコーダーの設定

この例では、IDPプロトコルデコーダーの調整可能な設定方法を示しています。

要件

開始する前に、IDP プロトコル デコーダーの機能を確認します。 IDPプロトコルデコーダーについてを参照してください。

概要

Junos IDPモジュールには、事前に設定されたプロトコルデコーダーのセットが付属しています。これらのプロトコル デコーダーは、実行するさまざまなプロトコル固有のコンテキスト チェックに対するデフォルト設定を備えています。デフォルト設定を使用したり、サイトの特定のニーズに合わせて調整したりできます。この例では、FTP のプロトコル デコーダーを調整する方法を示します。

構成

手順

手順

IDPプロトコルデコーダーの調整可能な設定方法:

  1. 調整可能なパラメーターを持つプロトコルのリストを表示します。

  2. FTP プロトコルの調整可能なパラメーターを設定します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 コマンドを show security idp status 入力します。

複数の IDP 検出器のサポートについて

新しいセキュリティ パッケージを受信すると、攻撃の定義と検出機能が含まれます。セキュリティ パッケージの特定のバージョンでは、攻撃の定義は含まれる検出器の機能に対応します。デバイスでポリシー エージングが無効になっている場合(ポリシー エージング コマンドについては、 reset-on-policy ステートメントを参照)、いつでも 1 つのポリシーのみが有効になります。しかし、ポリシーエージングが有効になっており、ポリシーの更新がある場合、新しいポリシーを読み込むと、既存のポリシーはアンロードされません。そのため、両方のポリシーがデバイスに有効になる可能性があります。この場合、既存のすべてのセッションは引き続き既存のポリシーによって検査され、新しいセッションは新しいポリシーで検査されます。古いポリシーを使用するすべての既存のセッションが終了または期限切れになると、古いポリシーはアンロードされます。

ポリシーが読み込まれると、検出器にも関連付けられます。ロードされる新しいポリシーに、既存のポリシーで既に使用されているディテクタと一致する関連付けられたディテクタがある場合、新しいディテクタは読み込まれず、両方のポリシーで 1 つの関連付けられたディテクタが使用されます。しかし、新しい検出器が現在の検出器と一致しない場合、新しい検出器は新しいポリシーと共にロードされます。この場合、読み込まれた各ポリシーは、独自の検出機能を使用して攻撃を検知します。

いつでも最大 2 台の検出器を読み込むことができます。2つの検出器がすでに(2つ以上のポリシーによって)ロードされており、新しいポリシーを読み込むには新しい検出器も読み込む必要があります。その後、新しい検出器を読み込む前に、少なくとも1つの検出器をアンロードする必要があります。検出器がアンロードされる前に、対応する検出器を使用するすべてのポリシーもアンロードされます。

次のコマンドを入力すると、現在のポリシーと対応する検出器のバージョンを表示できます。

Junos OSリリース18.4R1以降、新しいIDPポリシーが読み込まれると、既存のセッションが新しくロードされたポリシーを使用して検査され、既存のセッションはIDP処理で無視されません。IDP インスペクションは、新しい IDP ポリシーが読み込まれた後に、ディテクタによって作成されたコンテキストベースの攻撃に対して続行されます。ただし、新しいポリシーが新しいディテクタに読み込まれる場合は例外です。

コンテンツ圧縮解除の理解

HTTPなどのアプリケーションプロトコルでは、コンテンツを圧縮してネットワーク経由で送信できます。署名パターンは、エンコードされていないトラフィックデータに一致するように書き込まれるため、パターンは圧縮コンテンツと一致しません。この場合、IDP 検知は回避されます。HTTP圧縮コンテンツでIDP検出の回避を回避するために、プロトコルコンテンツを解凍するIDPサブモジュールが追加されました。署名パターンマッチングは,圧縮解除されたコンテンツに対して行われます。

すべての IPS カウンター値のステータスを表示するには、以下のコマンドを入力します。

一部の攻撃は、圧縮コンテンツを介して導入されます。コンテンツを解凍すると、非常に大きなサイズに膨張し、貴重なシステムリソースを奪い、サービス拒否を引き起こす可能性があります。このタイプの攻撃は、圧縮データ サイズと圧縮データ サイズの比率によって認識できます。コンテンツ解凍率オーバーリミットカウンターは、この比率を超えたインシデントの数を特定します。デフォルトの比率は、一般的な環境と一貫していると見なされます。ただし、値をリセットすることで、この比率を content-decompress-ratio-over-limit 調整する必要がある場合があります。ただし、比率が高いほど、このタイプの攻撃を検知する可能性が低くなります。

content-decompress-memory-over-limitカウンターは、圧縮解除されたデータ量が割り当てられたメモリを超えたインシデントの数を特定します。デフォルトのメモリ割り当ては、同時に圧縮解除が必要なセッションの平均数に対して、1 セッションあたり 33 KB を提供します。この値が環境と一致しているかどうかを確認するには、解凍関連のカウンターからの値とデバイスを通過する IDP セッションの総数を分析し、同時に解凍が必要なセッション数を見積もります。各セッションの圧縮解除に 33 KB のメモリが必要な場合は、想定するニーズをデフォルト値と比較します。必要に応じて、値をリセット content-decompression-max-memory-kb してメモリ割り当てを調整できます。コンテンツの圧縮解除には、メモリの大幅な割り当てが必要なため、圧縮解除の最大メモリ割り当てを増やすことで、システム パフォーマンスが影響を受ける点に注意してください。

