IDP センサーの構成
IDP 署名データベースを使用してアプリケーション シグネチャを作成することはできませんが、センサー設定を構成して、アプリケーション識別を実行するセッションの数を制限したり、アプリケーション識別のメモリ使用量を制限したりできます。
詳細については、次のトピックを参照してください。
IDP センサーの構成設定について
センサー構成オプションは、次の目的で使用されます。
IDP セッションの容量とメモリの制限に近づいたときに、実行条件をログに記録します。
制限を超えたときにIDPとアプリケーション識別によってドロップされたトラフィックを分析します。
IDP 署名データベースを使用してアプリケーション シグネチャを作成することはできませんが、センサー設定を構成して、アプリケーション識別を実行するセッションの数を制限したり、アプリケーション識別のメモリ使用量を制限したりできます。
1 つの TCP または UDP セッションのアプリケーション識別用のパケットを保存するために使用できるメモリの最大バイト数を設定できます。また、アプリケーションを識別するためにグローバル メモリ使用量の制限を構成することもできます。システムがセッションに指定されたメモリ制限に達すると、セッションのアプリケーション識別が無効になります。ただし、IDPは引き続きパターンと一致します。一致したアプリケーションはキャッシュに保存され、次のセッションで使用できるようになります。これにより、クライアントからサーバーへの大きなパケットを意図的に送信してアプリケーション識別をバイパスしようとする攻撃者からシステムを保護します。
max-tcp-session-packet-memory- IDP アプリケーション識別サービスのメモリとセッションの制限を設定するには、 set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 コマンドを実行します。
memory-limit-percent- IDP 割り当てに使用できる、システムで使用可能なデータ プレーンのメモリ制限の割合を設定するには、 set security idp sensor-configuration global memory-limit-percent コマンドを実行します。サポートされるパーセント値は 10 から 90 です。
drop-if-no-policy-loaded- 起動時に、IDP ポリシーがまだロードされていない場合、トラフィックはデフォルトで IDP によって無視されます。
drop-if-no-policy-loadedオプションはこの動作を変更し、IDP ポリシーがロードされる前にすべてのセッションがドロップされるようにします。次の
show security idp counters flowコマンド出力のカウンターは、drop-if-no-policy-loadedオプションが原因でドロップされたトラフィックを分析します。Sessions dropped due to no policy 0
drop-on-failover- デフォルトでは、IDPはSRXシリーズのシャーシクラスタ導入におけるフェイルオーバーセッションを無視します。
drop-on-failoverオプションはこの動作を変更し、セカンダリ ノードへのフェールオーバーが発生したときに、プライマリ ノードで検査中のセッションを自動的にドロップします。show security idp counters flowコマンド出力の次のカウンターは、drop-on-failoverオプションが原因でドロップされたフェールオーバー トラフィックを分析します。Fail-over sessions dropped 0
drop-on-limit- デフォルトでは、IDP セッション制限またはリソース制限を超えても、セッションはドロップされません。この場合、IDP およびその他のセッションは、デバイスのセッション容量またはリソースが使い果たされた場合にのみドロップされます。
drop-on-limitオプションはこの動作を変更し、リソース制限を超えたときにセッションをドロップします。show security idp counters flowコマンド出力の以下のカウンターは、drop-on-limitオプションが原因でドロップされた IDP トラフィックを分析します。SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 SM Sessions dropped 0 Both directions flows ignored 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0
show security idp counters application-identificationコマンド出力の以下のカウンターは、drop-on-limitオプションによってドロップされたアプリケーション識別トラフィックを分析します。AI-session dropped due to malloc failure before session create 0 AI-Sessions dropped due to malloc failure after create 0 AI-Packets received on sessions marked for drop due to malloc failure 0
次のオプションは、現在の実行条件に関する情報ログメッセージをトリガーするために使用されます。設定すると、
drop-on-limitオプションが設定されているかどうかに関係なく、ログメッセージがトリガーされます。max-sessions-offset-
max-sessions-offsetオプションは、IDP セッションの最大制限のオフセットを設定します。IDP セッションの数が最大セッション制限を超えると、IDP セッションをドロップできる条件が存在することを示す警告がログに記録されます。IDP セッションの数が、最大IDP セッション制限からオフセット値を引いた値を下回ると、条件が正常に戻ったことを示すメッセージがログに記録されます。Jul 19 04:38:13 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374233893, FPC 4 PIC 1 IDP total sessions pass through high mark 100000. IDP may drop new sessions. Total sessions dropped 0. Jul 19 04:38:21 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374233901, FPC 4 PIC 1 IDP total sessions drop below low mark 99000. IDP working in normal mode. Total sessions dropped 24373.
