IDP ポリシー ルールと IDP ルール ベース
侵入検出および防御(IDP)ポリシーは、ルールとルールベースのコレクションです。
詳細については、次のトピックを参照してください。
IDP ポリシールールベースの理解
ルールベースは、特定の検出方法を使用して攻撃を特定して防止するルールの順序付けられたセットです。
ルールは、IDPシステムが攻撃を見つけるためにネットワークトラフィックのどの部分を調べるべきかを指定することにより、検出メカニズムにコンテキストを提供する命令です。ルールが一致した場合、ネットワークトラフィックで攻撃が検知され、そのルールのアクションがトリガーされたことを意味します。IDPシステムは指定されたアクションを実行し、その攻撃からネットワークを保護します。
各ルールベースには複数のルールを設定できます。ルールをネットワークトラフィックに適用する順序は、ルールを目的の順序で配置することで決定します。IDPシステムの各ルールベースは、特定の検出方法を使用して攻撃を特定および防止します。Junos OSは、侵入防御システム(IPS)ルールベースと免除ルールベースの2種類のルールベースをサポートしています。
IDP ポリシールールについて
侵入検出および防止(IDP)ポリシーの各命令は、ルールと呼ばれます。ルールはルールベースで作成されます。
ルールベースは、IDPポリシーを定義するために組み合わされるルールのセットです。ルールは、IDPシステムが攻撃を見つけるためにネットワークトラフィックのどの部分を調べるべきかを指定することにより、検出メカニズムにコンテキストを提供します。ルールが一致した場合、ネットワークトラフィックで攻撃が検知され、そのルールのアクションがトリガーされたことを意味します。IDPシステムは指定されたアクションを実行し、その攻撃からネットワークを保護します。
IDP ポリシールールは、次のコンポーネントで構成されています。
IDP ルール一致条件について
一致条件は、IDPに攻撃を監視するネットワークトラフィックのタイプを指定します。
一致条件では、次の特性を使用して、監視するネットワーク トラフィックの種類を指定します。
From-zone
およびto-zone
—すべてのトラフィックが送信元ゾーンから宛先ゾーンに流れます。送信元または宛先のゾーンを選択できます。ゾーンの例外を使用して、デバイスごとに固有の to ゾーンと from ゾーンを指定することもできます。任意のゾーンから発信されるネットワークトラフィックを監視するany
を指定します。デフォルト値はany
です。手記:from-zone
がany
場合に、source-address
アドレスとsource-except
アドレスを指定できます。同様に、to-zone
any
場合は、destination-address
アドレスとdestination-except
アドレスを指定できます。Source IP address
- ネットワーク トラフィックの送信元 IP アドレスを指定します。any
を指定して、任意の IP アドレスから発信されたネットワーク トラフィックを監視できます。source-except
を指定して、指定したアドレス以外のすべてのソースを指定することもできます。デフォルト値はany
です。Destination IP address
- ネットワーク トラフィックの送信先の宛先 IP アドレスを指定します。これをany
に設定すると、任意の IP アドレスに送信されるネットワーク トラフィックを監視できます。destination-except
を指定して、指定したアドレス以外のすべての宛先を指定することもできます。デフォルト値はany
です。-
Application
- 宛先 IP アドレスでサポートされているアプリケーション層のプロトコルを指定します。すべてのアプリケーションにany
を指定することも、junos-bgp
などのアプリケーションを指定することもできます。ルールの攻撃オブジェクトで設定されたアプリケーションのdefault
を指定して、デフォルトのポートと自動的に検出されたポートを攻撃オブジェクトに含まれるアプリケーションと一致させることができます。
IDP ルール オブジェクトについて
オブジェクトは、ルールに適用できる再利用可能な論理エンティティです。作成した各オブジェクトは、そのオブジェクトの種類のデータベースに追加されます。
IDP ルールには、次のタイプのオブジェクトを設定できます。
ゾーン オブジェクト
ゾーンまたはセキュリティ ゾーンは、1 つ以上のネットワーク インターフェイスの集合です。IDP は、基本システムで設定されたゾーンオブジェクトを使用します。
アドレスまたはネットワーク オブジェクト
アドレスオブジェクトは、ホストマシン、サーバー、サブネットなど、ネットワークのコンポーネントを表します。IDP ポリシールールでアドレスオブジェクトを使用して、保護するネットワークコンポーネントを指定します。
アプリケーション オブジェクトまたはサービス オブジェクト
サービス オブジェクトは、TCP、UDP、RPC、ICMP などのトランスポート層プロトコルを使用するネットワーク サービスを表します。ルールでサービス オブジェクトを使用して、攻撃がネットワークにアクセスするために使用するサービスを指定します。ジュニパーネットワークスは、業界標準のサービスに基づくサービスオブジェクトのデータベースである、定義済みのサービスオブジェクトを提供しています。事前定義されたサービス対象に含まれていないサービス対象を追加する必要がある場合は、カスタムサービス対象を作成できます。IDP では、以下のタイプのサービスオブジェクトがサポートされています。
Any
- IDP がすべてのトランスポート層プロトコルを照合できるようにします。TCP
- 指定された TCP ポートのネットワーク サービスに一致する TCP ポートまたはポート範囲を指定します。すべての TCP ポートのサービスを照合するjunos-tcp-any
を指定できます。UDP
- 指定した UDP ポートのネットワーク サービスに一致する UDP ポートまたはポート範囲を指定します。すべての UDP ポートのサービスを照合するjunos-udp-any
を指定できます。RPC
- リモート プロシージャ コール(Sun Microsystems の RPC)プログラム番号またはプログラム番号範囲を指定します。IDP はこの情報を使用して RPC セッションを識別します。ICMP
- ICMP パケットの一部であるタイプとコードを指定します。すべての ICMP サービスに一致するjunos-icmp-all