例:IDPコンテンツ解凍の設定

この例では、IDPコンテンツの解凍を設定する方法を示しています。

要件

開始する前に、IDP コンテンツ解凍機能を確認してください。 コンテンツの解凍について

概要

圧縮解除機能は、デフォルトでは無効になっています。この例では、ディテクタを有効にし、最大メモリを 50,000 キロバイトに設定し、最大解凍率 16:1 を設定します。

メモ:

圧縮解除を有効にすると、デバイスのパフォーマンスが低下します。

構成

手順

手順

IDPコンテンツ解凍を設定するには:

  1. 検出器を有効にします。

    メモ:

    検出器を無効にするには、 を 0 に設定します tunable‑value

  2. 必要に応じて、キロバイト単位の最大メモリを変更します。

  3. 必要に応じて、最大解凍率を設定します。

  4. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 コマンドを show security idp status ips 入力します。コンテンツ解凍カウンターは、解凍処理に関する統計を提供します。

IDP シグネチャベース攻撃について

カスタム攻撃オブジェクトを設定するには、一意の攻撃オブジェクトの名前を指定し、追加情報を指定することで、攻撃オブジェクトを簡単に見つけて維持することができます。

攻撃オブジェクト定義の特定のプロパティは、攻撃名、重大度レベル、サービスまたはアプリケーションのバインディング、時間バインディング、プロトコルまたはポートバインディングなど、あらゆるタイプの攻撃に共通です。一部のフィールドは攻撃タイプに固有で、その特定の攻撃定義でのみ使用できます。

シグネチャー攻撃オブジェクトは、ステートフル攻撃シグネチャ(攻撃の特定のセクションに常に存在するパターン)を使用して、既知の攻撃を検知します。また、攻撃の実行に使用されるプロトコルやサービス、攻撃が発生したコンテキストも含まれます。以下のプロパティはシグネチャ攻撃に固有のプロパティで、シグネチャ攻撃(攻撃コンテキスト、攻撃方向、攻撃パターン、プロトコル固有のパラメータ(TCP、UDP、ICMP、またはIPヘッダーフィールド)を設定する際に設定できます。

シグネチャベースの攻撃を設定する場合は、次の事項に留意してください。

  • シグネチャー攻撃の定義には、攻撃コンテキストと方向が必須のフィールドです。

  • パターン否定は、パケット、ライン、アプリケーションベースのコンテキストでのみサポートされており、ストリームおよび正規化されたストリームのコンテキストではサポートされません。

  • プロトコル固有のパラメーターを設定する場合、以下のプロトコル(IP、TCP、UDP、または ICMP)の 1 つだけのフィールドを指定できます。

  • プロトコル バインディングを設定する場合、指定できるのは、IP、ICMP、TCP、UDP、RPC、またはアプリケーションのいずれか 1 つだけです。

    • IP—プロトコル番号は必須フィールドです。

    • TCPおよびUDP —単一のポート()またはポート範囲(minimum-portminimum-portmaximum-port)のいずれかを指定できます。ポートを指定しない場合、デフォルト値が取得されます(0-65535)。

    • RPC — プログラム番号は必須フィールドです。

Junos OSリリース19.1R1以降、ハイパースキャン拡張パラメータを使用してシグネチャベースの攻撃を設定できるようになりました。ハイパースキャン拡張パラメータに最適な値を設定することで、攻撃パターンマッチングプロセスを大幅に拡張できます。

拡張パラメータを設定するには、 階層レベルで optional-parameters オプションを [edit security idp custom-attack attack-name attack-type signature] 含めます。オプションの下で、以下のパラメーターを optional-parameters 設定できます。

  • min-offset

  • max-offset

  • min-length

ハイパースキャンAPIの簡単な動作原理 – ハイパースキャンは、ハイパフォーマンスと柔軟性を提供するように設計されたソフトウェア正規表現マッチングエンジンです。パターンを持つシグネチャが IDP ポリシーの一部として設定されている場合、そのパターンは正規表現として識別されます。ルーティングエンジンでは、Hyperscanはこの正規表現を入力として取得し、コンパイルしてパケット転送エンジンにプッシュされるデータベースを形成します。パケットがパケット転送エンジンに入ると、パケット内のデータが検査され、データベースを使用して正規表現に一致するかどうかを判断します。

