Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP ポリシー ルールと IDP ルール ベース

侵入検出および防御(IDP)ポリシーは、ルールとルールベースのコレクションです。

詳細については、次のトピックを参照してください。

IDP ポリシールールベースの理解

ルールベースは、特定の検出方法を使用して攻撃を特定して防止するルールの順序付けられたセットです。

ルールは、IDPシステムが攻撃を見つけるためにネットワークトラフィックのどの部分を調べるべきかを指定することにより、検出メカニズムにコンテキストを提供する命令です。ルールが一致した場合、ネットワークトラフィックで攻撃が検知され、そのルールのアクションがトリガーされたことを意味します。IDPシステムは指定されたアクションを実行し、その攻撃からネットワークを保護します。

各ルールベースには複数のルールを設定できます。ルールをネットワークトラフィックに適用する順序は、ルールを目的の順序で配置することで決定します。IDPシステムの各ルールベースは、特定の検出方法を使用して攻撃を特定および防止します。Junos OSは、侵入防御システム(IPS)ルールベースと免除ルールベースの2種類のルールベースをサポートしています。

IDP ポリシールールについて

侵入検出および防止(IDP)ポリシーの各命令は、ルールと呼ばれます。ルールはルールベースで作成されます。

ルールベースは、IDPポリシーを定義するために組み合わされるルールのセットです。ルールは、IDPシステムが攻撃を見つけるためにネットワークトラフィックのどの部分を調べるべきかを指定することにより、検出メカニズムにコンテキストを提供します。ルールが一致した場合、ネットワークトラフィックで攻撃が検知され、そのルールのアクションがトリガーされたことを意味します。IDPシステムは指定されたアクションを実行し、その攻撃からネットワークを保護します。

IDP ポリシールールは、次のコンポーネントで構成されています。

IDP ルール一致条件について

一致条件は、IDPに攻撃を監視するネットワークトラフィックのタイプを指定します。

一致条件では、次の特性を使用して、監視するネットワーク トラフィックの種類を指定します。

  • From-zone および to-zone—すべてのトラフィックが送信元ゾーンから宛先ゾーンに流れます。送信元または宛先のゾーンを選択できます。ゾーンの例外を使用して、デバイスごとに固有の to ゾーンと from ゾーンを指定することもできます。任意のゾーンから発信されるネットワークトラフィックを監視する any を指定します。デフォルト値は any です。

    手記:

    from-zoneany場合に、source-address アドレスと source-except アドレスを指定できます。同様に、to-zone any場合は、destination-address アドレスとdestination-exceptアドレスを指定できます。

  • Source IP address- ネットワーク トラフィックの送信元 IP アドレスを指定します。 any を指定して、任意の IP アドレスから発信されたネットワーク トラフィックを監視できます。 source-except を指定して、指定したアドレス以外のすべてのソースを指定することもできます。デフォルト値は any です。

  • Destination IP address- ネットワーク トラフィックの送信先の宛先 IP アドレスを指定します。これを any に設定すると、任意の IP アドレスに送信されるネットワーク トラフィックを監視できます。 destination-except を指定して、指定したアドレス以外のすべての宛先を指定することもできます。デフォルト値は any です。

  • Application- 宛先 IP アドレスでサポートされているアプリケーション層のプロトコルを指定します。すべてのアプリケーションに any を指定することも、 junos-bgp などのアプリケーションを指定することもできます。ルールの攻撃オブジェクトで設定されたアプリケーションの default を指定して、デフォルトのポートと自動的に検出されたポートを攻撃オブジェクトに含まれるアプリケーションと一致させることができます。

IDP ルール オブジェクトについて

オブジェクトは、ルールに適用できる再利用可能な論理エンティティです。作成した各オブジェクトは、そのオブジェクトの種類のデータベースに追加されます。

IDP ルールには、次のタイプのオブジェクトを設定できます。

ゾーン オブジェクト

ゾーンまたはセキュリティ ゾーンは、1 つ以上のネットワーク インターフェイスの集合です。IDP は、基本システムで設定されたゾーンオブジェクトを使用します。

アドレスまたはネットワーク オブジェクト

アドレスオブジェクトは、ホストマシン、サーバー、サブネットなど、ネットワークのコンポーネントを表します。IDP ポリシールールでアドレスオブジェクトを使用して、保護するネットワークコンポーネントを指定します。

アプリケーション オブジェクトまたはサービス オブジェクト

サービス オブジェクトは、TCP、UDP、RPC、ICMP などのトランスポート層プロトコルを使用するネットワーク サービスを表します。ルールでサービス オブジェクトを使用して、攻撃がネットワークにアクセスするために使用するサービスを指定します。ジュニパーネットワークスは、業界標準のサービスに基づくサービスオブジェクトのデータベースである、定義済みのサービスオブジェクトを提供しています。事前定義されたサービス対象に含まれていないサービス対象を追加する必要がある場合は、カスタムサービス対象を作成できます。IDP では、以下のタイプのサービスオブジェクトがサポートされています。