min-objcache-limit-lt- [
min-objcache-limit-lt] オプションは、使用可能なキャッシュ メモリの閾値を低く設定します。しきい値は、使用可能な IDP キャッシュ メモリの割合として表されます。使用可能なキャッシュ メモリが下限しきい値レベルを下回ると、メモリ割り当てエラーのために IDP セッションがドロップされる可能性がある状態が存在することを示すメッセージがログに記録されます。たとえば、次のメッセージは、IDP キャッシュ メモリが下限しきい値を下回り、多数のセッションがドロップされたことを示しています。Jul 19 04:07:33 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374232053, FPC 4 PIC 1 IDP total available objcache(used 4253368304, limit 7247757312) drops below low mark 3986266515. IDP may drop new sessions. Total sessions dropped 1002593.
min-objcache-limit-ut- [
min-objcache-limit-ut] オプションは、使用可能なキャッシュ メモリの上限しきい値を設定します。しきい値は、使用可能な IDP キャッシュ メモリの割合として表されます。使用可能な IDP キャッシュ メモリが上限しきい値レベルに戻ると、使用可能なキャッシュ メモリが正常に戻ったことを示すメッセージがログに記録されます。たとえば、次のメッセージは、使用可能な IDP キャッシュ メモリが上限しきい値を超えて増加し、正常に動作していることを示しています。Jul 19 04:13:47 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374232428, FPC 4 PIC 1 IDP total available objcache(used 2782950560, limit 7247757312) increases above high mark 4348654380. IDP working in normal mode. Total sessions dropped 13424632.
手記:このメッセージは、下限しきい値に達し、使用可能なメモリーが上限しきい値を超えた場合にのみトリガーされます。使用可能なメモリの変動が上限しきい値を下回ったが、下限しきい値を下回らなかった場合、メッセージはトリガーされません。
Junos OSリリース12.3X48-D10およびJunos OSリリース17.3R1以降、IDPインテリジェントバイパス機能がSRXシリーズでサポートされています。
デフォルト設定では、IDPはCPU使用率に関係なく、新規および既存のセッションの検査を試みます。これにより、CPU 使用率の高いイベント中に、システム全体でパケットのドロップ、遅延、および不安定性が発生する可能性があります。予期しない IDP パケット処理動作を克服するために、IDP インテリジェントバイパス機能を有効にすることができます。この機能により、IDPをバイパスしたり、システムのCPU使用率が高いレベル(別名「Failing Open」(パケットを許可)または「Failing Closed」(パケットのドロップ))に達したときにパケットをドロップしたりする柔軟性が得られます。デフォルトでは、IDPインテリジェントバイパス機能は有効になっていません。次のオプションは、IDP インテリジェント バイパス機能を設定するために使用されます。
idp-bypass-cpu-usage-overload— デフォルトでは、IDPは使用可能なCPUの100%を消費し、すべてのセッションのパケットを誤ってドロップし始める可能性があります。システム CPU 使用率が高いしきい値に達したときに IDP パケット処理の動作を処理するには、IDP インテリジェント バイパス機能を有効にします。IDPインテリジェントバイパス機能を有効にするには、
set security idp sensor-configuration flow idp-bypass-cpu-overloadコマンドを発行します。デフォルトでは、IDPインテリジェントバイパス機能は有効になっていません。idp-bypass-cpu-threshold— IDPは、CPU使用率が定義されたしきい値に達すると、新しいセッションの検査を停止します。デフォルトのしきい値 CPU 使用率の値は 85% です。CPU 使用率がしきい値に達すると、IDP は CPU 使用率が下限しきい値を下回るまで新しいセッションをバイパスし続けます。または、CPU 使用率が下限しきい値を下回るまで IDP が新しいセッションをドロップする
drop-on-limitを設定した場合。しきい値を設定するには、set security idp sensor-configuration flow idp-bypass-cpu-thresholdコマンドを発行します。しきい値は 0 から 99 の範囲で設定できます。このしきい値はパーセンテージで表されます。idp-bypass-cpu-tolerance— 許容値を設定するには、
set security idp sensor-configuration flow idp-bypass-cpu-toleranceコマンドを発行します。許容値は 1 から 99 の範囲で設定できます。デフォルトの許容値は 5 です。この許容値はパーセンテージで表されます。
CPU の上限と下限のしきい値は、次の式を使用して計算できます。
CPU の上限しきい値 = CPU しきい値 + CPU 許容値。
CPU 下限しきい値 = CPU しきい値 - CPU 許容値。
時のIDPパケット処理動作の理解
システムの CPU 使用率がしきい値を超えると、IDP は新しいセッションの検査を停止しますが、既存のセッションの検査は続行します。この状態で drop-on-limit が設定されている場合、IDPは新しいセッションのドロップを開始します。新しいセッションがドロップされたことを示すために、ログ メッセージがトリガーされます。たとえば、次のメッセージは、IDP の CPU 使用率がしきい値を超えたため、IDP が新しいセッションをドロップする可能性があることを示しています。
