IDP移行の概要
このトピックでは、スタンドアロンのジュニパーネットワークスIDPシリーズ侵入検出および保護アプライアンスまたはIDPセキュリティモジュールを備えたジュニパーネットワークスISG Series統合型セキュリティゲートウェイからジュニパーネットワークスSRXシリーズファイアウォールに移行する際の基本的な考慮事項の概要を説明します。
詳細については、次のトピックを参照してください。
IDPシリーズアプライアンスからSRXシリーズファイアウォールへの移行の概要
紹介
SRXシリーズファイアウォールは、完全なセキュリティ機能とネットワーキング機能を備えており、最高パフォーマンスのファイアウォールであり、ジュニパーネットワークスIDPシリーズ侵入検出および防止アプライアンスのネイティブに統合された完全侵入防御システム(IPS)テクノロジーにより、ネットワーク全体の現在および新たな脅威に対するインライン保護を提供します。
SRXシリーズのIDPポリシーは、ジュニパーネットワークスのJ-Webソフトウェア内からすべてから設定できますが、このドキュメントは主にCLIとJunos Space Security Directorの設定手順に焦点を当てています。IDPシリーズを初めて利用するシステムエンジニアと、スタンドアロンのIDPシリーズを管理し、IDPソリューションでISG Seriesすることに慣れているエンジニアの両方に、簡単な移行と学習パスを提供することを目的としています。
スタンドアロンのIDPシリーズデバイスは、通常、スニファーモードまたは透過モードで導入されるため、ネットワーク設計に関する追加の考慮事項に対処する必要があります。これらには以下が含まれます。
ネットワーク インターフェイスの構成
セキュリティ ゾーンの構成
さらに、次のセキュリティ機能に関する考慮事項があります。
サービス拒否 (DoS) とフラッド防御。
トラフィック異常検知またはスクリーニング(およびSRXシリーズファイアウォールに適用可能な検知方法の一部)。
新しいデバイスを追加すると、特にレイヤー3処理に関して、ネットワークトラフィックに影響を与える可能性があるため、構成した設定とアクションを綿密に分析する必要があります。
SRXシリーズファイアウォールは、スニファモードで導入できます(SRX5400、SRX5600、SRX5800デバイスのみ)。スニファ モードは、SRX300、SRX340、SRX345、SRX550HM デバイスではサポートされていません。
マルチメソッド検出
SRXシリーズファイアウォールは、メインのIDPルールベースと免除ルールベースの2つのルールベースを展開します。
さらに、SRXシリーズファイアウォールは、ScreenOSベースのセキュリティデバイスで利用可能な技術に基づくセキュリティゾーンを使用し、いくつかの基本的なスタンドアロン検出方法またはルールベースの代替として詳細な画面保護を提供します。
伐採
SRXシリーズファイアウォールのロギングは、セキュリティイベントに応じてレコードをシステムロギングを通じて、ジュニパーネットワークスのJuniper Secure Analytics(JSA)などの事前設定されたsyslogサーバーに送信するように設定する必要があります。
センサー構成設定
スタンドアロンのIDPシリーズとSRXシリーズのファイアウォールの両方で、IDPシリーズの動作を微調整するために多数のセンサー構成設定を構成でき、CLIおよびJunos Space Security Director(SD)からアクセスできます。いずれかの設定が既定値から変更されている場合、またはさらに変更する必要がある場合は、手動で変更する必要があります。変更された設定をエクスポートまたはインポートする自動化されたプロセスはありません。
考慮すべき重要なポイント
IDPシリーズアプライアンスからSRXシリーズファイアウォールに移行する際には、以下の重要なポイントに注意してください。
ScreenOSのディープインスペクションと比較して、SRXシリーズファイアウォールの基本的なIPS検出機能は、IDPシリーズアプライアンスまたはIDPセキュリティモジュールを搭載したISG Seriesで利用できる機能と変わりません。
一部のIPS機能がSRXシリーズIDPで使用できるわけではありません。これらの違いを詳しく説明したドキュメントをよく理解しておくことをお勧めします。
SRX5400、SRX5600、および SRX5800 デバイスのみをスニファ モード(透過モード)で設定できます。
IPSは、SRXシリーズファイアウォールでサービスとして実行するために個別のライセンスを必要としません。ただし、IPS の更新にはライセンスが必要です。