を指定できます。default
- IDPがデフォルトのプロトコルと自動検出されたプロトコルを、攻撃オブジェクトに含まれるアプリケーションと一致させることができます。
攻撃オブジェクト
IDP攻撃オブジェクトは、既知および未知の攻撃を表します。IDPには、ジュニパーネットワークスが定期的に更新する攻撃対象データベースが含まれています。攻撃オブジェクトは、悪意のあるアクティビティを識別するためにルールで指定されます。各攻撃は、既知の攻撃パターンを表す攻撃オブジェクトとして定義されます。監視対象のネットワークトラフィックでこの既知の攻撃パターンが検出されるたびに、攻撃オブジェクトが照合されます。 表 1 では、攻撃オブジェクトの 3 つの主なタイプについて説明します。
攻撃オブジェクト |
形容 |
---|---|
シグネチャ攻撃オブジェクト |
シグネチャ攻撃オブジェクトは、ステートフルな攻撃シグネチャを使用して既知の攻撃を検出します。攻撃シグネチャは、攻撃内に常に存在するパターンです。攻撃が存在する場合は、攻撃シグネチャも存在します。ステートフルシグネチャを使用すると、IDPは攻撃の実行に使用される特定のプロトコルまたはサービス、攻撃の方向と流れ、および攻撃が発生するコンテキストを探すことができます。ステートフル シグネチャでは、攻撃のコンテキストが定義されているため誤検知がほとんど発生せず、攻撃が発生しないネットワーク トラフィックの膨大な部分が排除されます。 |
プロトコル異常攻撃オブジェクト |
プロトコル異常攻撃オブジェクトは、ネットワーク上の異常なアクティビティを特定します。これらは、使用されている特定のプロトコルのルールセットに従って、接続内の異常またはあいまいなメッセージを検出します。プロトコルの異常検知は、ほとんどの場合、RFCと一般的なRFC拡張によって定義されているプロトコル標準からの逸脱を見つけることによって機能します。ほとんどの正当なトラフィックは、確立されたプロトコルに準拠しています。そうでないトラフィックは異常を生成します。これは、侵入防御システム(IPS)の回避など、特定の目的で攻撃者によって作成される可能性があります。 |
複合攻撃オブジェクト |
複合攻撃オブジェクトは、複数のシグネチャやプロトコルの異常を1つのオブジェクトに結合します。トラフィックは、複合攻撃オブジェクトと一致するように、結合されたすべてのシグネチャまたはプロトコル異常に一致する必要があります。シグニチャまたは異常が一致する必要がある順序を指定できます。複合攻撃オブジェクトを使用して、IDPポリシールールを改良し、誤検知を減らし、検出精度を向上させます。複合攻撃オブジェクトを使用すると、IDPがトラフィックを攻撃として識別する前に発生する必要があるイベントを非常に具体的にすることができます。 |
攻撃対象グループ
IDPには、事前定義された多数の攻撃オブジェクトが含まれています。IDPポリシーを整理して管理しやすくするために、攻撃オブジェクトをグループ化できます。攻撃オブジェクト・グループには、異なるタイプの 1 つ以上のアタック・オブジェクトを含めることができます。Junos OSは、次の3種類の攻撃グループをサポートしています。
事前定義された攻撃オブジェクト グループ - シグニチャ データベースに存在するオブジェクトを含みます。定義済みの攻撃オブジェクト グループは、本質的に動的です。たとえば、FTP:マイナーグループは、アプリケーション(FTP)と重大度(マイナー)のすべての攻撃を選択します。重大度が軽度の新しい FTP 攻撃がセキュリティ データベースに持ち込まれると、既定で FTP: マイナー グループに追加されます。
動的攻撃グループ - 特定の一致条件に基づく攻撃オブジェクトが含まれます。たとえば、動的グループには、アプリケーションに関連するすべての攻撃を含めることができます。署名の更新中、動的グループ メンバーシップは、そのグループの一致条件に基づいて自動的に更新されます。
方向フィルターを使用する動的攻撃グループの場合、除外値で式
and
を使用する必要があります。すべてのフィルターの場合と同様に、デフォルトの式はor
です。ただし、方向フィルターの場合はand
の選択肢があります。たとえば、クライアントからサーバーへの方向を持つすべての攻撃を選択する場合は、
set security idp dynamic-attack-group dyn1 filters direction values client-to-server
コマンドを使用して方向フィルターを構成しますチェーン攻撃の場合、複数のメンバーのそれぞれに独自の方向性があります。ポリシーにチェーン攻撃が含まれている場合、クライアントからサーバーへのフィルターは、クライアントからサーバーへのメンバーを方向とするすべてのチェーン攻撃を選択します。つまり、サーバーからサーバーへの方向、または方向が ANY のメンバーを含むチェーン攻撃は、チェーンにクライアントからサーバーへの方向を持つメンバーが少なくとも 1 つある場合に選択されます。
以下のコマンドを使用して、特定のアタック・オブジェクト・グループ (事前定義、動的、およびカスタム・アタック・グループ) および事前定義アタック・オブジェクトが属するグループに存在するアタック・オブジェクトを表示できます。
show security idp attack attack-list attack-group group-name
show security idp attack group-list attack-name
show security idp attack attack-list attack-group group-name
コマンドを使用して、次のことを行います。指定した攻撃グループに存在するすべての攻撃 (カスタム グループ、動的グループ、事前定義グループなど) の一覧を表示します。
事前定義グループ<事前定義グループ名>、動的グループ<動的グループ名>カスタムグループ<カスタムグループ名>などのグループ名を指定して、そのグループ内の攻撃のリストを表示します。
show security idp attack group-list
コマンドを使用して、事前定義された攻撃が属する攻撃グループのリストを表示します。手記:定義済みのフィルターを持たない定義済みの攻撃グループの場合、そのようなグループは攻撃のメンバーとして表示されません。
show security idp attack attack-list policy policy-name