FPC 0 PIC 1 IDP CPU usage 86 crossed threshold value 85. IDP may drop new sessions. Total sessions dropped 2
システム CPU 使用率が上限しきい値を超えると、IDP は既存セッションと新規セッションのパケットの検査を停止します。この状態では、パケットは IDP インスペクションを通過できません。 drop-on-limit が設定されている場合、IDP はすべてのセッションをドロップします。すべてのセッションがドロップされたことを示すために、ログ メッセージがトリガーされます。たとえば、次のメッセージは、IDP CPU 使用率が上限しきい値を超えたことを示し、IDP は既存セッションと新規セッションのパケットの検査を停止します。
FPC 0 PIC 1 IDP CPU usage 92 crossed upper threshold value 90. IDP may drop packets of existing sessions as well as new sessions. Total sessions dropped 21
システムの CPU 使用率が下限しきい値を下回ると、IDP は新しいセッションの検査を開始し、通常モードに戻ります。IDP は、破棄された既存のセッションを検査しません。IDPが新しいセッションの検査を開始し、通常モードに戻ったことを示すログメッセージがトリガーされます。たとえば、次のメッセージは、IDP の CPU 使用率が下限しきい値を下回り、IDP が通常モードに戻ることを示しています。
FPC 0 PIC 1 IDP CPU usage 75 dropped below lower threshold value 80. IDP working in normal mode. Total sessions dropped 25
IDP保護モード
IDP保護モードは、デバイス内のトラフィックを効率的に検査するために検査パラメーターを調整します。IDP保護モードを有効にするには、[edit security idp sensor-configuration]階層レベルでsecurity-configuration protection-mode modeコマンドを発行します。
user@host#set security-configuration protection-mode mode
IDP保護には4つのモードがあります。
すべてのIDP保護モードは、CTS(クライアントからサーバーへ)トラフィックを検査します。
モード |
形容 |
|---|---|
ペリメータフル |
すべての STC(サーバーからクライアントへ)トラフィックを検査します。 最適化を行わずに TCP エラーを処理します。
手記:
これはデフォルトのモードです。 |
周囲長 |
すべての STC トラフィックを検査します。 TCP エラーを最適化して処理します。TCP パケットの場合、SYN がウィンドウで受信され、TCP エラー フラグが設定されている場合は、TCP エラーを処理し、適切なアクションを実行します。現在のパケットをドロップし、セッション全体のインスペクションを無視します。 |
データセンター全体 |
すべての STC トラフィック インスペクションをディセーブルにします。 最適化を行わずに TCP エラーを処理します。
手記:
Datacenter-Fullは、SRXシリーズファイアウォールが、応答トラフィックが分析に関心がないとみなされるサーバーの保護のみを行う状況で使用できます。Datacenter-Fullは、SRXシリーズファイアウォールがクライアントの保護を担当している場合には使用しないでください。 |
データセンター |
すべての STC トラフィック インスペクションをディセーブルにします。 TCP エラーを最適化して処理します。TCP パケットの場合、SYN がウィンドウで受信され、TCP エラー フラグが設定されている場合は、TCP エラーを処理し、適切なアクションを実行します。現在のパケットをドロップし、セッション全体のインスペクションを無視します。 データセンターの構成は、バランスの取れた保護とパフォーマンスを提供するように最適化されています。 |
関連項目
例:IDP センサー設定オプションによるロギングとトラフィック分析の改善
この例では、IDP センサー設定オプションを設定することで、ロギングとトラフィック分析を改善する方法を示します。たとえば、IDP 署名データベースを使用してアプリケーション シグネチャを作成することはできませんが、センサー設定を構成して、アプリケーション識別を実行するセッションの数を制限し、そのメモリ使用量を制限することができます。さらに、これらのオプションを使用して、IDP セッション容量とメモリ制限に近づいたときに実行条件をログに記録し、これらの制限を超えた場合に IDP によってドロップされたトラフィックとアプリケーション ID を分析できます。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
署名データベースをダウンロードします。 例:IDP 署名データベースの手動更新を参照してください。アプリケーション シグネチャは、ジュニパーネットワークスが提供するセキュリティ パッケージの一部として利用できます。定義済みのアプリケーション シグネチャは、セキュリティ パッケージの更新プログラムと共にダウンロードします。
概要
IDPセンサーはネットワークを監視し、IDPルールベースで定義された特定のルールに基づいて、疑わしいネットワークトラフィックや異常なネットワークトラフィックを検出します。プロトコルまたはアプリケーションに基づいて、攻撃オブジェクトをトラフィックに適用します。アプリケーション シグネチャを使用すると、センサーは非標準ポートで実行されている既知および未知のアプリケーションを識別し、正しい攻撃オブジェクトを適用できます。
IDPのデフォルトの動作では、次の場合にセッションが無視されます。
IDP ポリシーがデバイスで設定されていません
リソース制限 (メモリーまたはアクティブ・セッション) に達した
シャーシクラスタの場合、フェイルオーバーセッション用