  • Any- IDP がすべてのトランスポート層プロトコルを照合できるようにします。

  • TCP- 指定された TCP ポートのネットワーク サービスに一致する TCP ポートまたはポート範囲を指定します。すべての TCP ポートのサービスを照合する junos-tcp-any を指定できます。

  • UDP- 指定した UDP ポートのネットワーク サービスに一致する UDP ポートまたはポート範囲を指定します。すべての UDP ポートのサービスを照合する junos-udp-any を指定できます。

  • RPC- リモート プロシージャ コール(Sun Microsystems の RPC)プログラム番号またはプログラム番号範囲を指定します。IDP はこの情報を使用して RPC セッションを識別します。

  • ICMP- ICMP パケットの一部であるタイプとコードを指定します。すべての ICMP サービスに一致する junos-icmp-all を指定できます。

  • default- IDPがデフォルトのプロトコルと自動検出されたプロトコルを、攻撃オブジェクトに含まれるアプリケーションと一致させることができます。

攻撃オブジェクト

IDP攻撃オブジェクトは、既知および未知の攻撃を表します。IDPには、ジュニパーネットワークスが定期的に更新する攻撃対象データベースが含まれています。攻撃オブジェクトは、悪意のあるアクティビティを識別するためにルールで指定されます。各攻撃は、既知の攻撃パターンを表す攻撃オブジェクトとして定義されます。監視対象のネットワークトラフィックでこの既知の攻撃パターンが検出されるたびに、攻撃オブジェクトが照合されます。 表 1 では、攻撃オブジェクトの 3 つの主なタイプについて説明します。

表1: IDP攻撃オブジェクトの説明

攻撃オブジェクト

形容

シグネチャ攻撃オブジェクト

シグネチャ攻撃オブジェクトは、ステートフルな攻撃シグネチャを使用して既知の攻撃を検出します。攻撃シグネチャは、攻撃内に常に存在するパターンです。攻撃が存在する場合は、攻撃シグネチャも存在します。ステートフルシグネチャを使用すると、IDPは攻撃の実行に使用される特定のプロトコルまたはサービス、攻撃の方向と流れ、および攻撃が発生するコンテキストを探すことができます。ステートフル シグネチャでは、攻撃のコンテキストが定義されているため誤検知がほとんど発生せず、攻撃が発生しないネットワーク トラフィックの膨大な部分が排除されます。

プロトコル異常攻撃オブジェクト

プロトコル異常攻撃オブジェクトは、ネットワーク上の異常なアクティビティを特定します。これらは、使用されている特定のプロトコルのルールセットに従って、接続内の異常またはあいまいなメッセージを検出します。プロトコルの異常検知は、ほとんどの場合、RFCと一般的なRFC拡張によって定義されているプロトコル標準からの逸脱を見つけることによって機能します。ほとんどの正当なトラフィックは、確立されたプロトコルに準拠しています。そうでないトラフィックは異常を生成します。これは、侵入防御システム(IPS)の回避など、特定の目的で攻撃者によって作成される可能性があります。

複合攻撃オブジェクト

複合攻撃オブジェクトは、複数のシグネチャやプロトコルの異常を1つのオブジェクトに結合します。トラフィックは、複合攻撃オブジェクトと一致するように、結合されたすべてのシグネチャまたはプロトコル異常に一致する必要があります。シグニチャまたは異常が一致する必要がある順序を指定できます。複合攻撃オブジェクトを使用して、IDPポリシールールを改良し、誤検知を減らし、検出精度を向上させます。複合攻撃オブジェクトを使用すると、IDPがトラフィックを攻撃として識別する前に発生する必要があるイベントを非常に具体的にすることができます。 AndOr、および Ordered and 操作を使用して、複合攻撃内のさまざまな攻撃オブジェクト間の関係、およびイベントが発生する順序を定義できます。

攻撃対象グループ

IDPには、事前定義された多数の攻撃オブジェクトが含まれています。IDPポリシーを整理して管理しやすくするために、攻撃オブジェクトをグループ化できます。攻撃オブジェクト・グループには、異なるタイプの 1 つ以上のアタック・オブジェクトを含めることができます。Junos OSは、次の3種類の攻撃グループをサポートしています。

  • 事前定義された攻撃オブジェクト グループ - シグニチャ データベースに存在するオブジェクトを含みます。定義済みの攻撃オブジェクト グループは、本質的に動的です。たとえば、FTP:マイナーグループは、アプリケーション(FTP)と重大度(マイナー)のすべての攻撃を選択します。重大度が軽度の新しい FTP 攻撃がセキュリティ データベースに持ち込まれると、既定で FTP: マイナー グループに追加されます。

  • 動的攻撃グループ - 特定の一致条件に基づく攻撃オブジェクトが含まれます。たとえば、動的グループには、アプリケーションに関連するすべての攻撃を含めることができます。署名の更新中、動的グループ メンバーシップは、そのグループの一致条件に基づいて自動的に更新されます。