基本ファイアウォール ポリシーは必須であり、IPS インスペクションを有効にするには、IPS application-service ステートメントを含める必要があります。
すべての攻撃を有効にすることはサポートされていません。ポリシーが読み込まれない場合は、サービス ログ ファイルでポリシーのサイズと読み込み結果を確認します。
SRXシリーズのデータプレーンでセキュリティイベント関連のメッセージが識別された場合、その情報を収集するためにシステムログ(syslog)サーバーが必要です。
IPSポリシーのコンパイルと適用は、攻撃オブジェクトの数とポリシーのサイズによっては時間がかかる場合があることを理解しておくことが重要です。Junos OSリリース12.1およびJunos OSリリース17.3R1以降、SRXシリーズファイアウォールは、コンパイルされた情報をキャッシュするとともに、よりスマートなコンパイルエンジンのために活用されるため、コンパイルプロセスにかかる時間が大幅に短縮されます。コンパイルプロセスは非同期で実行されます。つまり、SRXシリーズファイアウォールはプロセスを開始しますが、CLIまたはSDセッションは保留せず、後でステータスを確認することができます。
侵入防御システムの理解
概要
ジュニパーネットワークスの侵入防御システム(IPS)機能は、ネットワーク トラフィックへの攻撃を検知して防止します。
SRXシリーズファイアウォールは、Junos OSソフトウェアに統合されたIPS機能を提供します。特別なハードウェアは必要ありません。IPS 管理者は、CLI または Junos Space Security Director を使用して IPS を導入および管理することができます。
IPS アーキテクチャ
IPS アーキテクチャは、以下で構成されています。
IPS付きSRXシリーズファイアウォール:IPS機能はJunos OSの一部として統合されており、特別なハードウェアは必要ありません。
管理—SRXシリーズファイアウォールは、CLIコマンドを使用することで完全に管理できます。ただし、IPSの導入に複数のSRXシリーズファイアウォールが関係している場合は、Junos Space Security Directorアプリケーションの使用をお勧めします。
ロギング—Juniper Secure Analytics(JSA)は、ジュニパーネットワークスのセキュリティ情報およびイベント管理(SIEM)ソリューションです。JSAには、SRXシリーズファイアウォールIPSソリューション用の事前定義されたダッシュボードとレポートがあります。JSAは、ロギングに加えて、イベントの関連付け、インシデント管理、フロー監視も提供します。SRXシリーズのログはsyslog(構造化データsyslog)形式であり、JSAまたはユーザーがすでに設置している他のsyslogサーバーに送信できます。
シャーシ クラスタリングによる IPS の制限
IPSは、SRXシリーズファイアウォールのアクティブ/パッシブおよびアクティブ/アクティブシャーシクラスターモードの両方でサポートされていますが、次の制限があります。
フェールオーバーまたはフェールバックするセッションでは、検査は実行されません。フェールオーバー後の新しいセッションのみが IPS によって検査され、古いセッションはファイアウォール セッションになります。
IP アクション テーブルは、ノード間で同期されません。セッションに対して IP アクションが実行され、送信元 IP、宛先 IP、またはその両方が IP アクション テーブルに追加された場合、この情報はセカンダリ ノードに同期されません。したがって、送信元 IP、宛先 IP、またはその両方からのセッションは、新しい攻撃が検出されるまで転送されます。
SSL セッション ID キャッシュは、ノード間で同期されません。SSL セッションでセッション ID を再利用し、そのノードがセッション ID がキャッシュされているノード以外のノードで処理された場合、SSL セッションは復号化できず、IPS インスペクションでバイパスされます。
関連項目
侵入防御システムの導入モードについて
このトピックでは、SRXシリーズファイアウォールのさまざまなタイプのIPS導入モードの概要を説明します。
IPS には、次の 3 つの異なる導入モードがあります。
統合モード
スニファ モード
統合モード
統合モードは、SRXシリーズファイアウォールでサポートされています。統合モードは、IPSがSRXシリーズファイアウォール上で動作するデフォルトモードです(デバイスが統合モードであることを示す特定の表示はありません)。
IPS は統合モードで導入することをお勧めします。
スニファーモード