IDP ポリシーに一連のシグネチャを設定すると、DFA(決定的有限オートマトン)グループが形成されます。DFA グループ内のすべてのシグネチャのパターンが Hyperscan に渡され、1 つのデータベースが形成されます。このデータベースを使用して、パケット内のすべての攻撃を一度にチェックできます。攻撃ごとに異なるデータベースではなく、単一のデータベースを使用するため、パターン マッチング プロセスが効率的です。

拡張パラメータで署名が設定されると、Hyperscan APIが設定されたパラメータを考慮してデータベースを形成します。パターン マッチング プロセスは、この新しいデータベースを持つパケット転送エンジンで発生します。これらのパラメーターを使用すると、パターンによって生成される一致のセットは、実行時に不要な一致を処理するアプリケーションに依存するのではなく、コンパイル時に制約されます。

例:IDP シグネチャベース攻撃の設定

この例では、シグネチャーベースの攻撃オブジェクトを作成する方法を示しています。

要件

開始する前に、ネットワーク インターフェイスを設定します。

概要

この例では、sig1 と呼ばれる署名攻撃を作成し、次のプロパティを割り当てます。

  • 推奨アクション(パケットドロップ)—一致するパケットを宛先に到達する前にドロップしますが、接続は閉じません。

  • 時間バインディング — スコープを として source 指定し、カウントを として 10指定します。有効範囲の場合、 source同じソースからのすべての攻撃がカウントされ、攻撃の数が指定された数(10)に達すると、攻撃が記録されます。この例では、同じソースからの 10 回の攻撃ごとにログに記録されます。

  • 攻撃コンテキスト(パケット):パケット内の攻撃パターンに一致します。

  • 攻撃方向(任意)—クライアントからサーバー間、サーバー間のトラフィックの両方向の攻撃を検知します。

  • プロトコル(TCP)—TTL値を128に指定します。

  • シェルコード(Intel)— Intel プラットフォームのシェルコードを検出するフラグを設定します。

  • プロトコル バインディング—TCP プロトコルとポート 50~100 を指定します。

シグネチャーベースの攻撃オブジェクトを設定した後、IDP ポリシー ルールで攻撃を一致条件として指定します。 例: IDP IPS ルールベースのルールの定義を参照してください。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

シグネチャーベースの攻撃オブジェクトを作成するには、

  1. 攻撃の名前を指定します。

  2. 攻撃に共通するプロパティを指定します。

  3. 攻撃タイプとコンテキストを指定します。

  4. 攻撃方向とシェルコード フラグを指定します。

  5. プロトコルとそのフィールドを設定します。

  6. プロトコルバインディングとポートを指定します。

  7. 方向を指定します。

結果

設定モードから、 コマンドを入力して設定を show security idp 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認します。

設定の検証

目的

シグネチャーベースの攻撃オブジェクトが作成されたことを確認します。

アクション

動作モードから、 コマンドを show security idp status 入力します。

IDPプロトコルの異常ベース攻撃について

プロトコル異常攻撃オブジェクトは、プロトコル仕様(RFCおよび一般的なRFC拡張)に違反する未知または高度な攻撃を検知します。新しいプロトコル異常は作成できませんが、検知された場合にデバイスが事前に定義されたプロトコルの異常を処理する方法を制御する新しい攻撃オブジェクトを設定できます。

以下のプロパティは、プロトコル異常攻撃に固有のものです。

  • 攻撃方向

  • テスト条件

プロトコルの異常ベース攻撃を設定する場合は、次の事項に留意してください。

  • サービスまたはアプリケーション バインディングは、プロトコル異常攻撃の必須フィールドです。サポートされるアプリケーションの他に、サービスには IP、TCP、UDP、ICMP、RPC も含まれます。

  • 攻撃方向とテスト条件のプロパティは、異常攻撃定義を設定するための必須フィールドです。

例:IDPプロトコルの異常ベース攻撃の設定

この例では、プロトコルの異常ベース攻撃オブジェクトを作成する方法を示しています。

要件

開始する前に、ネットワーク インターフェイスを設定します。

概要

この例では、異常と呼ばれるプロトコル異常攻撃を作成し、以下のプロパティを割り当てます。

  • 時間バインディング — 指定された回数のセッションの送信元と宛先のIPアドレス間の異常を検出するとして2、スコープを としてpeer指定し、カウントします。

  • 重大度(情報)— 条件に一致する攻撃に関する情報を提供します。

  • 攻撃方向(任意)—クライアントからサーバー間、サーバー間のトラフィックの両方向の攻撃を検知します。

  • サービス(TCP)—TCPサービスを使用して攻撃を照合します。

  • テスト条件(OPTIONS_UNSUPPORTED):特定の定義済みテスト条件に一致します。この例では、攻撃にサポートされていないオプションが含まれている場合、条件を一致させる必要があります。