    方向フィルターを使用する動的攻撃グループの場合、除外値で式 and を使用する必要があります。すべてのフィルターの場合と同様に、デフォルトの式は or です。ただし、方向フィルターの場合は and の選択肢があります。

    たとえば、クライアントからサーバーへの方向を持つすべての攻撃を選択する場合は、 set security idp dynamic-attack-group dyn1 filters direction values client-to-server コマンドを使用して方向フィルターを構成します

    チェーン攻撃の場合、複数のメンバーのそれぞれに独自の方向性があります。ポリシーにチェーン攻撃が含まれている場合、クライアントからサーバーへのフィルターは、クライアントからサーバーへのメンバーを方向とするすべてのチェーン攻撃を選択します。つまり、サーバーからサーバーへの方向、または方向が ANY のメンバーを含むチェーン攻撃は、チェーンにクライアントからサーバーへの方向を持つメンバーが少なくとも 1 つある場合に選択されます。

    以下のコマンドを使用して、特定のアタック・オブジェクト・グループ (事前定義、動的、およびカスタム・アタック・グループ) および事前定義アタック・オブジェクトが属するグループに存在するアタック・オブジェクトを表示できます。

    • show security idp attack attack-list attack-group group-name

    • show security idp attack group-list attack-name

    show security idp attack attack-list attack-group group-name コマンドを使用して、次のことを行います。

    • 指定した攻撃グループに存在するすべての攻撃 (カスタム グループ、動的グループ、事前定義グループなど) の一覧を表示します。

    • 事前定義グループ<事前定義グループ名>、動的グループ<動的グループ名>カスタムグループ<カスタムグループ名>などのグループ名を指定して、そのグループ内の攻撃のリストを表示します。

    show security idp attack group-list コマンドを使用して、事前定義された攻撃が属する攻撃グループのリストを表示します。

    手記:

    定義済みのフィルターを持たない定義済みの攻撃グループの場合、そのようなグループは攻撃のメンバーとして表示されません。

    show security idp attack attack-list policy policy-name コマンドを使用して、構成された IDP ポリシーで利用可能な攻撃を表示します。IDP ポリシーが、さまざまな攻撃グループに属する特定の攻撃を含むように設定されている場合、冗長な攻撃名は、IDP ポリシー コマンド出力に攻撃の一部として表示されます。

    以前は、IDP シグネチャの更新では、フィルターで 9 つのタグのみがサポートされていました。7 つのタグは、カテゴリ、方向、誤検知、パフォーマンス、製品、推奨、サービス、重大度、およびベンダーです。IDPシグネチャの更新では、既存の9つのタグに加えて、より高度な動的グループを作成するためのフィルターの下で4つの新しい追加タグがサポートされるようになりました。

    追加のタグは次のとおりです。

    • 共通脆弱性評価システム(CVSS)(0から10までの数値で測定。値は、10 進値を含む実数です。したがって、5.5 などの数値も有効な CVSS スコアです。

    • 攻撃の年齢(年と(0〜100歳)の間の怒りの観点から)。例:年数より大きいか小さい)

    • ファイルの種類 (例: MPEG、MP4、PPT、*.doc など)

    • 脆弱性の種類 (例: バッファー オーバーフロー、インジェクション、解放後使用、クロスサイト スクリプティング (XSS)、リモートコード実行 (RCE) など。

    さらに、既存の製品タグとベンダータグを設定するためのCLIインターフェイスは、よりユーザーフレンドリーになり、設定に使用できる補完が可能になります。

    • ベンダー(Microsoft、Apple、Red Hat、Google、ジュニパー、Cisco、Oracleなど)

    • 製品 (例: Office、Database、Firefox、Chrome、Flash、DirectX、Java、Kerberos など)

    これらのチェーン攻撃がポリシーに追加されないようにするには、動的グループを次のように構成します。

    • set security idp dynamic-attack-group dyn1 filters direction expression and

    • set security idp dynamic-attack-group dyn1 filters direction values client-to-server

    • set security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-client

    • set security idp dynamic-attack-group dyn1 filters direction values exclude-any

  • カスタム攻撃グループ:顧客が定義した攻撃グループが含まれ、CLI を使用して設定できます。これらには、特定の定義済み攻撃、カスタム攻撃、事前定義済み攻撃グループ、または動的攻撃グループを含めることができます。攻撃はグループ内で指定されているため、本質的に静的です。したがって、セキュリティ データベースが更新されても、攻撃グループは変更されません。

Junos リリース 21.2R3 以降、テナントおよび論理システム モードの IPS/除外ルールの下にある、事前定義された攻撃および攻撃グループの IPS ポリシーを表示できます。コマンド、 show security idp attack attack-group-entriesshow security idp attack attack-list、および show security idp attack group-list を使用して、論理システム モードおよびテナント モードで IPS ポリシーを表示します。

