IDPセキュリティパケットキャプチャ
このトピックでは、攻撃の前後にパケットをキャプチャして攻撃の詳細を判断し、シグネチャを作成する方法について説明します。特定のルールの入力しますの有効化、メモリ割り当ての構成、キャプチャされたパケットのホストデバイスへの送信(分析)について説明します。パケットログにSSL/TLSを使用した暗号化サポートが導入され、SRXシリーズファイアウォールにログをローカルに保存する機能も導入されました。
IDP センサー構成は、入力します のデバイス仕様を定義します。
パケット キャプチャの理解
攻撃の前後にパケットを表示することは、攻撃の目的と範囲、攻撃が成功したかどうか、および攻撃によってネットワーク損害が発生したかどうかを判断するのに役立ちます。パケット分析は、攻撃シグネチャを定義して誤検知を最小限に抑えるのにも役立ちます。
攻撃がログに記録されるときにパケット キャプチャが入力しますと、攻撃の前後の指定された数のパケットをセッションでキャプチャできます。すべてのパケットが収集されると、オフライン分析のためにデバイス管理インターフェイス(DMI)でホストデバイスに送信されます。
IDP ポリシー ルールの通知オプションにより、ルールの一致が発生したときに入力しますが可能になります。オプションはさらに、キャプチャするパケットの数と、関連するセッションのパケットキャプチャの期間を入力します。
IDP センサー構成は、入力します のデバイス仕様を定義します。このコマンドのオプションは、入力しますに割り当てるメモリと、入力しますオブジェクトが送信されるソースデバイスとホストデバイスを決定します。
showコマンドを実行すると、デバイス上の入力しますアクティビティの進行状況、成功、失敗の詳細を示す入力しますカウンターが表示されます。
パケット キャプチャのサポートは、各セッションで 1 回のみ入力します。
パケット キャプチャが、改良された攻撃前の設定パラメータ値で設定されている場合、リソース使用量は比例して増加し、デバイスのパフォーマンスに影響を与える可能性があります。
IDPパケットキャプチャの暗号化サポート
Secure Sockets Layer (SSL) または トランスポート層 Security (TLS) 接続を有効にし、暗号化された IDP 入力しますログを 入力します レシーバーに送信できます。SSLまたはTLS接続を確立するには、IDPパケットログ設定で使用するSSL開始プロファイル名を指定する必要があります。SRXシリーズファイアウォールはSSLまたはTLSクライアントで、入力しますレシーバーはSSLまたはTLSサーバーです。
パケットログ設定で暗号化サポートが有効になっている場合、IDPは安全なSSLまたはTLS接続を使用して、論理システムまたはテナントシステム内のすべてのセッション(暗号化および非暗号化)の設定済みホストにIDPパケットログを送信します。パケットログが入力しますレシーバーに送信されると、SSL 接続は閉じられます。
以前は、encrypted traffic が検査のために送信されると、IDP は SSL プロキシーを使用して復号化されたトラフィックを受信し、攻撃検出を検査していました。攻撃が検出され、パケットログが設定されている場合、復号化されたパケットはパケットログの一部としてUDPトラフィックを介して設定されたホストに送信されました。暗号化なしのパケットログの送信は、特にキャプチャされたパケットログがencrypted traffic用である場合、保護されません。
暗号化サポートが有効になっている場合は、各論理システムで SSL プロファイルを個別に構成する必要があります。トランスポート パラメーターのルート論理システムで実行された IDP センサー設定は、他の論理システムまたはテナント システムでは使用できません。
IDPパケットログのSSLまたはTLS接続は、次のように確立されます。
-
パケットロギングプロセスの開始時に、ホストへのSSLまたはTLS接続がない場合、パケットログを送信するための新しいSSL 接続が確立されます。
-
パケット・ログの送信中に、既存のSSLまたはTLS接続がある場合は、同じ接続が再利用されます。
-
パケットロギングが停止すると、キャプチャされたパケットは確立されたSSLまたはTLS接続を介して送信されます。
-
SSLまたはTLSパケット伝送セッションがビジー状態で、新しいパケットログ要求がホストから到着した場合、新しいパケットログはキューに入れられ、既存のSSLセッションが完了した後にのみ送信されます。
IDP のパケットログ設定で、SSL プロファイル名設定がサポートされるようになりました。この更新されたパケットログ設定を使用して、IDP パケットログのセキュアな SSL 接続を確立できます。
SSL設定で更新されたIDPパケットログコマンドは次のとおりです。
set security idp sensor-configuration packet-log ssl-profile-name < profile-name>- 論理システム内のセッションの場合-
set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name> -
テナントシステム内のセッションの場合-
set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
これらのコマンドで指定されるプロファイル名は、SSL 開始プロファイル構成で構成する必要があります。SSL 開始プロファイル構成は、セキュア接続を確立するために必要な SSL 証明書と SSL ハンドシェイク操作を実行します。SSL バージョンは、SSL 開始設定に基づいて選択されます。
SSL 開始プロファイル構成で SSL プロファイル名が構成されていない場合は、「 参照される SSL 開始プロファイルが定義されていません」というメッセージが表示されます。
新しいパケット ログ カウンターを表示するには、 show security idp counters packet-log コマンドを使用します。
利点
-
SSLおよびTLSキーと証明書ベースの暗号化を使用して、データのプライバシーとセキュリティを確保します。
-
ネットワーク内の共有エンティティへの潜在的なプライベート情報のストリーミングのサポートを許可します。
IDPオンボックスパケットキャプチャのサポート
攻撃が発生すると、IDPパケットロギング機能を使用してパケットがキャプチャされ、攻撃動作がオフラインで分析されます。場合によっては、Security Directorなどのログ収集デバイスが、キャプチャされたパケットのオフライン収集に使用できないことがあります。このような場合、キャプチャされたパケットはSRXシリーズファイアウォールにローカルに保存され、詳細はJ-Webで表示できます。