トラフィックの可用性がセキュリティよりも重要であると考えられる場合は、上記のIDPのデフォルト動作を引き続き使用することをお勧めします。ただし、セキュリティが可用性よりも重要であると考えられる場合は、この例で提供されている構成でデフォルトの動作を変更することをお勧めします。
この例から、次のことを実現できます。
IDP 署名データベースを使用してアプリケーション シグネチャを作成することはできませんが、センサー設定を構成して、アプリケーション識別を実行するセッションの数を制限し、アプリケーション識別のメモリ使用量を制限することもできます。1 つの TCP または UDP セッションのアプリケーション識別用のパケットを保存するために使用できるメモリの最大バイト数を設定できます。また、アプリケーションを識別するためにグローバル メモリ使用量の制限を構成することもできます。システムがセッションに指定されたメモリ制限に達すると、セッションのアプリケーション識別が無効になります。
デフォルトでは、SRXシリーズのシャーシクラスター導入でセカンダリノードへのフェイルオーバーが発生した場合、IDPはプライマリノードで検査中のフェイルオーバーセッションを無視します。この例では、これらのセッションが自動的にドロップされ、無視されるのではなく、それぞれのカウンターでキャプチャされるように指定します。セカンダリ ノードでフェールオーバーが発生したときにドロップされたセッションを監視および分析できます。
デフォルトでは、IDP セッション制限またはリソース制限を超えても、セッションはドロップされません。この例では、IDP セッション制限またはリソース制限を超えた場合に、セッションが削除され、ロギングが追加されることを指定します。最大IDPセッション制限には、最大セッションオフセット制限値を設定できます。IDP セッションの数がその値を超えると、IDP セッションがドロップされる可能性がある条件が存在することを示す警告がログに記録されます。IDP セッションの数が、最大IDP セッション制限からオフセット値を引いた値を下回ると、条件が正常に戻ったことを示すメッセージがログに記録されます。
使用可能なキャッシュ メモリの下限しきい値を指定できます。使用可能なキャッシュ メモリが下限しきい値レベルを下回ると、メモリ割り当てエラーのために IDP セッションがドロップされる可能性がある状態が存在することを示すメッセージがログに記録されます。このログを使用すると、ドロップされたセッションの数を制御でき、これらのドロップされたセッションは後で分析して処理を検討できます。
同様に、使用可能なキャッシュ メモリの上限しきい値を指定できます。使用可能な IDP キャッシュ メモリが上限しきい値レベルに戻ると、使用可能なキャッシュ メモリが正常に戻ったことを示すメッセージがログに記録されます。このログを使用すると、ドロップされたセッションの数を制御でき、これらのドロップされたセッションは後で分析して処理を検討できます。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 set security idp sensor-configuration flow drop-if-no-policy-loaded set security idp sensor-configuration flow drop-on-failover set security idp sensor-configuration flow drop-on-limit set security idp sensor-configuration flow max-sessions-offset 5 set security idp sensor-configuration flow min-objcache-limit-lt 21 set security idp sensor-configuration flow min-objcache-limit-ut 56
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
IDP センサーの構成オプションを設定するには:
アプリケーション識別のメモリ制限を指定します。
[edit security idp sensor-configuration] user@host# set application-identification max-tcp-session-packet-memory 5000
IDP ポリシーがロードされる前にトラフィックがドロップされることを指定します。
[edit security idp sensor-configuration flow] user@host# set drop-if-no-policy-loaded
SRXシリーズ シャーシ クラスタ展開のフェールオーバー セッションが削除されることを指定します。
[edit security idp sensor-configuration flow] user@host# set drop-on-failover
リソース制限を超えたときにセッションをドロップすることを指定します。
[edit security idp sensor-configuration flow] user@host# set drop-on-limit
手記:リソース制限を超えたときにセッションをドロップしたくない場合は、
delete drop-on-limitコマンドを実行します。最大IDPセッション制限のオフセット値を設定します。
[edit ssecurity idp sensor-configuration flow] user@host# set max-sessions-offset 5
使用可能なキャッシュ メモリのしきい値を低く設定します。
[edit security idp sensor-configuration flow] user@host# set min-objcache-limit-lt 21
使用可能なキャッシュ メモリの上限しきい値を設定します。
[edit security idp sensor-configuration flow] user@host# set min-objcache-limit-ut 56
業績
設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