IDPルールアクションについて

Actions 監視対象のトラフィックがルールで指定された攻撃オブジェクトと一致した場合にIDPに実行させたいアクションを指定します。

表 2 に、IDP ルールに指定できるアクションを示します。

表 2: IDP ルールの処理

用語

定義

No Action

アクションは実行されません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。

Ignore Connection

攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IDPは、特定の接続のルールベースを無効にします。

手記:

このアクションは、攻撃を無視するという意味ではありません。

Diffserv Marking

示された差別化されたサービスコードポイント(DSCP)値を攻撃のパケットに割り当て、パケットを通常どおりに渡します。

DSCP 値は、攻撃として検出された最初のパケットには適用されず、後続のパケットに適用されることに注意してください。

Drop Packet

一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックを受信できなくなる可能性があります。

手記:

任意のアプリケーションのカスタムシグニチャで定義された非パケットコンテキストを使用してIDPポリシーが設定され、アクションドロップパケットがある場合、IDPが攻撃を特定すると、デコーダーはdrop_packet drop_connectionに昇格させます。DNSプロトコル攻撃では、これは当てはまりません。DNS デコーダーは、攻撃が特定されたときに drop_packet を drop_connection に昇格させません。これにより、DNS 攻撃トラフィックのみがドロップされ、有効な DNS 要求が引き続き処理されます。これにより、有効な TCP DNS 要求の TCP 再送信も回避されます。

Drop Connection

接続に関連付けられているすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。

Close Client

接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。

Close Server

接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。

Close Client and Server

接続を閉じ、RST パケットをクライアントとサーバーの両方に送信します。

Recommended

すべての定義済みアタック オブジェクトには、既定のアクションが関連付けられています。これは、攻撃が検出されたときにジュニパーネットワークスが推奨するアクションです。

手記:

このアクションは、IPS ルールベースでのみサポートされます。

推奨 — ジュニパーネットワークスが深刻な脅威と見なすすべての攻撃対象をカテゴリ別に整理したリスト。

  • 攻撃タイプは、タイプ(異常またはシグネチャ)別にオブジェクトを攻撃します。各タイプ内では、攻撃オブジェクトは重大度によってグループ化されます。

  • カテゴリ グループは、定義済みのカテゴリによってオブジェクトを攻撃します。各カテゴリ内では、攻撃オブジェクトは重大度によってグループ化されます。

  • オペレーティングシステムグループは、適用されるオペレーティングシステム(BSD、Linux、Solaris、またはWindows)によって攻撃オブジェクトをグループ化します。各オペレーティング システム内では、攻撃対象はサービスと重大度によってグループ化されます。

  • 重大度は、攻撃に割り当てられた重大度によって攻撃オブジェクトをグループ化します。IDP には、重大、メジャー、マイナー、警告、および情報の 5 つの重大度レベルがあります。各重大度内で、攻撃オブジェクトはカテゴリ別にグループ化されます。

IDPルールIPアクションについて

IP アクションは、同じ IP アクション属性を使用する将来の接続に適用されるアクションです。たとえば、ルールに IP アクションを構成して、ホスト間のセッションで攻撃が検出された場合に、2 つのホスト間の今後のすべての HTTP セッションをブロックすることができます。または、タイムアウト値を指定して、指定したタイムアウト値内に新しいセッションが開始された場合にのみアクションが適用されるように定義することもできます。IP アクションのデフォルトのタイムアウト値は 0 で、IP アクションがタイムアウトしないことを意味します。

IP アクションは他のアクションと似ています。IDPに接続をドロップまたは閉じるように指示します。ただし、攻撃者の IP アドレスも取得できるため、指定した時間だけ攻撃者をブロックすることを選択できます。攻撃者がネットワークへの接続をすぐに回復できない場合、より簡単なターゲットを攻撃しようとする可能性があります。IP アクションをアクションおよびロギングと組み合わせて使用することで、ネットワークを保護します。

IP アクション属性は、以下のフィールドの組み合わせです。

  • 送信元 IP アドレス

  • 宛先 IP アドレス

  • 宛先ポート

  • 送信元ゾーン

  • 議定書

表 3 は、IDP ルールでサポートされる IP アクションの種類をまとめたものです。

表 3: IDP ルールの IP アクション

用語

定義

Notify

今後のトラフィックに対しては何も行わず、イベントをログに記録します。これがデフォルトです。

Drop/Block Session

IP アクション ルールに一致するセッションのすべてのパケットは、警告なしに破棄されます。

Close Session

この IP アクション ルールに一致する新しいセッションは、RST パケットをクライアントとサーバーに送信することによって閉じられます。

トラフィックが複数のルールに一致する場合、一致したすべてのルールの中で最も重大な IP アクションが適用されます。最も重大な IP アクションはセッションのクローズ アクションで、次の重大度はセッションの削除/ブロック アクション、通知アクションの順です。

手記:

中心点の拡張後、システムには以下の制限があります。

  • 各 SPU の最大アクティブ モード ip-action 数は 600000 エントリに制限されています。この制限に達すると、SPU で新しいアクティブ・モード・ ip-action 項目を作成できなくなります。