既存のIDPパケットログ設定は通常どおり使用され、コマンドを使用してIDPルールのパケットログを設定できます。 set security idp sensor-configuration packet-log local-storage コマンドを使用して、キャプチャしたパケットをデバイスに保存できます。
この設定を使用する場合、詳細がホストに設定されていれば、オフボックスホストまたはコレクターへのパケットログの送信に変更はありません。
キャプチャされたトラフィックは /var/log/pcap/idp/ に保存されます。PCAP ファイルの名前は、タイム スタンプ、攻撃ログ ID、およびトリガー パケット番号に基づきます。
提供されているログローテーション機能を使用して、作成される PCAP ファイルの数を制限できます。次の設定を使用して、 /var/log/pcap/idp に作成する必要がある PCAP ファイルの数を制限します。
set security idp sensor-configuration packet-log local-storage max-files <1..5000>
デフォルト値は 500 です。
次の構成を使用して、PCAP ファイルの保存に使用する最大ディスク容量の制限を設定します。
set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>
デフォルト値は 100M で、最小値は 1M です。
カウンターは、オンボックス キャプチャの統計情報を示します。新しいカウンターが既存のパケットログカウンターに追加されます。パケットログカウンターの詳細を表示するには、次のコマンドを使用します。
user@host> show security idp counters packet-log
IDP counters: Total packets sent for local packet capture 0 Total sessions enabled for local packet capture 0 Sessions currently enabled for local packet capture 0 Packets currently captured for local enabled sessions 0 Packet clone failures for local capture 0 Total failures sending packets captured to RE 0
このセッションのオンボックスパケットキャプチャファイルが生成されたときに、既存のセッションクローズsyslogにフラグが設定入力します。次の例の最後から 3 番目のパラメーター (128 - セッションの機能統計) は、これを示しています。次に例を示します。
RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A
以下は、その他の便利なコマンドです。
-
delete security idp sensor-configuration packet-log local-storageと commit を使用して設定を削除し、コミットを使用してオンボックス ロギングを無効にします。 -
clear counter コマンド
clear security idp counters packet-logを使用して、オンボックス キャプチャの詳細を削除します。 -
request security idp storage-cleanup packet-captureを使用して、キャプチャされたすべてのファイルをクリアします。
参照
例:セキュリティ パケット キャプチャの設定
この例では、セキュリティ入力しますを設定する方法を示しています。
必要条件
開始する前に、ネットワークインターフェイスを設定します。
概要
この例では、ポリシー pol0 のルール 1 のパケット キャプチャを入力します。このルールは、攻撃が発生した場合、攻撃前の 1 つのパケットと攻撃後の 3 つのパケットがキャプチャされ、攻撃後のキャプチャは 60 秒後にタイムアウトする必要があることを指定します。センサーの設定を変更して、使用可能なメモリの 5% と IDP セッションの 15% をパケット キャプチャに割り当て入力します。入力しますオブジェクトが準備されると、デバイス10.56.97.3からデバイス10.24.45.7のポート5に送信されます。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピー&ペーストして、設定モードから commit を入力します。
set security idp idp-policy pol0 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60 set security idp sensor-configuration packet-log total-memory 5 max-sessions 15 source-address 10.56.97.3 host 10.24.45.7 port 5 set security idp sensor-configuration log suppression disable set security idp idp-policy pol0 rulebase-ips rule 1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy pol0 rulebase-ips rule 1 then action drop-packet
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
セキュリティ入力しますを設定するには、次の手順に従います。
-
IDP ポリシーを作成します。
[edit] user@host# edit security idp idp-policy pol0
-
ルールベースをポリシーに関連付けます。
[edit edit security idp idp-policy pol0] user@host# edit rulebase-ips
-
ルールベースにルールを追加します。
[edit edit security idp idp-policy pol0 rulebase-ips] user@host# edit rule 1
-
通知を指定し、各入力しますのサイズとタイミングの制約を定義します。
[edit security idp idp-policy pol0 rulebase-ips rule 1 ] user@host# set then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60
-
攻撃を一致条件として定義します。
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
-
ルールのアクションを指定します。
