IDPシグネチャデータベース
シグネチャベースのIDPは、ネットワーク内のパケットを監視し、シグネチャと呼ばれる事前設定済みの攻撃パターンと比較します。
侵入検出および防止(IDP)システムのシグネチャデータベース管理は、堅牢なネットワークセキュリティを維持するために非常に重要です。定期的なアップデートのダウンロードとインストールを有効にすることで、最新の脅威からネットワークを確実に保護できます。カスタム攻撃オブジェクトとグループを設定して、特定のニーズに合わせてセキュリティ対策を調整できるため、システムの柔軟性と有効性が高まります。IDPの基本的な機能はライセンスなしでデフォルトで有効になっていますが、毎日の更新を受け取るには、IDPシグネチャデータベース更新ライセンスキーをインストールする必要があります。これにより、新しい脆弱性を含む攻撃データベースを最新の状態に保つことで、継続的な保護が確保されます。ライセンスの詳細については、「 Junos OS 機能ライセンス キー」を参照してください。
以下のタスクを実行して、IDP署名データベースを管理できます。
ジュニパーネットワークスのWebサイトから攻撃データベースの更新をダウンロードして、シグネチャデータベースを更新します。新しい攻撃は毎日発生するため、データベースを最新の状態に保ちます。
各バージョンには一意の番号があり、最新のものが最も高いため、CLIを使用してシグネチャデータベースのバージョンを検証します。
プロトコル検出エンジンとシグネチャデータベースを更新します。IDPプロトコル検出器には、アプリケーション層プロトコルデコーダーとIDPポリシーによる更新が含まれています。変更されていない場合でも、ポリシーの更新に必要です。
設定された間隔で、IDP対応デバイス上のシグネチャデータベースの自動更新をスケジュールします。
IDPシグネチャデータベース管理のメリット
-
最新のシグネチャ更新を定期的にダウンロードできるようにすることで、新たな脅威に対する最新の保護を確保します。
-
個々のネットワーク環境に合わせたカスタム攻撃オブジェクトとグループを作成できるため、特定のセキュリティパラメーターを柔軟に定義できます。
明示的なプロキシサーバーを介したJunos OS IDP署名パッケージ
ジュニパーネットワークス定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスWebサイト https://signatures.juniper.net/cgi-bin/index.cgi でセキュリティパッケージとして利用できるようにします。このデータベースには、既知の攻撃とトラフィックを一致させるためにIDPポリシーで使用できる攻撃オブジェクトと攻撃オブジェクトグループが含まれています。
プロキシプロファイルを作成し、それを使用して、明示的なプロキシサーバーを介してIDP署名パッケージをダウンロードする必要があります。
デバイスにWebプロキシサーバーを設定して、アウトバウンドHTTP(S)セッションと認証を処理します。プロキシサーバーのホストとポートの詳細を使用してプロキシプロファイルを設定します。
user@host# set services proxy profile profile-name protocol http host x.x.x.x port xxxx
オプションで、プロキシプロファイル内でプロキシ認証を設定します。ユーザー名とパスワードを設定することで、外部のフィードやサービスに安全にアクセスできます。
[edit] user@host# set services proxy profile profile-name protocol http username <username> user@host# set services proxy profile profile-name protocol http password <password>
-
プロキシプロファイルを適用します。IDP Webプロキシサーバーのサポートは、システムレベルのプロキシプロファイル設定によって異なります。
[edit] user@host# set security idp security-package proxy-profile proxy1
プロキシプロファイルが [security idp security-package] 階層で適用される場合、idpdプロセスはシグネチャパックダウンロードサーバーではなくプロキシホストに接続します。その後、プロキシホストはダウンロードサーバーと通信し、idpdプロセスに応答を返します。idpd プロセスは、 [edit services proxy] 階層で変更が発生するたびに通知を受け取ります。
セキュリティパッケージのインストールが完了すると、ダウンロードおよびインストールされたすべてのIDP攻撃オブジェクトと攻撃グループを、IDPポリシーまたはポリシーで設定できるようになります。これらの攻撃オブジェクトと攻撃オブジェクトは、 set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name 階層の下のセキュリティルールで利用されます。
ポリシーを作成し、新しいポリシーをアクティブなポリシーとして指定します。ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードし、これらのアップデートで攻撃データベース、実行中のポリシー、ディテクタを更新できます。
次を使用して、IDPシグネチャのダウンロード用にプロキシサーバーを無効にすることができます。 delete security idp security-package proxy-profile proxy-profile
例:明示的なプロキシサーバーを介してJunos OS IDP署名パッケージをダウンロードする
この例では、SRXシリーズファイアウォールが、設定されたプロキシプロファイルを利用して、外部サーバーで利用可能な攻撃オブジェクトと攻撃オブジェクトグループの完全なテーブルを含むIDPセキュリティパッケージをダウンロードしてインストールします。
概要
プロキシサーバーを使用してIDP署名パッケージをダウンロードするには、HTTP接続用のプロキシプロファイルを設定する必要があります。
表1に 、この例で使用されているパラメーターの詳細を示します。
| パラメータ |
名前 |
|---|---|
| プロファイル名 |
test_idp_proxy1 |
| プロキシサーバーのIPアドレス |
10.255.255.254 |
| プロキシサーバーのポート番号 |
3128 |
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
-