スニファー モードは、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされています。インターフェイスをプロミスキャス モードで設定し、ルーティングでトラフィックとフローの設定を操作することで、IPS 展開のスニファ モードを使用できます。
SRX5400、SRX5600、および SRX5800 デバイスでは、スニファ モードでは、イングレス インターフェイスとエグレス インターフェイスは、送信元と宛先の両方のインターフェイスをエグレス インターフェイスとして表示するフローで動作します。
回避策として、スニファ モードではタグ付きインターフェイスを使用します。そのため、同じインターフェイス名がログに表示されます。例えば、ge-0/0/2.0 をイングレス(スニファー)インターフェイスとして、ge-0/0/2.100 をエグレス インターフェイスとしてログに表示すると、ソース インターフェイスは ge-0/0/2.100 と表示されます。
set interfaces ge-0/0/2 promiscuous-mode
set interfaces ge-0/0/2 vlan-tagging
set interfaces ge-0/0/2 unit 0 vlan-id 0
set interfaces ge-0/0/2 unit 100 vlan-id 100
関連項目
IPS 入門
IPS機能のためにSRXシリーズファイアウォールを設定する前に、以下のタスクを実行してください:
Install the License- 攻撃オブジェクトをダウンロードする前に、IDP ライセンスをインストールする必要があります。カスタム攻撃オブジェクトのみを使用している場合は、ライセンスをインストールする必要はありませんが、ジュニパーネットワークスの定義済み攻撃オブジェクトをダウンロードする場合は、このライセンスが必要です。ジュニパーでは、30日間の試用ライセンスをダウンロードして、この機能を短期間許可し、機能を評価する機能を提供しています。必要なのは、ファイルの保存場所を指定して
request system license add
コマンドを実行するか、コピーしてターミナルに貼り付けることだけです。Configure Network Access- 攻撃オブジェクトをダウンロードする前に、ジュニパーのダウンロードサーバーまたはシグネチャをダウンロードできるローカルサーバーにネットワーク接続する必要があります。これには通常、ネットワーク構成 (IP/ネットマスク、ルーティング、および DNS) と、サーバーに到達するための許可されたアクセスが必要です。この記事の執筆時点では、HTTPプロキシはサポートされていませんが、ファイルを提供するローカルWebサーバーを構成できます。
-
Download Attack Objects—IPSを展開する前に、まずポリシーのコンパイル元の攻撃オブジェクトをダウンロードする必要があります。手動ダウンロードを起動しても、今後ダウンロードするようにSRXシリーズファイアウォールは設定されないため、自動更新を設定してダウンロードする必要があります。
Install Attack Objects—ダウンロードが完了したら、ポリシーで実際に使用する前に、攻撃の更新をインストールする必要があります。すでにポリシーが設定されている場合は、ポリシーを再コミットする必要はありません。更新をインストールすると、ポリシーに追加されます。インストール・プロセスでは、ステージ・ディレクトリーにダウンロードされたアタック・オブジェクトが、構成されたポリシーにコンパイルされます。
Download Policy Templates (optional)- ジュニパーが提供するポリシーテンプレートと呼ばれる定義済みIPSポリシーをオプションでダウンロードしてインストールし、開始することができます。この章を終了すると、独自のポリシーを構成できるようになるため、ポリシー テンプレートは必要ありません。
Junos OSリリース12.1およびJunos OSリリース17.3R1以降、SRXシリーズファイアウォールは、自動的に署名パッケージをシャーシクラスターのセカンダリメンバーにプッシュします。Junos OS リリース 12.1 および Junos OS リリース 17.3R1 以前では、両方のメンバーが独自のインスタンスをダウンロードする必要があったため、クラスターの両方のメンバーで fxp0 を使用する必要がありました。12.1および17.3R1以降のJunos OSリリースでは、明示的な設定はありません。SRXシリーズファイアウォールは、ダウンロードプロセス中にシグネチャパッケージをダウンロードしてセカンダリメンバーにプッシュします。