Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

IDPセキュリティパケットキャプチャ

このトピックでは、攻撃の前後にパケットをキャプチャして攻撃の詳細を判断し、シグネチャを作成する方法について説明します。特定のルールの入力しますの有効化、メモリ割り当ての構成、キャプチャされたパケットのホストデバイスへの送信(分析)について説明します。

IDP センサー構成は、入力します のデバイス仕様を定義します。

詳細については、次のトピックを参照してください。

セキュリティパケットキャプチャについて

攻撃の前後にパケットを表示することは、攻撃の目的と範囲、攻撃が成功したかどうか、および攻撃によってネットワーク損害が発生したかどうかを判断するのに役立ちます。パケット分析は、攻撃シグネチャを定義して誤検知を最小限に抑えるのにも役立ちます。

攻撃がログに記録されるときにパケット キャプチャが入力しますと、攻撃の前後の指定された数のパケットをセッションでキャプチャできます。すべてのパケットが収集されると、オフライン分析のためにデバイス管理インターフェイス(DMI)でホストデバイスに送信されます。

IDP ポリシー ルールの通知オプションにより、ルールの一致が発生したときに入力しますが可能になります。オプションはさらに、キャプチャするパケットの数と、関連するセッションのパケットキャプチャの期間を入力します。

IDP センサー構成は、入力します のデバイス仕様を定義します。このコマンドのオプションは、入力しますに割り当てるメモリと、入力しますオブジェクトが送信されるソースデバイスとホストデバイスを決定します。

showコマンドを実行すると、デバイス上の入力しますアクティビティの進行状況、成功、失敗の詳細を示す入力しますカウンターが表示されます。

パケット キャプチャのサポートは、各セッションで 1 回のみ入力します。

手記:

パケット キャプチャが、改良された攻撃前の設定パラメータ値で設定されている場合、リソース使用量は比例して増加し、デバイスのパフォーマンスに影響を与える可能性があります。

IDPパケットキャプチャの暗号化サポート

Junos OS リリース 22.1R1以降、安全なSSLまたはTLS接続を有効にし、暗号化されたIDP入力しますログを入力しますレシーバーに送信できます。SSLまたはTLS接続を確立するには、IDPパケットログ設定で使用するSSL開始プロファイル名を指定する必要があります。SRXシリーズファイアウォールはSSLまたはTLSクライアントで、入力しますレシーバーはSSLまたはTLSサーバーです。

パケットログ設定で暗号化サポートが有効になっている場合、IDPは安全なSSLまたはTLS接続を使用して、論理システムまたはテナントシステム内のすべてのセッション(暗号化および非暗号化)の設定済みホストにIDPパケットログを送信します。パケットログが入力しますレシーバーに送信されると、SSL 接続は閉じられます。

以前は、encrypted traffic が検査のために送信されると、IDP は SSL プロキシを使用して復号化されたトラフィックを受信し、このトラフィックの攻撃検出を検査していました。攻撃が検出され、パケットログが設定されている場合、復号化されたパケットはパケットログの一部としてUDPトラフィックを介して設定されたホストに送信されました。暗号化なしのパケットログの送信は、特にキャプチャされたパケットログがencrypted traffic用である場合、保護されません。

手記:

暗号化サポートが有効になっている場合は、各論理システムで SSL プロファイルを個別に構成する必要があります。トランスポート パラメーターのルート論理システムで実行された IDP センサー設定は、他の論理システムまたはテナント システムでは使用できません。

IDPパケットログのSSLまたはTLS接続は、次のように確立されます。

  • パケットロギングプロセスの開始時に、ホストへのSSLまたはTLS接続がない場合、パケットログを送信するための新しいSSL 接続が確立されます。

  • パケットログの送信中に、既存のSSLまたはTLS接続がある場合は、同じ接続が再利用されます。

  • パケットロギングが停止すると、キャプチャされたパケットは確立されたSSLまたはTLS接続を介して送信されます。

  • ビジー中のSSLまたはTLSパケット伝送セッションがあり、ホストからの新しいパケットログ要求がある場合、それらのパケットログはプッシュバックされ、既存のSSLセッションが完了したときにのみ送信されます。

