移行のためのIDPシグネチャデータベースの理解
シグネチャ データベースは、侵入防御システム(IPS)の主要コンポーネントの 1 つです。これには、攻撃オブジェクト、アプリケーション署名オブジェクト、サービスオブジェクトなど、IDPポリシールールの定義に使用されるさまざまなオブジェクトの定義が含まれています。
詳細については、次のトピックを参照してください。
IPS シグネチャ データベースについて
シグネチャ データベースは、侵入防御システム(IPS)の主要コンポーネントの 1 つです。これには、攻撃オブジェクト、アプリケーション署名オブジェクト、サービスオブジェクトなど、IDPポリシールールの定義に使用されるさまざまなオブジェクトの定義が含まれています。ジュニパーネットワークスは、新たな脆弱性への対応として、攻撃データベースの更新を含むファイルをジュニパーネットワークスのWebサイトで定期的に提供しています。このファイルをダウンロードして、新しい脅威からネットワークを保護できます。
IPSは、SRXシリーズファイアウォールでサービスとして実行するために個別のライセンスを必要としません。ただし、IPS の更新にはライセンスが必要です。IDP ポリシーのカスタム攻撃とカスタム攻撃グループは、有効なライセンスとシグニチャ データベースがデバイスにインストールされていない場合でも、設定およびインストールできます。
IPS シグネチャ データベースは、IPS 対応デバイスに保存され、定義済みの攻撃オブジェクトとグループの定義が含まれています。これらの攻撃オブジェクトとグループは、ネットワークトラフィック内の既知の攻撃パターンとプロトコルの異常を検出するように設計されています。IPS シグネチャ データベースには、5,000 を超えるシグネチャと 1200 を超えるプロトコル アノーマリが含まれています。
IPS アップデートとアプリケーション シグネチャ パッケージ アップデートは、別途ライセンスされるサブスクリプション サービスです。ジュニパーネットワークスのWebサイトから署名データベースの毎日の更新をダウンロードしてインストールするには、デバイスにIPS署名データベースライセンスキーをインストールする必要があります。IPS 署名ライセンス キーは、猶予期間のサポートを提供しません。
AppSecure と IPS の両方の機能が必要な場合は、IPS 署名データベース更新ライセンス キーに加えて、アプリケーション署名ライセンスをインストールする必要があります。
シグネチャ データベースは、次のコンポーネントで構成されています。
ディテクタ エンジン:IDP ディテクタ エンジンは、60 を超えるプロトコルと 500 を超えるサービス コンテキストのデコードをサポートする動的プロトコル デコーダです。プロトコル ディテクタ エンジンの更新は、シグニチャ データベースの更新と共にダウンロードできます。
攻撃データベース:攻撃シグネチャ データベースには、攻撃オブジェクトと攻撃対象グループのデータ定義が格納されます。攻撃対象は、ステートフル シグネチャとトラフィック異常で構成されます。IDPルールベースルールで攻撃オブジェクトを指定します。新しい攻撃は毎日発見されるため、シグネチャデータベースを最新の状態に保つことが重要です。攻撃データベースの更新情報は、ジュニパーネットワークスの Web サイトからダウンロードできます。
アプリケーション シグネチャ データベース - アプリケーション シグニチャ データベースには、アプリケーション オブジェクトのデータ定義が格納されます。アプリケーション・オブジェクトは、標準ポートまたは非標準ポートで実行されているアプリケーションを識別するために使用されるパターンです。
最新の攻撃データベースを確保するために、最新バージョンのシグネチャ データベースを使用することをお勧めします。
関連項目
IPS 署名データベースの管理(CLI)
この例では、CLI を使用してシグニチャ データベースの更新をインストールおよびスケジュールする方法を示しています。
必要条件
シグニチャ データベースの更新をインストールする前に、IPS ライセンス キーがインストールされていることを確認します。
概要
IPS シグニチャ データベースの管理は、次のタスクで構成されます。
シグネチャデータベースの更新:ジュニパーネットワークスのWebサイトで利用可能な攻撃データベースの更新をダウンロードします。新しい攻撃は毎日発見されるため、シグネチャデータベースを最新の状態に保つことが重要です。
署名データベースのバージョンを確認する - 各署名データベースのバージョン番号は異なり、最新のデータベースが最も大きい番号が付けられます。CLI を使用して、シグニチャ データベースのバージョンを表示できます。
プロトコル ディテクタ エンジンの更新:プロトコル ディテクタ エンジンの更新をシグニチャ データベースとともにダウンロードできます。IPS プロトコル ディテクタには、アプリケーション層のプロトコル デコーダが含まれています。ディテクタはIDPポリシーと結合され、一緒に更新されます。これは、ディテクターに変更がない場合でも、ポリシーの更新時に常に必要です。
シグニチャ データベース更新のスケジュール:設定した時間が経過するとシグニチャ データベースを自動的に更新するように IPS 対応デバイスを設定できます。
構成
IPS 署名パッケージのダウンロードとインストール
手順
新しい攻撃は毎日発見されるため、シグネチャデータベースを最新の状態に保つことが重要です。この例では、署名データベース サーバーから最新の署名パッケージをダウンロードしてインストールします。
ジュニパーネットワークスのWebサイトで利用可能な攻撃データベースの更新をダウンロードします。
user@host>request security idp security-package download