  • シェルコード(sparc)— Sparc プラットフォームのシェルコードを検出するフラグを設定します。

プロトコルの異常ベースの攻撃オブジェクトを設定した後、IDP ポリシー ルールで攻撃を一致条件として指定します。 例: IDP IPS ルールベースのルールの定義を参照してください。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

プロトコルの異常ベース攻撃オブジェクトを作成するには::

  1. 攻撃の名前を指定します。

  2. 攻撃に共通するプロパティを指定します。

  3. 攻撃タイプとテスト条件を指定します。

  4. 異常攻撃のその他のプロパティを指定します。

結果

設定モードから、 コマンドを入力して設定を show security idp 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

設定の検証

目的

プロトコルの異常ベース攻撃オブジェクトが作成されたことを確認します。

アクション

動作モードから、 コマンドを show security idp status 入力します。

IDP ポリシー設定の概要

Junos OS侵入検出防御(IDP)ポリシーにより、IDP対応デバイスを通過するネットワークトラフィックに、さまざまな攻撃検知および防止技術を選択的に適用できます。ゾーン、ネットワーク、アプリケーションに基づいてトラフィックのセクションに一致するポリシー ルールを定義し、そのトラフィックに対してアクティブまたはパッシブな予防措置を講じます。

IDP ポリシーは、デバイスがネットワーク トラフィックをどのように処理するかを定義します。これにより、ネットワークを通過するトラフィックに対して、さまざまな攻撃検知および防御技術を適用できます。

ポリシーはルールベースで構成され、各ルールベースには一連のルールが含まれています。トラフィック一致条件、アクション、ロギング要件などのルールパラメーターを定義し、ルールベースにルールを追加します。1 つ以上のルール ベースでルールを追加して IDP ポリシーを作成した後、そのポリシーをデバイス上のアクティブ なポリシーとして選択できます。

IDP ポリシーを設定するには、次の手順を実行します。

  1. セキュリティ ポリシーで IDP を有効にします。

  2. IDP ポリシー ルール、IDP ルール ベース、IDP ルール アクションを設定します。『 例: IDP ルールベースへのルールの挿入 』、 例: IDP IPS ルールベースのルール定義、および 『例: セキュリティ デバイスのルールの設定と適用 』のトピックを参照してください。

  3. IDP カスタム シグネチャを設定します。 IDP シグネチャベース攻撃の理解例: IDP シグネチャベース攻撃の設定のトピックを 参照してください。

  4. IDP 署名データベースを更新します。 IDP 署名データベースの更新の概要を参照してください。

IPv6秘密チャネルの概要

秘密チャネルとは、既存の情報チャネルを介して不正または不正な方法でオブジェクトを転送することで、情報の通信を可能にする攻撃技術です。秘密のチャネルの助けを借りて、攻撃者はネットワーク内で悪意のあるアクティビティを実行できます。

Junos OS リリース 19.1R1 以降、IPv6 拡張ヘッダーの秘密チャネルの識別と緩和は、侵入検出および防御(IDP)でサポートされています。これは、既存のセキュリティ システムに違反する情報の転送です。IDP のセキュリティ パッケージには、IDP ポリシーで使用して攻撃に対するトラフィックを照合できる、秘密チャネル用に定義済みの IDP 攻撃オブジェクトのデータベースが含まれています。

このサポートの一環として、IPv6 拡張ヘッダーの異常を検知してフラグ付けできます。このヘッダーは、秘密のチャネルを確立し、ポリシーで指定されたアクションを実行できます。秘密のチャネル攻撃は、他の Show security idp attack table 攻撃と共に表示されます。

リリース履歴テーブル
リリース
説明
18.4R1
Junos OS リリース 18.4R1 以降、タイム バインディング カスタム攻撃の任意の 2 つのインスタンス間の最大時間間隔と、最大時間間隔の範囲は 0 分、0 秒~60 分、0 秒です。18.4R1 以前の Junos OS リリースでは、タイム バインディング攻撃の任意の 2 つのインスタンス間の最大時間間隔は 60 秒です。攻撃トリガー カウントはタイム バインディングで設定されたカウントに達するまでです。ステートメントは interval interval-value 、 階層で導入され [edit security idp custom-attack attack-name time-binding] 、カスタムタイムバインディングを設定します。
15.1X49-D140
Junos OS リリース 15.1X49-D140 以降、カスタム攻撃オブジェクト名で許可される最大文字数は 60 です。コマンドを使用してステートメントを set security idp custom-attack 検証できます。