IDP のパケットログ設定で、SSL プロファイル名設定がサポートされるようになりました。この更新されたパケットログ設定を使用して、IDP パケットログのセキュアな SSL 接続を確立できます。

SSL設定で更新されたIDPパケットログコマンドは次のとおりです。

  • set security idp sensor-configuration packet-log ssl-profile-name < profile-name>
  • 論理システム内のセッションの場合-set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name>

  • テナントシステム内のセッションの場合-set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>

これらのコマンドで指定されるプロファイル名は、SSL 開始プロファイル構成で構成する必要があります。SSL 開始プロファイル構成は、セキュア接続を確立するために必要な SSL 証明書と SSL ハンドシェイク操作を実行します。SSL バージョンは、SSL 開始設定に基づいて選択されます。

手記:

SSL 開始プロファイル構成で SSL プロファイル名が構成されていない場合は、「 参照される SSL 開始プロファイルが定義されていません」というメッセージが表示されます。

新しいパケットログカウンターを表示するには、 show security idp counters packet-log コマンドを使用します。

利点

  • SSLおよびTLSキーと証明書の暗号化メカニズムを使用して、データのプライバシーとセキュリティを提供します。

  • ネットワーク内の共有エンティティへの潜在的なプライベート情報のストリーミングのサポートを許可します。

IDPオンボックスパケットキャプチャのサポート

攻撃が発生すると、IDPパケットロギング機能を使用してパケットがキャプチャされ、攻撃動作がオフラインで分析されます。場合によっては、Security Directorなどのログ収集デバイスが、キャプチャされたパケットのオフライン収集に使用できないことがあります。このような場合、Junos OS リリース 23.1R1 以降、キャプチャされたパケットを SRXシリーズファイアウォールにローカルに保存し、ユーザー インターフェイスまたは J-Web で詳細を表示できるようになりました。

既存のIDPパケットログ設定は通常どおり使用され、コマンドを使用してIDPルールのパケットログを設定できます。 set security idp sensor-configuration packet-log local-storage コマンドを使用して、キャプチャしたパケットをデバイスに保存できます。

手記:

この設定を使用する場合、詳細がホストに設定されていれば、オフボックスホストまたはコレクターへのパケットログの送信に変更はありません。

キャプチャされたトラフィックは /var/log/pcap/idp/ に保存されます。PCAP ファイルの名前は、タイム スタンプ、攻撃ログ ID、およびトリガー パケット番号に基づきます。

提供されているログローテーション機能を使用して、作成される PCAP ファイルの数を制限できます。次の設定を使用して、 /var/log/pcap/idp に作成する必要がある PCAP ファイルの数を制限します。

set security idp sensor-configuration packet-log local-storage max-files <1..5000>

デフォルト値は 500 です。

次の構成を使用して、PCAP ファイルの保存に使用する最大ディスク容量の制限を設定します。

set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>

デフォルト値は 100M で、最小値は 1M です。

カウンターは、オンボックス キャプチャの統計情報を示します。新しいカウンターが既存のパケットログカウンターに追加されます。パケットログカウンターの詳細を表示するには、次のコマンドを使用します。

user@host> show security idp counters packet-log

このセッションのオンボックスパケットキャプチャファイルが生成されたときに、既存のセッションクローズsyslogにフラグが設定入力します。次の例の最後から 3 番目のパラメーター (128 - セッションの機能統計) は、これを示しています。次に例を示します。

RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A

以下は、その他の便利なコマンドです。

  • delete security idp sensor-configuration packet-log local-storage と commit を使用して設定を削除し、commit を使用してオンボックス ロギングを無効にします。

  • clear counter コマンド clear security idp counters packet-log を使用して、オンボックス キャプチャの詳細を削除します。