デフォルトでは、セキュリティ パッケージをダウンロードすると、完全な攻撃オブジェクト グループ テーブルの最新バージョン、アプリケーション オブジェクト テーブル、IPS ディテクタ エンジンの更新のコンポーネントがデバイスのステージング フォルダにダウンロードされます。通常、攻撃オブジェクト テーブルは非常に大きいため、既定では、システムは攻撃オブジェクト テーブルの更新のみをダウンロードします。ただし、
full-update構成オプションを使用して、完全な攻撃オブジェクト テーブルをダウンロードできます。セキュリティ パッケージのダウンロード状態を確認します。
user@host>request security idp security-package download status
ダウンロードが成功すると、次のメッセージが表示されます。
Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi). Version info:1884(Thu Mar 17 12:06:35 2011, Detector=11.4.140110223)
セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。セキュリティパッケージをインストールします。
user@host>request security idp security-package install
インストールのステータスを確認します。
user@host>request security idp security-package install status
インストールが成功すると、次のメッセージが表示されます。
Done;Attack DB update: successful - [UpdateNumber=1884,ExportDate=Thu Mar 17 12:06:35 2011,Detector=11.4.140110223] Updating control-plane with new detector: successful Updating data-plane with new attack or detector: successful
署名データベースのバージョンの確認
手順
各署名データベースには異なるバージョン番号があり、最新のデータベースが最も大きい番号が付けられます。
CLI を使用して、インストールされているシグニチャ データベースのバージョンを確認します。
user@host>show security idp security-package version
次のサンプル出力は、署名パッケージのバージョン番号を示しています。
user@host> show security idp security-package-version Attack database version:1883(Wed Mar 16 12:10:26 2011) Detector version :12.6.140121210 Policy template version :N/A
署名データベースの更新のスケジュール
手順
設定した時間が経過するとシグニチャ データベースを自動的に更新するように IPS 対応デバイスを設定できます。最初の手動セットアップの後、新しい脆弱性から常に保護されるように、署名の更新をスケジュールすることをお勧めします。
シグネチャ パッケージのダウンロードをスケジュールするには、コンフィギュレーション モードから、ダウンロードの開始時刻と間隔を指定します。
user@host>set security idp security-package automatic interval interval start-time <YYYY-MM-DD.HH:MM:SS>
たとえば、72 時間ごとに署名をダウンロードするスケジュールを設定するには、次の構成を使用します。
user@host>set security idp security-package automatic interval 72 start-time
古いJunos OSリリースバージョンから新しいJunos OSリリースバージョンへのIPSシグネチャパッケージのダウンロードとインストール
プロシージャ
手順
Junos OS リリース 17.3 以降、Junos OS リリース 12.3X48 または 15.1X49 から Junos OS リリース 17.3 にアップグレードする場合、または Junos OS リリース 17.3 から Junos OS リリース 12.3X48 または 15.1X49 にダウングレードする場合、IPS 署名パッケージのアップデートをダウンロードしてインストールすることで、IPS シグネチャパッケージを更新する必要があります。
アップグレードまたはダウングレード前の以前の IPS シグニチャ パッケージのダウンロードが増分更新またはデクリメント更新で構成されていた場合、IPS シグネチャ パッケージを再度ダウンロードせずに IPS シグネチャ パッケージを再インストールすると、最後のダウンロードからの増分攻撃のみで IPS シグネチャ パッケージが更新され、ベースライン リリースからの攻撃は含まれないため、IPS シグネチャ パッケージの更新を実行することをお勧めします。したがって、IDP コミット設定の失敗を回避するには、IPS 署名パッケージを更新します。
次の手順は、IPS シグネチャパッケージをダウンロードしてインストールし、古い Junos OS リリース バージョンから新しい Junos OS リリース バージョンにパッケージを更新する方法を示しています。
セキュリティパッケージバージョンの完全な更新を実行します。
user@host>request security idp security-package download full-update
デフォルトでは、セキュリティ パッケージをダウンロードすると、デバイスのステージング フォルダに次のコンポーネント(完全な攻撃オブジェクト グループ テーブルの最新バージョン、アプリケーション オブジェクト テーブル、IPS ディテクタ エンジンの更新)がダウンロードされます。通常、攻撃オブジェクト テーブルは非常に大きいため、既定では、システムは攻撃オブジェクト テーブルの更新のみをダウンロードします。