sensor-configuration {
application-identification {
max-tcp-session-packet-memory 5000;
}
flow {
drop-on-limit;
drop-on-failover;
drop-if-no-policy-loaded;
max-sessions-offset 5;
min-objcache-limit-lt 21;
min-objcache-limit-ut 56;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
IDPセンサー構成設定の確認
目的
IDP センサーの構成設定を確認します。
アクション
動作モードから、 show security idp sensor-configuration コマンドを入力します。
user@host> show security idp sensor-configuration
application-identification {
max-tcp-session-packet-memory 5000;
}
flow {
drop-on-limit;
drop-on-failover;
drop-if-no-policy-loaded;
max-sessions-offset 5;
min-objcache-limit-lt 21;
min-objcache-limit-ut 56;
}
}
意味
show security idp sensor-configuration コマンドは、特定の値で設定されたすべてのセンサー構成オプションを表示します。
IDP カウンタの検証
目的
IDP カウンターを確認します。
アクション
動作モードから、 show security idp counters flow コマンドを入力します。
サンプル出力
コマンド名
IDP counters: IDP counter type Value Fast-path packets 0 Slow-path packets 0 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 0 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 0 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 0 Policy init failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 0 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 0 SM Sessions not interested 749 SM Sessions interest error 0 Sessions destructed 0 SM Session Create 0 SM Packet Process 0 SM ftp data session ignored by idp 0 SM Session close 0 SM Client-to-server packets 0 SM Server-to-client packets 0 SM Client-to-server L7 bytes 0 SM Server-to-client L7 bytes 0 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Both directions flows ignored 0 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 AI-session dropped due to malloc failure before session create 0 AI-Sessions dropped due to malloc failure after create 0 AI-Packets received on sessions marked for drop due to malloc failure 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 0 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0
意味
show security idp counters flow コマンドは、ドロップされたフェールオーバー トラフィック、ドロップされた IDP トラフィック、およびドロップされたアプリケーション識別トラフィックの分析に使用されるすべてのカウンタを表示します。
IDPインテリジェント検査
SRXシリーズファイアウォールでは、設定されたCPUとメモリのしきい値がリソース制限を超えた場合、IDPインテリジェントインスペクションはデバイスが過負荷状態から回復するのに役立ちます。Junos OS リリース 19.2R1 以降、IDP インテリジェント検査を有効にし、動的に調整して、完全な IDP 検査の負荷を軽減できます。IDPは、リソース制限が設定されたCPUおよびメモリのしきい値に達したときに、IDPインスペクションを調整してセッションを拒否または無視しません。
Junos OS リリース 19.2R1 以前は、デバイスが設定された CPU とメモリのしきい値制限を超えると、IDP は新しいセッションを拒否するか無視します。
IDP インテリジェント インスペクションとバイパス機能を有効にするには、 set security idp sensor-configuration flow intel-inspect-enable コマンドを使用します。
IDPインスペクションチューニングの利点
重要なIDP検査を重要視
優先度の低いIDPインスペクションを回避
高いシステムリソース使用量を削減
IDPインテリジェントインスペクションを調整するためのセキュリティメカニズム
動的ポリシー:クリティカル、メジャー、マイナーが3つの重要なシグネチャ重大度です。ポリシーを動的に調整して、必要な重大度レベルの署名のみを含めることができます。重大な重大度のシグネチャのみを含めるには、コマンド