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host#set then action drop-packet
-
security idp sensor-configuration を有効にします。
[edit] user@host# edit security idp sensor-configuration
-
(オプション)security idp sensor-configuration ログ抑制を無効にします。
[edit] user@host# set security idp sensor-configuration log suppression disable
IDPログ抑制が有効になっている場合(デフォルトの動作)、単一のシグネチャに一致する大量または反復的な攻撃のインシデント中に、SRXシリーズファイアウォールによって入力します(PCAP)が生成されず、コレクターに転送されない場合があります。攻撃ごとにPCAPレコードが必要な場合は、IDPログ抑制を無効にすることが推奨されます。
-
パケット キャプチャに使用するデバイス リソースを割り当て入力します。
[edit security idp sensor-configuration] user@host# set packet-log total-memory 5 max-sessions 15
-
パケットキャプチャオブジェクトを送信する送信元デバイスとホストデバイスを特定します。
[edit security idp sensor-configuration] user@host# set packet-log source-address 10.56.97.3 host 10.24.45.7 port 5
- セキュアなSSLまたはTLS接続を有効にして、設定されたホスト(PCAP受信機)に送信されたIDPパケットログを暗号化します。
[edit security idp sensor-configuration] user@host# set packet-log ssl-profile-name ssl3
[edit](Logical Systems) user@host# set logical system LS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
[edit(Tenant Systems) user@host# set tenants TS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
SSL 開始プロファイル構成で、前述の SSL プロファイル名を構成します。このIDPパケットログSSLまたはTLS接続では、SSL開始構成でサポートされているすべてのSSLおよびTLSバージョンがサポートされています。SSL 開始設定で設定された SSL または TLS バージョンのみを選択できます。
user@host# show services ssl initiation | display set を実行して、SSL開始で構成されたSSLプロファイル名を表示し、必要なSSLまたはTLSバージョンを使用します。
業績
設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security idp
idp-policy pol0 {
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attack-groups TELNET-Critical;
}
}
then {
action {
drop-packet;
}
notification {
packet-log {
pre-attack 1;
post-attack 3;
post-attack-timeout 60;
}
}
}
}
}
}
sensor-configuration {
log {
suppression {
disable;
}
}
packet-log {
total-memory {
5;
}
max-sessions {
15;
}
source-address 10.56.97.3;
host {
10.24.45.7;
port 5;
}
##
## Warning: Referenced SSL initiation profile is not defined
##
ssl-profile-name ssl3;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
セキュリティ パケット キャプチャの検証
目的
セキュリティ パケット キャプチャを検証し入力します。
アクション
動作モードから show security idp counters packet-log コマンドを入力します。
user@host> show security idp counters packet-log
IDP counters: Value Total packets captured since packet capture was activated 0 Total sessions enabled since packet capture was activated 0 Sessions currently enabled for packet capture 0 Packets currently captured for enabled sessions 0 Packet clone failures 0 Session log object failures 0 Session packet log object failures 0 Sessions skipped because session limit exceeded 0 Packets skipped because packet limit exceeded 0 Packets skipped because total memory limit exceeded 0
例:データパスデバッギング用のパケットキャプチャの設定
この例では、デバイスを通過するトラフィックを監視するように入力しますを設定する方法を示しています。パケット・キャプチャは、パケットをPCAPファイル形式にダンプし、後にtcpdumpユーティリティで調べられるようにします。
必要条件
開始する前に、 データ・パス・デバッグの設定(CLI手順)を参照してください。
概要
フィルターは、トラフィックをフィルタリングするために定義されます。次に、フィルタリングされたトラフィックにアクションプロファイルが適用されます。アクション・プロファイルは、プロセス・ユニットに対するさまざまなアクションを指定します。サポートされているアクションの 1 つはパケット ダンプで、パケットをルーティングエンジンに送信し、 show security datapath-debug capture コマンドを使用して読み取れるように独自の形式で保存します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