セキュリティパッケージのダウンロードステータスを確認します。
user@host> request security idp security-package download status
ダウンロードが成功すると、次のメッセージが表示されます。
user@host # run request security idp security-package download status Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2762(Tue Jul 26 22:26:57 2016 UTC, Detector=12.6.130160603)
セキュリティパッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新します。
user@host> request security idp security-package install
インストールの状況を確認します。
user@host> request security idp security-package install status
インストールが成功すると、次のメッセージが表示されます。
user@host # run request security idp security-package install status Done;Attack DB update : successful - [UpdateNumber=2771,ExportDate=Tue Aug 23 21:57:18 2016 UTC,Detector=12.6.130160603] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful手記:Junos OSリリース15.1X49からJunos OSリリース17.3にアップグレードすると、次の警告メッセージが表示されます。
WARNING: A full install of the security package is required after reboot. WARNING: Please perform a full update of the security package using WARNING: "request security idp security-package download full-update" WARNING: followed by WARNING: "request security idp security-package install"
IPS シグネチャ データベースを管理する(Security Director)
この例では、Junos Space Security Director を使用してシグネチャ データベースの更新をインストールし、スケジュールする方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズ ファイアウォール
署名データベースの更新をインストールする前に、以下を確認してください。
IPSライセンスキーをインストール
概要
IPS シグネチャ データベースは、CLI または Junos Space Security Director を使用して更新できます。SRXシリーズファイアウォールはCLIから完全に管理できます。ただし、複数のSRXシリーズファイアウォールを使用する大規模な導入シナリオでは、管理プラットフォームを使用してセキュリティパッケージを管理する方が簡単です。
構成
IPS 署名パッケージのダウンロードとインストール
手順
この例では、署名データベース サーバーから最新の署名パッケージをダウンロードしてインストールします。
Security Director->Downloads->Signature Databaseに移動します。
最新としてリストされている署名パッケージを選択し 、「アクション>ダウンロード」 を選択して署名パッケージをSecurity Directorにダウンロードします。
user@host>request security idp security-package download
デフォルトでは、セキュリティ パッケージをダウンロードすると、完全な攻撃オブジェクト グループ テーブルの最新バージョン、アプリケーション オブジェクト テーブル、IPS ディテクタ エンジンの更新のコンポーネントがデバイスのステージング フォルダにダウンロードされます。通常、攻撃オブジェクト テーブルは非常に大きいため、既定では、システムは攻撃オブジェクト テーブルの更新のみをダウンロードします。ただし、
full-update構成オプションを使用して、完全な攻撃オブジェクト テーブルをダウンロードできます。セキュリティ パッケージのダウンロード状態を確認します。
user@host>request security idp security-package download status
ダウンロードが成功すると、次のメッセージが表示されます。
Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi). Version info:1884(Thu Mar 17 12:06:35 2011, Detector=11.4.140110223)
セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。セキュリティパッケージをインストールします。
user@host>request security idp security-package install
インストールのステータスを確認します。
user@host>request security idp security-package install status
インストールが成功すると、次のメッセージが表示されます。