  • request security idp storage-cleanup packet-captureを使用して、キャプチャしたファイルをすべてクリアします。

参照

例:セキュリティ パケット キャプチャの設定

この例では、セキュリティ入力しますを設定する方法を示しています。

必要条件

開始する前に、ネットワークインターフェイスを設定します。

概要

この例では、ポリシー pol0 のルール 1 のパケット キャプチャを入力します。このルールは、攻撃が発生した場合、攻撃前の 1 つのパケットと攻撃後の 3 つのパケットがキャプチャされ、攻撃後のキャプチャは 60 秒後にタイムアウトする必要があることを指定します。センサーの設定を変更して、使用可能なメモリの 5% と IDP セッションの 15% をパケット キャプチャに割り当て入力します。入力しますオブジェクトが準備されると、デバイス10.56.97.3からデバイス10.24.45.7のポート5に送信されます。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピー&ペーストして、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ入力しますを設定するには、次の手順に従います。

  1. IDP ポリシーを作成します。

  2. ルールベースをポリシーに関連付けます。

  3. ルールベースにルールを追加します。

  4. 通知を指定し、各入力しますのサイズとタイミングの制約を定義します。

  5. 攻撃を一致条件として定義します。

  6. ルールのアクションを指定します。

  7. security idp sensor-configuration を有効にします。

  8. (オプション)security idp sensor-configuration ログ抑制を無効にします。

    手記:

    IDPログ抑制が有効になっている場合(デフォルトの動作)、単一のシグネチャに一致する大量または反復的な攻撃のインシデント中に、SRXシリーズファイアウォールによって入力します(PCAP)が生成されず、コレクターに転送されない場合があります。攻撃ごとにPCAPレコードが必要な場合は、IDPログ抑制を無効にすることが推奨されます。

  9. パケット キャプチャに使用するデバイス リソースを割り当て入力します。

  10. パケットキャプチャオブジェクトを送信する送信元デバイスとホストデバイスを特定します。

  11. セキュアなSSLまたはTLS接続を有効にして、設定されたホスト(PCAP受信機)に送信されたIDPパケットログを暗号化します。

    上記の SSL プロファイル名は、SSL 開始プロファイル構成で構成する必要があります。このIDPパケットログSSLまたはTLS接続では、SSL開始構成でサポートされているすべてのSSLおよびTLSバージョンがサポートされています。SSL 開始設定で設定された SSL または TLS バージョンのみを選択できます。

    user@host# show services ssl initiation | display set を実行して、SSL開始で構成されたSSLプロファイル名を表示し、必要なSSLまたはTLSバージョンを使用します。

業績

設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

セキュリティ パケット キャプチャの検証

目的

セキュリティ パケット キャプチャを検証し入力します。

アクション

動作モードから show security idp counters packet-log コマンドを入力します。

例:データパスデバッギング用のパケットキャプチャの設定

この例では、デバイスを通過するトラフィックを監視するように入力しますを設定する方法を示しています。パケット・キャプチャは、パケットをPCAPファイル形式にダンプし、後にtcpdumpユーティリティで調べられるようにします。

必要条件

開始する前に、 データパスのデバッグ(CLI手順)を参照してください。

概要

フィルターは、トラフィックをフィルタリングするために定義されます。次に、フィルタリングされたトラフィックにアクションプロファイルが適用されます。アクション・プロファイルは、プロセス・ユニットに対するさまざまなアクションを指定します。サポートされているアクションの 1 つはパケット ダンプで、パケットをルーティングエンジンに送信し、 show security datapath-debug capture コマンドを使用して読み取れるように独自の形式で保存します。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用するを参照してください。

入力しますを設定するには、次の手順を実行します。

  1. パケット・プロセス・パスにある複数のプロセス・ユニットの security datapath-debugオプションを編集します:

  2. キャプチャ・ファイル、ファイル形式、ファイルサイズ、およびファイル数を有効にします。サイズ番号は、キャプチャ・ファイルのサイズを制限します。制限サイズに達した後、ファイル番号が指定されている場合、キャプチャ・ファイルはファイル名 xに循環されます。 x は、指定されたインデックスに達するまで自動的にインクリメントされ、その後ゼロに戻ります。ファイル・インデックスを指定しない場合、パケットはサイズ制限に達した後、廃棄されます。デフォルトのサイズは 512 キロバイトです。

  3. アクション・プロファイルを有効にし、イベントを設定します。アクションプロファイルをdo-captureとし、イベントタイプをnp-ingressとして設定します:

  4. アクション・プロファイルのパケット・ダンプを有効にします:

  5. パケット・フィルター、アクション、およびフィルター・オプションを有効にします。パケット・フィルタをmy-filter、アクション・プロファイルをdo-capture、およびフィルタ・オプションをsource-prefix 1.2.3.4/32に設定しています。

業績

設定モードから、 show security datapath-debug コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

パケット・キャプチャの検証

目的

パケット入力しますが動作しているか否かを確認します。

アクション

動作モードから、 request security datapath-debug capture start コマンドを入力して入力しますを開始し、 request security datapath-debug capture stop コマンドを入力して入力しますを停止します。

結果を表示するには、CLI操作モードからローカルのUNIXシェルにアクセスし、/var/log/my-captureのディレクトリに移動します。その結果は、tcpdumpユーティリティを使用して読み取ることができます。

データ・パスのデバッグ・キャプチャーの検証

目的

データ・パス・デバッグ・キャプチャ・ファイルの詳細を確認します。

アクション

動作モードから、 show security datapath-debug capture コマンドを入力します。

警告:

トラブルシューティングが終了したら、すべての traceoptionsコンフィギュレーション(flow traceoptions に限らない)と完全な security datapath-debug コンフィギュレーション・スタンザが削除または無効化されていることを確認します。デバッグ・コンフィギュレーションが有効なままだと、デバイスのCPUやメモリ資源を使い続けることになります。

データ・パス・デバッグ・カウンタの検証

目的

データ・パス・デバッグ・カウンターの詳細を確認します。

アクション

動作モードから show security datapath-debug counter コマンドを入力します。

論理システムとテナント システムの IDP セキュリティ パケット ロギング

Junos OS リリース 21.3R1 以降、論理システムとテナント システムの IDP セキュリティ パケット ログをキャプチャできます。セキュリティ デバイスで 入力します を有効にすると、キャプチャする攻撃後または攻撃前のパケットの数を指定することもできます。セキュリティ デバイスで 入力します を構成すると、デバイスはキャプチャされた情報を収集し、論理システムおよびテナント システム レベルで 入力します ファイル(.pcap)として保存します。

論理システムとテナント システムの IDP セキュリティ パケット ログを設定する場合、設定は次のサンプルのようになります。

IDP パケット ロギングの設定例

ルートと到達可能性

論理システムおよびテナント システム レベルでパケット ロギング センサーを指定して、キャプチャされたパケットを宛先デバイス(PCAP レシーバー)に保存できます。キャプチャしたパケットを送信して保存するには、論理システムとテナントシステムの設定に送信先デバイスの IP アドレスを追加する必要があります。それ以外の場合、デバイスはルート論理システムおよびテナント システム レベルで設定されたデバイスの IP アドレスを使用して、キャプチャされたパケットを送信します。この場合、キャプチャされたパケットは、論理システムおよびテナント システム レベルでは保存されません。

ルート論理システムとテナントシステムに宛先デバイスの IP アドレスが含まれていない場合、セキュリティ デバイスはキャプチャされたパケットを宛先に送信できません。

show security idp counters packet log logical-system <logical-system-name> コマンドを使用し、オプションの Packet log host route lookup failures フィールドをチェックすると、ルートの詳細が欠落しているためにセキュリティ デバイスがキャプチャされたパケットを送信しなかった回数を確認できます。

参照