コマンドを使用して、構成された IDP ポリシーで利用可能な攻撃を表示します。IDP ポリシーが、さまざまな攻撃グループに属する特定の攻撃を含むように設定されている場合、冗長な攻撃名は、IDP ポリシー コマンド出力に攻撃の一部として表示されます。以前は、IDP シグネチャの更新では、フィルターで 9 つのタグのみがサポートされていました。7 つのタグは、カテゴリ、方向、誤検知、パフォーマンス、製品、推奨、サービス、重大度、およびベンダーです。IDPシグネチャの更新では、既存の9つのタグに加えて、より高度な動的グループを作成するためのフィルターの下で4つの新しい追加タグがサポートされるようになりました。
追加のタグは次のとおりです。
共通脆弱性評価システム(CVSS)(0から10までの数値で測定。値は、10 進値を含む実数です。したがって、5.5 などの数値も有効な CVSS スコアです。
攻撃の年齢(年と(0〜100歳)の間の怒りの観点から)。例:年数より大きいか小さい)
ファイルの種類 (例: MPEG、MP4、PPT、*.doc など)
脆弱性の種類 (例: バッファー オーバーフロー、インジェクション、解放後使用、クロスサイト スクリプティング (XSS)、リモートコード実行 (RCE) など。
さらに、既存の製品タグとベンダータグを設定するためのCLIインターフェイスは、よりユーザーフレンドリーになり、設定に使用できる補完が可能になります。
ベンダー(Microsoft、Apple、Red Hat、Google、ジュニパー、Cisco、Oracleなど)
製品 (例: Office、Database、Firefox、Chrome、Flash、DirectX、Java、Kerberos など)
これらのチェーン攻撃がポリシーに追加されないようにするには、動的グループを次のように構成します。
set security idp dynamic-attack-group dyn1 filters direction expression and
set security idp dynamic-attack-group dyn1 filters direction values client-to-server
set security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-client
set security idp dynamic-attack-group dyn1 filters direction values exclude-any
カスタム攻撃グループ:顧客が定義した攻撃グループが含まれ、CLI を使用して設定できます。これらには、特定の定義済み攻撃、カスタム攻撃、事前定義済み攻撃グループ、または動的攻撃グループを含めることができます。攻撃はグループ内で指定されているため、本質的に静的です。したがって、セキュリティ データベースが更新されても、攻撃グループは変更されません。
Junos リリース 21.2R3 以降、テナントおよび論理システム モードの IPS/除外ルールの下にある、事前定義された攻撃および攻撃グループの IPS ポリシーを表示できます。コマンド、 show security idp attack attack-group-entries
、 show security idp attack attack-list
、および show security idp attack group-list
を使用して、論理システム モードおよびテナント モードで IPS ポリシーを表示します。
IDPルールアクションについて
Actions 監視対象のトラフィックがルールで指定された攻撃オブジェクトと一致した場合にIDPに実行させたいアクションを指定します。
表 2 に、IDP ルールに指定できるアクションを示します。
用語 |
定義 |
---|---|
No Action |
アクションは実行されません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。 |
Ignore Connection |
攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IDPは、特定の接続のルールベースを無効にします。
手記:
このアクションは、攻撃を無視するという意味ではありません。 |
Diffserv Marking |
示された差別化されたサービスコードポイント(DSCP)値を攻撃のパケットに割り当て、パケットを通常どおりに渡します。 DSCP 値は、攻撃として検出された最初のパケットには適用されず、後続のパケットに適用されることに注意してください。 |
Drop Packet |
一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックを受信できなくなる可能性があります。
手記:
任意のアプリケーションのカスタムシグニチャで定義された非パケットコンテキストを使用してIDPポリシーが設定され、アクションドロップパケットがある場合、IDPが攻撃を特定すると、デコーダーはdrop_packet drop_connectionに昇格させます。DNSプロトコル攻撃では、これは当てはまりません。DNS デコーダーは、攻撃が特定されたときに drop_packet を drop_connection に昇格させません。これにより、DNS 攻撃トラフィックのみがドロップされ、有効な DNS 要求が引き続き処理されます。これにより、有効な TCP DNS 要求の TCP 再送信も回避されます。 |
Drop Connection |
接続に関連付けられているすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。 |
Close Client |
接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。 |
Close Server |
接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。 |
Close Client and Server |
接続を閉じ、RST パケットをクライアントとサーバーの両方に送信します。 |
Recommended |
すべての定義済みアタック オブジェクトには、既定のアクションが関連付けられています。これは、攻撃が検出されたときにジュニパーネットワークスが推奨するアクションです。
手記:
このアクションは、IPS ルールベースでのみサポートされます。 推奨 — ジュニパーネットワークスが深刻な脅威と見なすすべての攻撃対象をカテゴリ別に整理したリスト。