  • 各 SPU のすべてのモード(アクティブ モードとパッシブ モード) ip-action の最大数は、1200000 エントリに制限されています。この制限に達すると、SPU で新しいアクティブ・モード ip-action 項目を作成できなくなります。

  • clear ip-action コマンドを実行すると、ip-action項目はリング・メッセージを介して削除されます。CPU 使用率が高い場合、削除された着信メッセージはドロップされ、アクティブ モード ip-actionによって再送信されます。削除プロセスには時間がかかるため、show ip-actionコマンドを実行すると、ip-actionエントリがほとんど表示されません。

中心点拡張が行われていないデバイスでは、アクティブ モード ip-action のみが存在し、最大 ip-action 数は 600000 に制限されます。この制限に達すると、新しいアクティブ モード ip-action エントリを作成できません。

IDP ルール通知について

通知は、アクションの実行時に情報をログに記録する方法を定義します。攻撃が検出されると、攻撃をログに記録し、攻撃情報を含むログレコードを作成し、その情報をログサーバーに送信することを選択できます。

通知を使用すると、各ルールに対して生成されたログに対して特定のアクションを実行するようにログサーバーに指示する次のオプションを構成することもできます。

  • Set Alerts- IDP ポリシーのルールのアラート オプションを指定します。ルールが一致すると、対応するログレコードのログビューアのアラート列にアラートが表示されます。セキュリティ管理者は、アラートを使用して、重要なセキュリティ イベントを認識し、対応します。

  • Set Severity Level- ログ記録の重大度レベルを設定して、ログ記録の整理と表示を改善します。選択した攻撃オブジェクトの既定の重大度設定を使用することも、ルールに特定の重大度を選択することもできます。ルールで構成した重大度は、継承された攻撃重大度を上書きします。重大度レベルは、次のレベルに設定できます。

    • 情報—2

    • 警告—3

    • マイナー—4

    • 専攻—5

    • クリティカル—7

例:IDPルールベースへのルールの挿入

この例では、IDP ルールベースにルールを挿入する方法を示します。

必要条件

始める前に:

概要

IDPルール一致アルゴリズムは、ルールベースの一番上から開始し、指定された一致条件に一致するルールベース内のすべてのルールに対してトラフィックをチェックします。ルールをネットワーク トラフィックに適用する順序は、ルールを目的の順序に並べて決定します。ルールベースにルールを追加すると、既存のルールリストの最後に配置されます。ルールベースの末尾以外の場所にルールを配置するには、ルールベースの目的の場所にルールを insert します。この例では、base-policy と呼ばれるポリシーの IDP IPS ルールベースで、ルール R2 をルール R1 の前に配置します。

構成

プロシージャ

手順

ルールベースにルールを挿入するには:

  1. ルールを評価する順序に基づいて、ルールベース内でのルールの位置を定義します。

  2. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 show security idp status コマンドを入力します。

例: IDPルールベースでのルールの非アクティブ化およびアクティブ化

この例では、ルールベースでルールを非アクティブ化およびアクティブ化する方法を示しています。

必要条件

始める前に:

概要

ルールベースでは、 deactivate および activate コマンドを使用してルールを無効化および有効化できます。 deactivate コマンドは、指定されたステートメントを設定からコメントアウトします。非アクティブ化されたルールは、 commit コマンドを発行しても有効になりません。 activate コマンドは、指定されたステートメントを設定に戻します。アクティブ化されたルールは、次に commit コマンドを発行したときに有効になります。この例では、base-policy と呼ばれるポリシーに関連付けられた IDP IPS ルールベースで、ルール R2 を非アクティブ化および再アクティブ化する方法を示します。

構成

プロシージャ

手順

ルールベース内のルールを非アクティブ化およびアクティブ化するには:

  1. 非アクティブ化するルールを指定します。

  2. ルールをアクティブにします。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 show security idp status コマンドを入力します。

IDPアプリケーションレベルDDoSルールベースの理解

アプリケーションレベルのDDoSルールベースは、DNSやHTTPなどのサーバーをアプリケーションレベルの分散型サービス拒否(DDoS)攻撃から保護するために使用されるパラメーターを定義します。通常のサーバーアクティビティ要求に基づいてカスタムアプリケーションメトリックを設定し、クライアントを攻撃クライアントと見なすタイミングを決定できます。次に、アプリケーションレベルの DDoS ルールベースを使用して、監視する必要があるトラフィックの送信元一致条件を定義し、定義されたアクション(サーバーを閉じる、接続をドロップする、パケットをドロップする、またはアクションなし)を実行します。また、IP アクション(ip-block、ip-close、ip-notify、ip-connection-rate-limit、またはタイムアウト)を実行することもできます。 表 4 は、アプリケーションレベルの DDoS ルールベースルールで構成できるオプションを要約したものです。

表 4: アプリケーション レベルの DDoS ルールベース コンポーネント

用語

定義

Match condition

デバイスで攻撃を監視するネットワーク トラフィックを指定します。

Action

監視対象トラフィックがアプリケーションレベルの DDoS ルールで指定されたアプリケーション DDos オブジェクトと一致した場合に、侵入検出および防止(IDP)が実行するアクションを指定します。