入力しますを設定するには、次の手順を実行します。
パケット・プロセス・パスにある複数のプロセス・ユニットの security datapath-debugオプションを編集します:
[edit] user@host# edit security datapath-debug
キャプチャ・ファイル、ファイル形式、ファイルサイズ、およびファイル数を有効にします。サイズ番号は、キャプチャ・ファイルのサイズを制限します。制限サイズに達した後、ファイル番号が指定されている場合、キャプチャ・ファイルはファイル名 xに循環されます。 x は、指定されたインデックスに達するまで自動的にインクリメントされ、その後ゼロに戻ります。ファイル・インデックスを指定しない場合、パケットはサイズ制限に達した後、廃棄されます。デフォルトのサイズは 512 キロバイトです。
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
アクション・プロファイルを有効にし、イベントを設定します。アクションプロファイルをdo-captureとし、イベントタイプをnp-ingressとして設定します:
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
アクション・プロファイルのパケット・ダンプを有効にします:
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
パケット・フィルター、アクション、およびフィルター・オプションを有効にします。パケット・フィルタをmy-filter、アクション・プロファイルをdo-capture、およびフィルタ・オプションをsource-prefix 10.2.3.4/32に設定しています。
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
業績
設定モードから、 show security datapath-debug コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 10.2.3.4/32
action-profile do-capture
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
パケット・キャプチャの検証
目的
パケット入力しますが動作しているか否かを確認します。
アクション
動作モードから、 request security datapath-debug capture start コマンドを入力して入力しますを開始し、 request security datapath-debug capture stop コマンドを入力して入力しますを停止します。
結果を表示するには、CLI操作モードからローカルのUNIXシェルにアクセスし、/var/log/my-captureのディレクトリに移動します。その結果は、tcpdumpユーティリティを使用して読み取ることができます。
データ・パスのデバッグ・キャプチャーの検証
目的
データ・パス・デバッグ・キャプチャ・ファイルの詳細を確認します。
アクション
動作モードから、 show security datapath-debug capture コマンドを入力します。
user@host> show security datapath-debug capture
トラブルシューティングが終了したら、すべての traceoptionsコンフィギュレーション(flow traceoptions に限らない)と完全な security datapath-debug コンフィギュレーション・スタンザが削除または無効化されていることを確認します。デバッグ・コンフィギュレーションが有効なままだと、デバイスのCPUやメモリ資源を使い続けることになります。
データ・パス・デバッグ・カウンタの検証
目的
データ・パス・デバッグ・カウンターの詳細を確認します。
アクション
動作モードから、 show security datapath-debug counter コマンドを入力します。
論理システムとテナント システムの IDP セキュリティ パケット ロギング
論理システムとテナント システムの IDP セキュリティ パケット ログをキャプチャできます。SRXシリーズファイアウォールで入力しますを有効にすると、キャプチャする攻撃後または攻撃前のパケットの数を指定することもできます。SRXシリーズファイアウォールで入力しますを構成すると、デバイスはキャプチャされた情報を収集し、論理システムおよびテナントシステムレベルで入力します(.pcap)ファイルとして保存します。
論理システムとテナント システムの IDP セキュリティ パケット ログを設定する場合、設定は次のサンプルのようになります。
IDP パケット ロギングの設定例
[edit logical-systems LSYS-1]
user@host# show
security {
idp {
sensor-configuration {
packet-log {
threshold-logging-interval 2;
source-address 192.168.0.0;
host {
172.16.0.0;
port 2050;
}
}
}
}
}
ルートと到達可能性
論理システムおよびテナント システム レベルでパケット ロギング センサーを指定して、キャプチャされたパケットを宛先デバイス(入力しますレシーバー)に保存できます。キャプチャしたパケットを送信して保存するには、論理システムとテナントシステムの設定に送信先デバイスの IP アドレスを追加する必要があります。それ以外の場合、デバイスはルート論理システムおよびテナント システム レベルで設定されたデバイスの IP アドレスを使用して、キャプチャされたパケットを送信します。この場合、キャプチャされたパケットは、論理システムおよびテナント システム レベルでは保存されません。
ルート論理システムとテナントシステムに宛先デバイスのIPアドレスがない場合、SRXシリーズファイアウォールはキャプチャされたパケットの送信に失敗します。
show security idp counters packet log logical-system logical-system-name コマンドを使用します。Packet log host route lookup failuresオプションをオンにします。ルートの詳細が欠落しているために、SRXシリーズファイアウォールがパケットを送信しなかった頻度を確認します。
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。