set security idp sensor-configuration flow intel-inspect-signature-severity criticalを使用します。重大度が重要なシグネチャと重大な重大度のシグネチャを含めるには、コマンドset security idp sensor-configuration flow intel-inspect-signature-severity majorを使用します。重大度が重大、メジャー、マイナーの両方のシグネチャを含めるには、コマンドset security idp sensor-configuration flow intel-inspect-signature-severity minorを使用します。既定では、重大度が重大度の攻撃が含まれます。コンテンツの圧縮解除:コンテンツの圧縮解除は、インテル検査が有効でしきい値に達した場合にのみ回避できます。プロトコル デコーダーは、コンテンツが圧縮状態の場合、プロトコル コンテンツを圧縮解除します。
set security idp sensor-configuration flow intel-inspect-disable-content-decompressコマンドを設定することで、プロトコルコンテンツの解凍を回避できます。選択プロトコル - デフォルトでは、IDP はすべての重要なプロトコルを検査します。IDP 処理に不可欠なプロトコルのリストを指定できます。プロトコルのリストを指定するには、
set security idp sensor-configuration flow intel-inspect-protocols protocolコマンドを使用します。IDPは重要でないプロトコルを検査しません。インスペクションの深さ:デフォルトでは、各セッションについて、IDP はセッションのすべてのバイトを検査します。インスペクションの深さを指定することで、IDPはインスペクションを指定されたバイト数のみに制限します。インスペクション深さを有効にするには、コマンド
set security idp sensor-configuration flow intel-inspect-session-bytes-depth valueを使用します。デフォルトでは、IDPインテリジェントインスペクションはインスペクションの深さを無効にします。これは、すべてのバイトがインスペクションされることを意味します。
CPU 使用率
IDP インスペクションのしきい値制限を設定できます。CPU 使用率が設定されたしきい値に達すると、IDP インテリジェント インスペクションがアクティブになります。
しきい値の制限を設定するには、次のコマンドを使用します。
set security idp sensor-configuration flow intel-inspect-cpu-usg-threshold valueset security idp sensor-configuration flow intel-inspect-cpu-usg-tolerance value
について
CPU 使用率は次のように動作します。
IDPは、CPU使用率が設定されたインテリジェントインスペクションのしきい値に達すると、新しいセッションで完全なIDP処理を停止します。IDP は、調整されたセキュリティ検査のみを処理します。この動作により、IDPインテリジェントインスペクションをアクティブにするsyslogメッセージがトリガーされます。
CPU 使用率がインテリジェント インスペクションのしきい値を超え、IDP バイパスしきい値とインテリジェント インスペクションの下限しきい値の間にある場合、IDP はインテリジェント インスペクション モードで機能し続けます。
IDPは、新しいセッションで完全なIDPインスペクションを開始し、CPU使用率がインテリジェントインスペクションの下限しきい値を下回ると、syslogをトリガーしてIDPインテリジェントインスペクションを非アクティブ化します。
IDPインテリジェントバイパス機能は、CPU使用率がIDPバイパスしきい値に達するとアクティブになります。
メモリ使用率
IDP インスペクションのメモリ制限を設定できます。メモリ使用量が設定された制限に達すると、IDPインテリジェントインスペクションがアクティブになります。
使用可能なメモリ制限を構成するには、次のコマンドを使用します。
set security idp sensor-configuration flow intel-inspect-free-mem-threshold valueset security idp sensor-configuration flow intel-inspect-mem-tolerance value
を理解する
メモリ使用率は次のように動作します。
IDP は、メモリ使用率がインテリジェント検査可能メモリ下限しきい値に達すると、IDP インテリジェント検査モードをアクティブにします。
IDP は、メモリ使用率がインテリジェント検査メモリの上限しきい値とメモリ下限しきい値の間にある場合、インテリジェント検査モードで機能し続けます。
IDP は、メモリ使用率が使用可能なメモリ下限しきい値に達すると、IDP バイパス機能をアクティブにします。
IDP は、メモリ使用率が低下し、インテリジェント検査で使用可能なメモリの上限しきい値を超えると、通常モードにアクティブになります。
制約
IDP インテリジェント インスペクションは、プライマリ論理システム レベルでのみサポートされます。
例:IDP インテリジェント インスペクションの設定
IDP インテリジェント検査は、デバイスが構成された CPU とメモリのしきい値制限を超えたときに、デバイスが過負荷状態から回復するのに役立ちます。
この例では、IDP インテリジェント インスペクションを有効にし、IDP インスペクションを動的に調整して、フル IDP インスペクションの負荷を軽減する方法を示します。
必要条件
IDPインテリジェント検査とIDPバイパス機能がいつどのように機能するかを理解するには、 IDPセンサー構成 をお読みください。
概要
Junos OS リリース 19.2R1 より前では、デバイスが設定された CPU およびメモリのしきい値に達すると、IDP は新しいセッションを無視または拒否します。また、デバイスが上限しきい値を超えると、IDPは既存および新規セッションのパケットを破棄します。