IP Action

送信元アドレスを暗黙的にブロックして、正当なトラフィックを許可しながら、将来の侵入からネットワークを保護することができます。アプリケーション レベルの DDoS では、IP アクション オプションの 1 つを構成できます: ip-block、ip-close、ip-notify、ip-connection-rate-limit。

IDP IPS ルールベースの理解

侵入防御システム(IPS)ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検知することにより、ネットワークを攻撃から保護します。ステートフルシグネチャとプロトコルの異常に基づいて攻撃を検知します。 表 5 は、IPS ルールベースルールで設定できるオプションをまとめたものです。

表 5: IPS ルールベース コンポーネント

用語

定義

Match condition

デバイスで攻撃を監視するネットワーク トラフィックの種類を指定します。一致条件の詳細については、 IDPポリシールールについてを参照してください。

Attack objects/groups

監視対象のネットワーク トラフィックでデバイスを一致させる攻撃を指定します。各攻撃は、既知の攻撃パターンを表す攻撃オブジェクトとして定義されます。攻撃オブジェクトの詳細については、 IDPポリシールールについてを参照してください。

Terminal flag

端末ルールを指定します。デバイスは、端末ルールに一致すると、セッションのルールの一致を停止します。ターミナルルールの詳細については、 IDPターミナルルールについて を参照してください。

Action

監視対象のトラフィックがルールで指定された攻撃オブジェクトと一致した場合にシステムが実行するアクションを指定します。攻撃によって複数のルールアクションがトリガーされた場合、それらのルールの中で最も重大なアクションが実行されます。アクションの詳細については、「 IDP ポリシールールについて」を参照してください。

IP Action

正当なトラフィックを許可しながら、将来の侵入からネットワークを保護することができます。IPS ルールベースで、通知、ドロップ、またはクローズのいずれかの IP アクション オプションを設定できます。IP アクションの詳細については、「 IDP ポリシールールについて」を参照してください。

Notification

アクションの実行時に情報をログに記録する方法を定義します。攻撃をログに記録し、攻撃情報を含むログ・レコードを作成し、ログ・サーバーに情報を送信することを選択できます。詳細については、「 IDP ポリシールールについて」を参照してください。

例:IDP IPS ルールベースのルールの定義

この例では、IDP IPSルールベースのルールを定義する方法を示します。

必要条件

始める前に:

手記:

事前定義された攻撃でIDPカスタムポリシーを使用するには、署名データベースをデバイスにダウンロードする必要があります。

詳細については、 例:IDP 署名データベースの手動更新を参照してください。

概要

各ルールは、一致条件、オブジェクト、アクション、通知で構成されます。IDP ルールを定義するときは、IDP が攻撃を監視するネットワーク トラフィックの種類を、送信元ゾーン、宛先ゾーン、送信元 IP アドレス、宛先 IP アドレス、および宛先 IP アドレスでサポートされているアプリケーション層プロトコルの特性を使用して指定する必要があります。ルールはルールベースで定義され、ルールベースはポリシーに関連付けられます。

この例では、base-policy というポリシーを作成し、このポリシーのルールベースを指定して、このルールベースにルール R1 を追加する方法について説明します。この例では、ルール R1:

  • 一致条件を指定して、以前に設定された trust というゾーンから、以前に設定された別のゾーン untrust へのトラフィックを含めます。一致条件には、定義済みの攻撃グループ [重大 - TELNET] も含まれます。一致条件のアプリケーション設定は default で、攻撃オブジェクトで構成されているすべてのアプリケーションと一致します。

  • ルール R1 の条件に一致するすべてのトラフィックの接続をドロップするアクションを指定します。

  • 攻撃ログを有効にし、警告フラグを攻撃ログに追加することを指定します。

  • 重大度レベルを critical に指定します。

ルールを定義した後、デバイスのアクティブポリシーとして基本ポリシーを指定します。

構成

プロシージャ

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

IDP IPSルールベースのルールを定義するには:

  1. わかりやすい名前を割り当ててポリシーを作成します。

  2. ルールベースをポリシーに関連付けます。

  3. ルールベースにルールを追加します。

  4. ルールの一致条件を定義します。

  5. 攻撃を一致条件として定義します。

  6. ルールのアクションを指定します。

  7. ルールの通知とログのオプションを指定します。

  8. ルールの重大度レベルを設定します。

  9. ポリシーをアクティブ化します。

業績

設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

設定の確認

目的

IDP IPSルールベース設定のルールが正しいことを確認します。

アクション

動作モードから、 show security idp status コマンドを入力します。

IDP免除ルールベースの理解

免除ルールベースは侵入防御システム(IPS)ルールベースと連携して、不要なアラームが生成されないようにします。このルールベースにルールを設定して、既知の誤検知を除外したり、特定の送信元、宛先、または送信元と宛先のペアをIPSルールの一致から除外したりします。トラフィックが IPS ルールベースのルールに一致する場合、システムは指定されたアクションを実行する前に、除外ルールベースに対してトラフィックのマッチングを試みます。除外ルールベースにルールを慎重に記述することで、IPSルールベースによって生成される誤検知の数を大幅に減らすことができます。