|
IDPルールIPアクションについて
IP アクションは、同じ IP アクション属性を使用する将来の接続に適用されるアクションです。たとえば、ルールに IP アクションを構成して、ホスト間のセッションで攻撃が検出された場合に、2 つのホスト間の今後のすべての HTTP セッションをブロックすることができます。または、タイムアウト値を指定して、指定したタイムアウト値内に新しいセッションが開始された場合にのみアクションが適用されるように定義することもできます。IP アクションのデフォルトのタイムアウト値は 0 で、IP アクションがタイムアウトしないことを意味します。
IP アクションは他のアクションと似ています。IDPに接続をドロップまたは閉じるように指示します。ただし、攻撃者の IP アドレスも取得できるため、指定した時間だけ攻撃者をブロックすることを選択できます。攻撃者がネットワークへの接続をすぐに回復できない場合、より簡単なターゲットを攻撃しようとする可能性があります。IP アクションをアクションおよびロギングと組み合わせて使用することで、ネットワークを保護します。
IP アクション属性は、以下のフィールドの組み合わせです。
送信元 IP アドレス
宛先 IP アドレス
宛先ポート
送信元ゾーン
議定書
表 3 は、IDP ルールでサポートされる IP アクションの種類をまとめたものです。
用語 |
定義 |
---|---|
Notify |
今後のトラフィックに対しては何も行わず、イベントをログに記録します。これがデフォルトです。 |
Drop/Block Session |
IP アクション ルールに一致するセッションのすべてのパケットは、警告なしに破棄されます。 |
Close Session |
この IP アクション ルールに一致する新しいセッションは、RST パケットをクライアントとサーバーに送信することによって閉じられます。 |
トラフィックが複数のルールに一致する場合、一致したすべてのルールの中で最も重大な IP アクションが適用されます。最も重大な IP アクションはセッションのクローズ アクションで、次の重大度はセッションの削除/ブロック アクション、通知アクションの順です。
中心点の拡張後、システムには以下の制限があります。
各 SPU の最大アクティブ モード
ip-action
数は 600000 エントリに制限されています。この制限に達すると、SPU で新しいアクティブ・モード・ip-action
項目を作成できなくなります。各 SPU のすべてのモード(アクティブ モードとパッシブ モード)
ip-action
の最大数は、1200000 エントリに制限されています。この制限に達すると、SPU で新しいアクティブ・モードip-action
項目を作成できなくなります。clear ip-action
コマンドを実行すると、ip-action
項目はリング・メッセージを介して削除されます。CPU 使用率が高い場合、削除された着信メッセージはドロップされ、アクティブ モードip-action
によって再送信されます。削除プロセスには時間がかかるため、show ip-action
コマンドを実行すると、ip-action
エントリがほとんど表示されません。
中心点拡張が行われていないデバイスでは、アクティブ モード ip-action
のみが存在し、最大 ip-action
数は 600000 に制限されます。この制限に達すると、新しいアクティブ モード ip-action
エントリを作成できません。
IDP ルール通知について
通知は、アクションの実行時に情報をログに記録する方法を定義します。攻撃が検出されると、攻撃をログに記録し、攻撃情報を含むログレコードを作成し、その情報をログサーバーに送信することを選択できます。
通知を使用すると、各ルールに対して生成されたログに対して特定のアクションを実行するようにログサーバーに指示する次のオプションを構成することもできます。
Set Alerts
- IDP ポリシーのルールのアラート オプションを指定します。ルールが一致すると、対応するログレコードのログビューアのアラート列にアラートが表示されます。セキュリティ管理者は、アラートを使用して、重要なセキュリティ イベントを認識し、対応します。Set Severity Level
- ログ記録の重大度レベルを設定して、ログ記録の整理と表示を改善します。選択した攻撃オブジェクトの既定の重大度設定を使用することも、ルールに特定の重大度を選択することもできます。ルールで構成した重大度は、継承された攻撃重大度を上書きします。重大度レベルは、次のレベルに設定できます。情報—2
警告—3
マイナー—4
専攻—5
クリティカル—7
例:IDPルールベースへのルールの挿入
この例では、IDP ルールベースにルールを挿入する方法を示します。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
ルールベースでルールを定義します。 例:IDP IPSルールベースのルールの定義を参照してください。
概要
IDPルール一致アルゴリズムは、ルールベースの一番上から開始し、指定された一致条件に一致するルールベース内のすべてのルールに対してトラフィックをチェックします。ルールをネットワーク トラフィックに適用する順序は、ルールを目的の順序に並べて決定します。ルールベースにルールを追加すると、既存のルールリストの最後に配置されます。ルールベースの末尾以外の場所にルールを配置するには、ルールベースの目的の場所にルールを insert します。この例では、base-policy と呼ばれるポリシーの IDP IPS ルールベースで、ルール R2 をルール R1 の前に配置します。
構成
プロシージャ
手順
ルールベースにルールを挿入するには:
ルールを評価する順序に基づいて、ルールベース内でのルールの位置を定義します。
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show security idp status
コマンドを入力します。
例: IDPルールベースでのルールの非アクティブ化およびアクティブ化
この例では、ルールベースでルールを非アクティブ化およびアクティブ化する方法を示しています。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
ルールベースでルールを定義します。 例:IDP IPSルールベースのルールの定義を参照してください。