Done;Attack DB update: successful - [UpdateNumber=1884,ExportDate=Thu Mar 17 12:06:35 2011,Detector=11.4.140110223] Updating control-plane with new detector: successful Updating data-plane with new attack or detector: successful
署名データベースのバージョンの確認
手順
各署名データベースには異なるバージョン番号があり、最新のデータベースが最も大きい番号が付けられます。
CLI を使用して、インストールされているシグニチャ データベースのバージョンを確認します。
user@host>show security idp security-package version
次のサンプル出力は、署名パッケージのバージョン番号を示しています。
user@host> show security idp security-package-version Attack database version:1883(Wed Mar 16 12:10:26 2011) Detector version :12.6.140121210 Policy template version :N/A
署名データベースの更新のスケジュール
手順
設定した時間が経過するとシグニチャ データベースを自動的に更新するように IPS 対応デバイスを設定できます。最初の手動セットアップの後、新しい脆弱性から常に保護されるように、署名の更新をスケジュールすることをお勧めします。
シグネチャ パッケージのダウンロードをスケジュールするには、コンフィギュレーション モードから、ダウンロードの開始時刻と間隔を指定します。
user@host>set security idp security-package automatic interval interval start-time <YYYY-MM-DD.HH:MM:SS>
たとえば、72 時間ごとに署名をダウンロードするスケジュールを設定するには、次の構成を使用します。
user@host>set security idp security-package automatic interval 72 start-time
例:IPS シグニチャ データベースの手動更新
この例では、IPS シグニチャ データベースを手動で更新する方法を示しています。
必要条件
開始する前に、ネットワークインターフェイスを設定します。
概要
ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトでセキュリティパッケージとして利用できるようにしています。このデータベースには、トラフィックを既知の攻撃と照合するためにIDPポリシーで使用できる攻撃オブジェクトと攻撃オブジェクトグループが含まれています。
この例では、攻撃オブジェクトと攻撃対象グループの完全な表を含むセキュリティパッケージをダウンロードします。インストールが完了すると、攻撃オブジェクトと攻撃対象グループは、CLI の [edit security idp idp-policy]階層レベルの predefined-attack-groups および predefined-attacks 構成ステートメントで使用できます。ポリシーを作成し、新しいポリシーをアクティブなポリシーとして指定します。ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードしてから、これらの新しいアップデートで攻撃データベース、実行ポリシー、IPSプロトコル検出器をアップデートします。
構成
プロシージャ
CLIクイック構成
設定中に手動による介入が必要なため、この例ではCLIクイック設定は使用できません。
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
シグネチャ データベースを手動でダウンロードして更新するには:
セキュリティ パッケージの URL を指定します。
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
手記:デフォルトでは、https://signatures.juniper.net/cgi-bin/index.cgi としてURLを取ります。
設定をコミットします。
[edit] user@host# commit
動作モードに切り替えます。
[edit] user@host# exit
セキュリティパッケージをダウンロードします。
user@host>request security idp security-package download full-update
セキュリティパッケージのダウンロードステータスを確認します。
user@host>request security idp security-package download status
installコマンドを使用して攻撃データベースを更新します。user@host>request security idp security-package install
次のコマンドを使用して、攻撃データベースの更新ステータスを確認します。コマンドの出力には、攻撃データベースのバージョンのダウンロード済みおよびインストール済みバージョンに関する情報が表示されます。
user@host>request security idp security-package install status
構成モードに切り替えます。
user@host>configure
IDP ポリシーを作成します。
[edit ] user@host#edit security idp idp-policy policy1
攻撃オブジェクトまたは攻撃オブジェクト グループをポリシーに関連付けます。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
アクションを設定します。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
ポリシーをアクティブ化します。