以下の条件で免除ルールベースを設定します。

  • IDP ルールが、誤検知または無関係なログ・レコードを生成する 1 つ以上のアタック・オブジェクトを含むアタック・オブジェクト・グループを使用する場合。

  • 特定の送信元、送信先、または送信元と送信先のペアを IDP ルールの一致から除外する場合。これにより、IDPが不要なアラームを生成するのを防ぎます。

手記:

除外ルールベースを設定する前に、必ずIPSルールベースを設定してください。

表 6 は、免除ルール基本ルールで設定できるオプションをまとめたものです。

表 6: 除外ルールベースオプション

用語

定義

Match condition

IPS ルールベースと同様の方法で、デバイスで攻撃を監視するネットワーク トラフィックのタイプを指定します。ただし、除外ルールベースでは、アプリケーションを構成することはできません。常に any に設定されます。

Attack objects/groups

監視対象のネットワーク トラフィックでデバイスを一致させる not する攻撃オブジェクトを指定します。

例:IDP免除ルールベースのルールの定義

この例では、免除されたIDPルールベースのルールを定義する方法を示します。

必要条件

開始する前に、IDP IPSルールベースにルールを作成します。 例:IDP IPSルールベースのルールの定義を参照してください。

概要

除外ルールを作成するときは、以下を指定する必要があります。

  • 除外するトラフィックの送信元と宛先。送信元または宛先を Any に設定して、任意の送信元から発信されたネットワークトラフィックや任意の宛先に送信されたネットワークトラフィックを除外できます。また、 source-except または destination-except を設定して、指定した送信元または宛先アドレスを除くすべての送信元または送信先を指定することもできます。

    手記:

    from-zoneanyされたときに、source-address アドレスと source-except アドレスを指定できるようになりました。同様に、to-zoneany場合は、destination-address アドレスとdestination-exceptアドレスを指定できます。

  • 指定された送信元/宛先アドレスに対してIDPを除外する攻撃。除外ルールには、少なくとも 1 つの攻撃オブジェクトを含める必要があります。

この例は、IDP ポリシーが内部ネットワークでの攻撃 FTP:USER:ROOT に対して誤検知を生成することを示しています。ソース IP が内部ネットワークからのものである場合に、この攻撃の攻撃検出を除外するようにルールを構成します。

構成

プロシージャ

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

除外IDPルールベースのルールを定義するには:

  1. ルールベースを定義して除外するIDP IPSルールベースを指定します。

  2. 除外ルールベースをポリシーおよびゾーンに関連付け、ルールベースにルールを追加します。

  3. ルールベースの送信元アドレスと宛先アドレスを指定します。

  4. 攻撃検出から除外する攻撃を指定します。

  5. ポリシーをアクティブ化します。

業績

設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

設定の確認

目的

定義されたルールがIDPルールベース構成から除外されていることを確認します。

アクション

動作モードから、 show security idp status コマンドを入力します。

IDPターミナルルールを理解する

侵入検出および防止(IDP)ルール照合アルゴリズムは、ルールベースの最上位から開始し、送信元、宛先、およびサービスに一致するルールベースのすべてのルールと照合してトラフィックをチェックします。ただし、ルールを ターミナルとして設定することはできます。終了規則は、このアルゴリズムの例外です。送信元、宛先、ゾーン、およびアプリケーションのターミナルルールで一致が検出された場合、IDPは同じ送信元、宛先、およびアプリケーションの後続のルールのチェックを続行しません。トラフィックが一致ルールの攻撃オブジェクトと一致するかどうかは関係ありません。

終了規則は、以下の目的で使用できます。

  • 同じ送信元と送信先に対して異なる攻撃に対して異なるアクションを設定すること。

  • 既知の信頼できる送信元から発信されたトラフィックを無視する。通常、アクションはこのタイプの端末ルールに対して None されます。

  • 特定の攻撃に対してのみ脆弱なサーバーに送信されるトラフィックを無視すること。通常、アクションはこのタイプの終了ルールに対して Drop Connection されます。

端末ルールを定義するときは注意してください。不適切なターミナルルールは、ネットワークを攻撃に対してオープンなままにする可能性があります。トラフィックが端末ルールの攻撃対象と一致しない場合でも、端末ルールの送信元、宛先、およびアプリケーションに一致するトラフィックは、後続のルールと比較されないことに注意してください。ターミナル ルールは、1 つの特定の攻撃オブジェクトのセットについて特定の種類のトラフィックを調べる場合にのみ使用します。送信元と送信先の両方に any を使用するターミナルルールには特に注意してください。ターミナルルールは、同じトラフィックに一致する他のルールの前に、ルールベースの上部近くに表示する必要があります。