概要
ルールベースでは、 deactivate
および activate
コマンドを使用してルールを無効化および有効化できます。 deactivate
コマンドは、指定されたステートメントを設定からコメントアウトします。非アクティブ化されたルールは、 commit
コマンドを発行しても有効になりません。 activate
コマンドは、指定されたステートメントを設定に戻します。アクティブ化されたルールは、次に commit
コマンドを発行したときに有効になります。この例では、base-policy と呼ばれるポリシーに関連付けられた IDP IPS ルールベースで、ルール R2 を非アクティブ化および再アクティブ化する方法を示します。
構成
プロシージャ
手順
ルールベース内のルールを非アクティブ化およびアクティブ化するには:
非アクティブ化するルールを指定します。
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
ルールをアクティブにします。
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show security idp status
コマンドを入力します。
IDPアプリケーションレベルDDoSルールベースの理解
アプリケーションレベルのDDoSルールベースは、DNSやHTTPなどのサーバーをアプリケーションレベルの分散型サービス拒否(DDoS)攻撃から保護するために使用されるパラメーターを定義します。通常のサーバーアクティビティ要求に基づいてカスタムアプリケーションメトリックを設定し、クライアントを攻撃クライアントと見なすタイミングを決定できます。次に、アプリケーションレベルの DDoS ルールベースを使用して、監視する必要があるトラフィックの送信元一致条件を定義し、定義されたアクション(サーバーを閉じる、接続をドロップする、パケットをドロップする、またはアクションなし)を実行します。また、IP アクション(ip-block、ip-close、ip-notify、ip-connection-rate-limit、またはタイムアウト)を実行することもできます。 表 4 は、アプリケーションレベルの DDoS ルールベースルールで構成できるオプションを要約したものです。
用語 |
定義 |
---|---|
Match condition |
デバイスで攻撃を監視するネットワーク トラフィックを指定します。 |
Action |
監視対象トラフィックがアプリケーションレベルの DDoS ルールで指定されたアプリケーション DDos オブジェクトと一致した場合に、侵入検出および防止(IDP)が実行するアクションを指定します。 |
IP Action |
送信元アドレスを暗黙的にブロックして、正当なトラフィックを許可しながら、将来の侵入からネットワークを保護することができます。アプリケーション レベルの DDoS では、IP アクション オプションの 1 つを構成できます: ip-block、ip-close、ip-notify、ip-connection-rate-limit。 |
IDP IPS ルールベースの理解
侵入防御システム(IPS)ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検知することにより、ネットワークを攻撃から保護します。ステートフルシグネチャとプロトコルの異常に基づいて攻撃を検知します。 表 5 は、IPS ルールベースルールで設定できるオプションをまとめたものです。
用語 |
定義 |
---|---|
Match condition |
デバイスで攻撃を監視するネットワーク トラフィックの種類を指定します。一致条件の詳細については、 IDPポリシールールについてを参照してください。 |
Attack objects/groups |
監視対象のネットワーク トラフィックでデバイスを一致させる攻撃を指定します。各攻撃は、既知の攻撃パターンを表す攻撃オブジェクトとして定義されます。攻撃オブジェクトの詳細については、 IDPポリシールールについてを参照してください。 |
Terminal flag |
端末ルールを指定します。デバイスは、端末ルールに一致すると、セッションのルールの一致を停止します。ターミナルルールの詳細については、 IDPターミナルルールについて を参照してください。 |
Action |
監視対象のトラフィックがルールで指定された攻撃オブジェクトと一致した場合にシステムが実行するアクションを指定します。攻撃によって複数のルールアクションがトリガーされた場合、それらのルールの中で最も重大なアクションが実行されます。アクションの詳細については、「 IDP ポリシールールについて」を参照してください。 |
IP Action |
正当なトラフィックを許可しながら、将来の侵入からネットワークを保護することができます。IPS ルールベースで、通知、ドロップ、またはクローズのいずれかの IP アクション オプションを設定できます。IP アクションの詳細については、「 IDP ポリシールールについて」を参照してください。 |
Notification |
アクションの実行時に情報をログに記録する方法を定義します。攻撃をログに記録し、攻撃情報を含むログ・レコードを作成し、ログ・サーバーに情報を送信することを選択できます。詳細については、「 IDP ポリシールールについて」を参照してください。 |
例:IDP IPS ルールベースのルールの定義
この例では、IDP IPSルールベースのルールを定義する方法を示します。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
セキュリティ ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
事前定義された攻撃でIDPカスタムポリシーを使用するには、署名データベースをデバイスにダウンロードする必要があります。
詳細については、 例:IDP 署名データベースの手動更新を参照してください。
概要
各ルールは、一致条件、オブジェクト、アクション、通知で構成されます。IDP ルールを定義するときは、IDP が攻撃を監視するネットワーク トラフィックの種類を、送信元ゾーン、宛先ゾーン、送信元 IP アドレス、宛先 IP アドレス、および宛先 IP アドレスでサポートされているアプリケーション層プロトコルの特性を使用して指定する必要があります。ルールはルールベースで定義され、ルールベースはポリシーに関連付けられます。