IDP インスペクションをチューニングすると、デバイスが CPU とメモリの使用率を徐々に増加させるのに役立ち、重要なインスペクションが重要になります。この例では、IDP インテリジェント インスペクションを有効にした後に IDP インスペクションを調整する方法を示します。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security idp sensor-configuration flow intel-inspect-enable set security idp sensor-configuration flow intel-inspect-cpu-usg-threshold 60 set security idp sensor-configuration flow intel-inspect-cpu-usg-tolerance 15 set security idp sensor-configuration flow intel-inspect-mem-tolerance 5 set security idp sensor-configuration flow intel-inspect-free-mem-threshold 30 set security idp sensor-configuration flow intel-inspect-signature-severity critical set security idp sensor-configuration flow intel-inspect-disable-content-decompress set security idp sensor-configuration flow intel-inspect-session-bytes-depth 2 set security idp sensor-configuration flow intel-inspect-protocols HTTP set security idp sensor-configuration flow intel-inspect-protocols FTP
プロシージャ
手順
IDPインテリジェントインスペクションを設定するには:
IDP インテリジェント検査を有効にします。
[edit security idp sensor-configuration] user@host# set flow intel-inspect-enable
CPU しきい値の制限を構成します。
[edit security idp sensor-configuration] user@host# set flow intel-inspect-cpu-usg-threshold 60
CPU 許容値を設定します。
[edit security idp sensor-configuration] user@host# set flow intel-inspect-cpu-usg-tolerance 15
メモリ許容値を設定します。
[edit security idp sensor-configuration] user@host# set security idp sensor-configuration flow intel-inspect-mem-tolerance 5
メモリ制限を設定します。
[edit security idp sensor-configuration] user@host# set security idp sensor-configuration flow intel-inspect-memory-limit-lt 30
重大度レベルを指定します。
[edit security idp sensor-configuration] user@host# set flow intel-inspect-signature-severity critical
コンテンツの圧縮解除を無効にします。
[edit security idp sensor-configuration] user@host# set flow intel-inspect-disable-content-decompress
パケットインスペクションの深さを設定します。
[edit security idp sensor-configuration] user@host# set flow intel-inspect-session-bytes-depth 2
検査用のプロトコルを設定します。
[edit security idp sensor-configuration] user@host# set flow intel-inspect-protocols HTTP user@host# set flow intel-inspect-protocols FTP
業績
設定モードから、 show security idp sensor-configuration コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show security idp sensor-configuration
flow {
intel-inspect-enable;
intel-inspect-cpu-usg-threshold 60;
intel-inspect-cpu-usg-tolerance 15;
intel-inspect-free-mem-threshold 30;
intel-inspect-mem-tolerance 5;
intel-inspect-disable-content-decompress;
intel-inspect-session-bytes-depth 2;
intel-inspect-protocols [ HTTP FTP ];
intel-inspect-signature-severity critical;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
すべてのIDPフローカウンター値のステータスの検証
目的
IDPインテリジェントインスペクションがカウンター値を取得することを確認します。
アクション