[edit] user@host#set security idp active-policy policy1
設定をコミットします。
[edit] user@host# commit
今後、シグネチャー パッケージをダウンロードする場合は、ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードしてください。
user@host>request security idp security-package download
セキュリティパッケージのダウンロードステータスを確認します。
user@host>request security idp security-package download status
攻撃データベース、アクティブなポリシー、およびディテクタを新しい変更で更新します。
user@host>request security idp security-package install
攻撃データベース、アクティブなポリシー、およびディテクタを確認します。
user@host>request security idp security-package install status
手記:新しいバージョンの攻撃データベースから攻撃が削除された可能性があります。この攻撃がデバイス上の既存のポリシーで使用される場合、新しいデータベースのインストールは失敗します。インストール ステータス メッセージは、無効になった攻撃を識別します。データベースを正常に更新するには、削除された攻撃への参照をすべて既存のポリシーとグループから削除し、install コマンドを再実行します。
業績
設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:シャーシ クラスタ モードでの IPS シグニチャ パッケージのダウンロードとインストール
この例では、シャーシ クラスタ モードで動作するデバイスに IPS シグネチャ データベースをダウンロードしてインストールする方法を示しています。
必要条件
開始する前に、シャーシ クラスタ ノード ID とクラスタ ID を設定します。 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定 を参照してください。
概要
侵入検出および防止(IDP)のセキュリティパッケージには、事前定義されたIDP攻撃オブジェクトとIDP攻撃オブジェクトグループのデータベースが含まれており、IDPポリシーでトラフィックを既知および未知の攻撃と照合するために使用できます。ジュニパーネットワークスは、事前に定義された攻撃オブジェクトとグループを、新たに発見された攻撃パターンで定期的に更新します。
署名データベースを更新するには、ジュニパーネットワークスの Web サイトからセキュリティ パッケージをダウンロードする必要があります。セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。
支社/拠点のSRXシリーズファイアウォールでは、コントロールプレーンでデバイスのメモリ使用率が高い場合、大きなIDPポリシーを読み込むとデバイスのメモリが不足する可能性があります。これにより、IPS セキュリティ パッケージの更新中にシステムの再起動がトリガーされる可能性があります。
シャーシ クラスタ モードで動作しているデバイスに IPS セキュリティ パッケージをダウンロードすると、セキュリティ パッケージがプライマリ ノードにダウンロードされ、セカンダリ ノードに同期されます。この同期は、プライマリ ノードとセカンダリ ノードの両方で同じバージョンのセキュリティ パッケージを維持するのに役立ちます。
IPS シグネチャ データベースのダウンロードとインストール
プロシージャ
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
セキュリティ パッケージの URL を指定します。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
動作モードに切り替えます。
[edit] user@host# exit
IPSセキュリティパッケージをプライマリノードにダウンロードします( var/db/idpd/sec-download フォルダにダウンロードします)。
{primary:node0}[edit] user@host> request security idp security-package download次のメッセージが表示されます。
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
セキュリティパッケージのダウンロードステータスを確認します。
{primary:node0}[edit] user@host> request security idp security-package download statusダウンロードが成功すると、次のメッセージが表示されます。
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
installコマンドを使用して攻撃データベースを更新します。user@host> request security idp security-package install
攻撃データベースの更新ステータスを確認します。コマンドの出力には、ダウンロードおよびインストールされた攻撃データベースのバージョンに関する情報が表示されます。
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.手記:IPS 署名パッケージをプライマリノードにダウンロードする必要があります。このようにして、セキュリティパッケージはセカンダリノードで同期されます。署名パッケージをセカンダリ ノードにダウンロードしようとすると失敗します。
セキュリティ パッケージのスケジュール ダウンロードを設定した場合、署名パッケージ ファイルはプライマリ ノードからバックアップ ノードに自動的に同期されます。