この例では、base-policy というポリシーを作成し、このポリシーのルールベースを指定して、このルールベースにルール R1 を追加する方法について説明します。この例では、ルール R1:
一致条件を指定して、以前に設定された trust というゾーンから、以前に設定された別のゾーン untrust へのトラフィックを含めます。一致条件には、定義済みの攻撃グループ [重大 - TELNET] も含まれます。一致条件のアプリケーション設定は default で、攻撃オブジェクトで構成されているすべてのアプリケーションと一致します。
ルール R1 の条件に一致するすべてのトラフィックの接続をドロップするアクションを指定します。
攻撃ログを有効にし、警告フラグを攻撃ログに追加することを指定します。
重大度レベルを critical に指定します。
ルールを定義した後、デバイスのアクティブポリシーとして基本ポリシーを指定します。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit]
階層レベルのCLIに貼り付け、設定モードから commit
を入力します。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
IDP IPSルールベースのルールを定義するには:
わかりやすい名前を割り当ててポリシーを作成します。
[edit] user@host# edit security idp idp-policy base-policy
ルールベースをポリシーに関連付けます。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
ルールベースにルールを追加します。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
ルールの一致条件を定義します。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
攻撃を一致条件として定義します。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
ルールのアクションを指定します。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
ルールの通知とログのオプションを指定します。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
ルールの重大度レベルを設定します。
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy base-policy
業績
設定モードから、 show security idp
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security idp idp-policy base-policy { rulebase-ips { rule R1 { match { from-zone trust; source-address any; to-zone untrust; destination-address any; application default; attacks { predefined-attack-groups Critical-TELNET; } } then { action { drop-connection; } notification { log-attacks { alert; } } severity critical; } } } } active-policy base-policy;
デバイスの設定が完了したら、設定モードから commit
を入力します。
IDP免除ルールベースの理解
免除ルールベースは侵入防御システム(IPS)ルールベースと連携して、不要なアラームが生成されないようにします。このルールベースにルールを設定して、既知の誤検知を除外したり、特定の送信元、宛先、または送信元と宛先のペアをIPSルールの一致から除外したりします。トラフィックが IPS ルールベースのルールに一致する場合、システムは指定されたアクションを実行する前に、除外ルールベースに対してトラフィックのマッチングを試みます。除外ルールベースにルールを慎重に記述することで、IPSルールベースによって生成される誤検知の数を大幅に減らすことができます。
以下の条件で免除ルールベースを設定します。
IDP ルールが、誤検知または無関係なログ・レコードを生成する 1 つ以上のアタック・オブジェクトを含むアタック・オブジェクト・グループを使用する場合。
特定の送信元、送信先、または送信元と送信先のペアを IDP ルールの一致から除外する場合。これにより、IDPが不要なアラームを生成するのを防ぎます。
除外ルールベースを設定する前に、必ずIPSルールベースを設定してください。
表 6 は、免除ルール基本ルールで設定できるオプションをまとめたものです。
用語 |
定義 |
---|---|
Match condition |
IPS ルールベースと同様の方法で、デバイスで攻撃を監視するネットワーク トラフィックのタイプを指定します。ただし、除外ルールベースでは、アプリケーションを構成することはできません。常に |
Attack objects/groups |
監視対象のネットワーク トラフィックでデバイスを一致させる not する攻撃オブジェクトを指定します。 |
例:IDP免除ルールベースのルールの定義
この例では、免除されたIDPルールベースのルールを定義する方法を示します。
必要条件
開始する前に、IDP IPSルールベースにルールを作成します。 例:IDP IPSルールベースのルールの定義を参照してください。
概要
除外ルールを作成するときは、以下を指定する必要があります。
除外するトラフィックの送信元と宛先。送信元または宛先を
Any
に設定して、任意の送信元から発信されたネットワークトラフィックや任意の宛先に送信されたネットワークトラフィックを除外できます。また、source-except
またはdestination-except
を設定して、指定した送信元または宛先アドレスを除くすべての送信元または送信先を指定することもできます。手記:from-zone
がany
されたときに、source-address
アドレスとsource-except
アドレスを指定できるようになりました。同様に、to-zone
がany
場合は、destination-address
アドレスとdestination-except