例: ルールベースでの端末ルールの設定

この例では、ターミナル ルールを構成する方法を示します。

必要条件

始める前に:

概要

デフォルトでは、IDPルールベースのルールはターミナルではありません。つまり、IDPはルールベース内のすべてのルールを調べて、すべての一致を実行します。ルールがターミナルであることを指定できます。つまり、IDPがターミナルルールで指定された送信元、宛先、およびサービスの一致を検出した場合、その接続の後続のルールは調べません。

この例では、ターミナル ルールを構成する方法を示します。ルール R2 を定義して、トラフィックの送信元 IP が社内の既知の信頼できるネットワークから発信された場合に、一致アルゴリズムを終了します。このルールが一致すると、IDPは信頼できるネットワークからのトラフィックを無視し、悪意のあるデータのセッションを監視しません。

構成

プロシージャ

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

ターミナルルールを設定するには:

  1. IDP ポリシーを作成します。

  2. ルールを定義し、その一致条件を設定します。

  3. ルールのターミナルフラグを設定します。

  4. 攻撃検出から除外する攻撃を指定します。

  5. ルールのアクションを指定します。

業績

設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

設定の確認

目的

端末ルールが正しく構成されていることを確認します。

アクション

動作モードから、 show security idp status コマンドを入力します。

IDP ポリシーでの DSCP ルールについて

差別化されたサービス コード ポイント(DSCP)は、IP パケット ヘッダーで定義された 6 ビット フィールドにエンコードされた整数値です。これは、サービスクラス(CoS)の区別を適用するために使用されます。CoSでは、デフォルトのパケット転送動作を上書きし、特定のトラフィックフローにサービスレベルを割り当てることができます。

DSCP 値を IDP ポリシー ルールのアクションとして設定できます。まず、IDP ポリシーで一致条件を定義してトラフィックを定義し、それに DiffServ マーキング アクションを関連付けます。DSCP値に基づいて、動作集約分類子は、トラフィックが受ける転送処理を決定するトラフィックの転送クラスと損失優先度を設定します。

IDP ポリシー ルールに一致するすべてのパケットの IP ヘッダー内の CoS フィールドが、一致するポリシーで指定された DSCP 値で書き換えられます。トラフィックが異なる DSCP 値を持つ複数のルールに一致する場合、最初に一致した IDP ルールが有効になり、この IDP ルールがそのセッションのすべてのトラフィックに適用されます。

例:IDP ポリシーでの DSCP ルールの設定

次に、IDP ポリシーで DSCP 値を設定する例を示します。

必要条件

始める前に:

  • ネットワーク インターフェイスを構成する

  • セキュリティポリシーでIDPアプリケーションサービスを有効にする

  • セキュリティ ゾーンの作成

  • ルールの定義

概要

IDP ポリシーで DSCP 値を設定することで、ネットワーク上のさまざまなタイプのトラフィックに CoS 値(つまり、さまざまなレベルの信頼性)を関連付ける方法が提供されます。

この例では、policy1 というポリシーを作成し、このポリシーのルールベースを指定して、このルールベースにルール R1 を追加する方法を示しています。この例では、ルール R1:

  • 以前に設定された trust というゾーンから、以前に設定された untrust というゾーンへのトラフィックを含めるための一致条件を指定します。一致条件には、HTTP - 重大と呼ばれる定義済みの攻撃グループも含まれます。一致条件のアプリケーション設定はデフォルトとして指定され、攻撃オブジェクトで設定されたすべてのアプリケーションと一致します。

  • ルール R1 の基準に一致するすべてのトラフィックについて、IP ヘッダーの CoS フィールドを DSCP 値 50 で書き換えるアクションを指定します。

    手記:

    コマンド show security idp attack attack-list recursive predefined-group "HTTP - Critical" を使用して、事前定義されたグループ「HTTP - Critical」に含まれる内容の詳細を確認します。

構成

プロシージャ

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

IDP ポリシーで DSCP 値を設定するには、次の手順を実行します。

  1. わかりやすい名前を割り当ててポリシーを作成します。

  2. ルールベースをポリシーに関連付けます。

  3. ルールベースにルールを追加します。

  4. ルールの一致条件を定義します。

  5. ルールのアクションを指定します。

  6. 必要に応じて、ルールの通知オプションまたはログ オプションを引き続き指定します。

  7. ポリシーをアクティブ化します。

業績

設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

設定の確認

目的

DSCP 値が IDP ポリシーで設定されていることを確認します。

アクション

動作モードから、 show security idp status コマンドを入力します。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

解放
形容
18.2R1
以前は、IDP シグネチャの更新では、フィルターで 9 つのタグのみがサポートされていました。7 つのタグは、カテゴリ、方向、誤検知、パフォーマンス、製品、推奨、サービス、重大度、およびベンダーです。IDPシグネチャの更新では、既存の9つのタグに加えて、より高度な動的グループを作成するためのフィルターの下で4つの新しい追加タグがサポートされるようになりました。