user@host> show security idp counters flow IDP counters: IDP counter type Value Fast-path packets 580 Slow-path packets 61 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 58 Policy cache misses 3 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 62 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 47 Policy init failed 0 Policy reinit failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 61 SM Sessions ignored 3 SM Sessions dropped 0 SM Sessions interested 61 SM Sessions not interested 101612 SM Sessions interest error 0 Sessions destructed 62 SM Session Create 58 SM Packet Process 580 SM ftp data session ignored by idp 0 SM Session close 59 SM Client-to-server packets 312 SM Server-to-client packets 268 SM Client-to-server L7 bytes 8468 SM Server-to-client L7 bytes 19952 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Server-to-client flows tcp optimized 0 Client-to-server flows tcp optimized 0 Both directions flows ignored 47 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 NGAppID Events with no L7 App 0 NGAppID Events with no active-policy 0 NGAppID Detector failed from event handler 0 NGAppID Detector failed from API 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 11 kq op route 47 kq op continue 522 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0 IDP sessions ignored for content decompression in intel inspect mode 47 IDP sessions ignored for bytes depth limit in intel inspect mode 0 IDP sessions ignored for protocol decoding in intel inspect mode 0 IDP sessions detected CPU usage crossed intel inspect CPU threshold 43 IDP sessions detected mem drop below intel inspect low mem threshold 0
意味
show コマンドは、IDP インテリジェント インスペクションのカウンタを表示します。
IDP の現在のポリシーのステータスを確認する
目的
IDPインテリジェントインスペクションが現在のポリシーをキャプチャしていることを確認します。
アクション
user@host>show security idp status Intelligent Inspection State Details: State: Active State of IDP: Default, Up since: 2018-07-03 14:16:03 PDT (132w4d 09:19 ago) Packets/second: 6 Peak: 12 @ 2019-01-17 22:25:26 PST KBits/second : 249 Peak: 490 @ 2019-01-17 22:25:26 PST Latency (microseconds): [min: 0] [max: 0] [avg: 0] Packet Statistics: [ICMP: 0] [TCP: 127] [UDP: 7] [Other: 0] Flow Statistics: ICMP: [Current: 0] [Max: 6 @ 2019-01-16 20:36:17 PST] TCP: [Current: 4] [Max: 4 @ 2019-01-17 22:34:33 PST] UDP: [Current: 2] [Max: 6 @ 2019-01-17 20:03:55 PST] Other: [Current: 0] [Max: 0 @ 2016-07-03 14:16:03 PDT] Session Statistics: [ICMP: 0] [TCP: 2] [UDP: 1] [Other: 0] Number of SSL Sessions : 0 Policy Name : idp-policy-unified Running Detector Version : 12.6.130180509
意味
show security idp status コマンドは、IDP の現在のポリシーを表示します。IDP インテリジェント インスペクションを有効にしていても、運用コマンドを実行すると、IDP インテリジェント インスペクションの状態 show security idp status 非アクティブになることがあります。その理由は、構成された CPU とメモリのしきい値がリソース制限を超えないためです。CPU 使用率が設定されたしきい値に達すると、IDP インテリジェント インスペクションの状態がアクティブになります。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。