アドレスを指定できます。指定された送信元/宛先アドレスに対してIDPを除外する攻撃。除外ルールには、少なくとも 1 つの攻撃オブジェクトを含める必要があります。
この例は、IDP ポリシーが内部ネットワークでの攻撃 FTP:USER:ROOT に対して誤検知を生成することを示しています。ソース IP が内部ネットワークからのものである場合に、この攻撃の攻撃検出を除外するようにルールを構成します。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit]
階層レベルのCLIに貼り付け、設定モードから commit
を入力します。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
除外IDPルールベースのルールを定義するには:
ルールベースを定義して除外するIDP IPSルールベースを指定します。
[edit] user@host# edit security idp idp-policy base-policy
除外ルールベースをポリシーおよびゾーンに関連付け、ルールベースにルールを追加します。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
ルールベースの送信元アドレスと宛先アドレスを指定します。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
攻撃検出から除外する攻撃を指定します。
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy base-policy
業績
設定モードから、 show security idp
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security idp idp-policy base-policy { rulebase-exempt { rule R1 { match { from-zone trust; source-address internal-devices; to-zone any; destination-address any; attacks { predefined-attacks FTP:USER:ROOT; } } } } active-policy base-policy;
デバイスの設定が完了したら、設定モードから commit
を入力します。
IDPターミナルルールを理解する
侵入検出および防止(IDP)ルール照合アルゴリズムは、ルールベースの最上位から開始し、送信元、宛先、およびサービスに一致するルールベースのすべてのルールと照合してトラフィックをチェックします。ただし、ルールを ターミナルとして設定することはできます。終了規則は、このアルゴリズムの例外です。送信元、宛先、ゾーン、およびアプリケーションのターミナルルールで一致が検出された場合、IDPは同じ送信元、宛先、およびアプリケーションの後続のルールのチェックを続行しません。トラフィックが一致ルールの攻撃オブジェクトと一致するかどうかは関係ありません。
終了規則は、以下の目的で使用できます。
同じ送信元と送信先に対して異なる攻撃に対して異なるアクションを設定すること。
既知の信頼できる送信元から発信されたトラフィックを無視する。通常、アクションはこのタイプの端末ルールに対して
None
されます。特定の攻撃に対してのみ脆弱なサーバーに送信されるトラフィックを無視すること。通常、アクションはこのタイプの終了ルールに対して
Drop Connection
されます。
端末ルールを定義するときは注意してください。不適切なターミナルルールは、ネットワークを攻撃に対してオープンなままにする可能性があります。トラフィックが端末ルールの攻撃対象と一致しない場合でも、端末ルールの送信元、宛先、およびアプリケーションに一致するトラフィックは、後続のルールと比較されないことに注意してください。ターミナル ルールは、1 つの特定の攻撃オブジェクトのセットについて特定の種類のトラフィックを調べる場合にのみ使用します。送信元と送信先の両方に any
を使用するターミナルルールには特に注意してください。ターミナルルールは、同じトラフィックに一致する他のルールの前に、ルールベースの上部近くに表示する必要があります。
例: ルールベースでの端末ルールの設定
この例では、ターミナル ルールを構成する方法を示します。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
セキュリティポリシーでIDPアプリケーションサービスを有効にします。
セキュリティ ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
ルールを定義します。 例: IDP ルールベースへのルールの挿入 を参照してください。
概要
デフォルトでは、IDPルールベースのルールはターミナルではありません。つまり、IDPはルールベース内のすべてのルールを調べて、すべての一致を実行します。ルールがターミナルであることを指定できます。つまり、IDPがターミナルルールで指定された送信元、宛先、およびサービスの一致を検出した場合、その接続の後続のルールは調べません。
この例では、ターミナル ルールを構成する方法を示します。ルール R2 を定義して、トラフィックの送信元 IP が社内の既知の信頼できるネットワークから発信された場合に、一致アルゴリズムを終了します。このルールが一致すると、IDPは信頼できるネットワークからのトラフィックを無視し、悪意のあるデータのセッションを監視しません。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit]
階層レベルのCLIに貼り付け、設定モードから commit
を入力します。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの設定モードでのCLIエディターの使用を参照してください。
ターミナルルールを設定するには:
IDP ポリシーを作成します。
[edit] user@host# set security idp idp-policy base-policy
ルールを定義し、その一致条件を設定します。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
ルールのターミナルフラグを設定します。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
攻撃検出から除外する攻撃を指定します。
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
ルールのアクションを指定します。
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
業績
設定モードから、 show security idp
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security idp idp-policy base-policy { rulebase-ips { rule R2 { match { source-address internal; destination-address any; attacks { predefined-attacks FTP:USER:ROOT; } } then { action { recommended; } } terminal; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
IDP ポリシーでの DSCP ルールについて
差別化されたサービス コード ポイント(DSCP)は、IP パケット ヘッダーで定義された 6 ビット フィールドにエンコードされた整数値です。これは、サービスクラス(CoS)の区別を適用するために使用されます。CoSでは、デフォルトのパケット転送動作を上書きし、特定のトラフィックフローにサービスレベルを割り当てることができます。
DSCP 値を IDP ポリシー ルールのアクションとして設定できます。まず、IDP ポリシーで一致条件を定義してトラフィックを定義し、それに DiffServ マーキング アクションを関連付けます。DSCP値に基づいて、動作集約分類子は、トラフィックが受ける転送処理を決定するトラフィックの転送クラスと損失優先度を設定します。
IDP ポリシー ルールに一致するすべてのパケットの IP ヘッダー内の CoS フィールドが、一致するポリシーで指定された DSCP 値で書き換えられます。トラフィックが異なる DSCP 値を持つ複数のルールに一致する場合、最初に一致した IDP ルールが有効になり、この IDP ルールがそのセッションのすべてのトラフィックに適用されます。
例:IDP ポリシーでの DSCP ルールの設定
次に、IDP ポリシーで DSCP 値を設定する例を示します。
必要条件
始める前に:
ネットワーク インターフェイスを構成する
セキュリティポリシーでIDPアプリケーションサービスを有効にする
セキュリティ ゾーンの作成
ルールの定義
概要
IDP ポリシーで DSCP 値を設定することで、ネットワーク上のさまざまなタイプのトラフィックに CoS 値(つまり、さまざまなレベルの信頼性)を関連付ける方法が提供されます。
この例では、policy1 というポリシーを作成し、このポリシーのルールベースを指定して、このルールベースにルール R1 を追加する方法を示しています。この例では、ルール R1:
以前に設定された trust というゾーンから、以前に設定された untrust というゾーンへのトラフィックを含めるための一致条件を指定します。一致条件には、HTTP - 重大と呼ばれる定義済みの攻撃グループも含まれます。一致条件のアプリケーション設定はデフォルトとして指定され、攻撃オブジェクトで設定されたすべてのアプリケーションと一致します。
ルール R1 の基準に一致するすべてのトラフィックについて、IP ヘッダーの CoS フィールドを DSCP 値 50 で書き換えるアクションを指定します。
手記:コマンド
show security idp attack attack-list recursive predefined-group "HTTP - Critical"
を使用して、事前定義されたグループ「HTTP - Critical」に含まれる内容の詳細を確認します。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit]
階層レベルのCLIに貼り付け、設定モードから commit
を入力します。
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
IDP ポリシーで DSCP 値を設定するには、次の手順を実行します。
わかりやすい名前を割り当ててポリシーを作成します。
[edit] user@host# edit security idp idp-policy base-policy
ルールベースをポリシーに関連付けます。
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
ルールベースにルールを追加します。
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
ルールの一致条件を定義します。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
ルールのアクションを指定します。
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
必要に応じて、ルールの通知オプションまたはログ オプションを引き続き指定します。
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy base-policy
業績
設定モードから、 show security idp
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security idp idp-policy base-policy{ rulebase-ips { rule R1 { match { from-zone trust; source-address any; to-zone untrust; destination-address any; application default; attacks { predefined-attack-groups HTTP-Critical; } } then { action { mark-diffserv { 50; } } } } } active-policy base-policy;
デバイスの設定が完了したら、設定モードから commit
を入力します。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。