この設定例は、Junos OSリリース18.3R1以降を搭載したSRXシリーズファイアウォールでテストされています。
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを edit 階層のCLIにコピーアンドペーストして、設定モードから commit を入力します。
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.255.255.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
ステップバイステップの手順
プロキシプロファイルを作成し、プロキシサーバー経由でIDP署名パッケージをダウンロードするには:
-
プロキシホストのIPアドレスを指定します。
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.255.255.254 プロキシサーバーが使用するポート番号を指定します。
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128セキュリティパッケージのダウンロードで参照する必要があるプロキシプロファイルを指定します。
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
設定をコミットします。
[edit] user@host# commit
動作モードに切り替えます。
[edit] user@host# exit
IDPセキュリティパッケージをダウンロードします。
user@host> request security idp security-package download full-update
ジュニパーのWebサイトからオフラインでIDP署名パッケージをダウンロードしてインストールするオプションも引き続きご利用いただけます。IDPシグネチャパッケージをオフラインでダウンロードしてインストールするには、
request security idp security-package offline-downloadCLIコマンドを実行します。インストール プロセスは、どちらのダウンロード コマンドでも同じです。
検証
プロキシサーバーを介してIDP署名のダウンロードを確認する
目的
プロキシサーバーを介してダウンロードされたIDPシグネチャパッケージの詳細を表示します。
アクション
動作モードから、 show security idp security-package proxy-profile コマンドを入力して、IDP特定のプロキシの詳細を表示します。
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.255.255.254 Port of proxy server :3128
意味
出力では、[ Proxy Profile ]フィールドと[ Proxy Address ]フィールドにIDP特定のプロキシプロファイルの詳細を確認できます。
IDP署名のダウンロードステータスの確認
目的
IDPシグネチャパッケージのダウンロードステータスを確認します。
アクション
セキュリティパッケージのダウンロードステータスを確認してください。
動作モードから、 request security idp security-package download status コマンドを入力します。
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
意味
出力には、IDPシグネチャパッケージのダウンロードステータスが表示されます。
例:シャーシクラスターモードでのIDPセキュリティパッケージのダウンロードとインストール
この例では、シャーシクラスターモードで動作するデバイスにIDP署名データベースをダウンロードしてインストールする方法を示しています。
要件
開始する前に、シャーシクラスターノードIDとクラスターIDを設定します。 例:シャーシクラスター内のセキュリティデバイスのノードIDとクラスターIDの設定 を参照してください。
概要
シャーシクラスターモードで動作するデバイスにIDPセキュリティパッケージをダウンロードすると、セキュリティパッケージがプライマリノードにダウンロードされ、次にセカンダリノードに同期されます。この同期により、プライマリノードとセカンダリノードの両方で同じバージョンのセキュリティパッケージを維持できます。 IDPシグネチャデータベースを参照してください。
SRXシリーズファイアウォールでは、コントロールプレーンのデバイスメモリ使用率が高い場合、大きなIDPポリシーを読み込むと、デバイスのメモリ不足が発生する可能性があります。これにより、IDPセキュリティパッケージの更新中にシステムの再起動がトリガーされる可能性があります。
手順
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
セキュリティパッケージのURLを指定します。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
動作モードに切り替えます。
[edit] user@host# exit
IDPセキュリティパッケージをプライマリノードにダウンロードします( var/db/idpd/sec-download フォルダにダウンロードします。
{primary:node0}[edit] user@host> request security idp security-package download次のメッセージが表示されます。
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
セキュリティパッケージのダウンロードステータスを確認してください。
{primary:node0}[edit] user@host> request security idp security-package download statusダウンロードに成功すると、次のメッセージが表示されます。
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
installコマンドを使用して攻撃データベースを更新します。user@host> request security idp security-package install
攻撃データベースの更新ステータスを確認します。コマンド出力には、ダウンロードおよびインストールされた攻撃データベースのバージョンに関する情報が表示されます。
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.IDPシグネチャパッケージをプライマリノードにダウンロードする必要があります。このようにして、セキュリティパッケージがセカンダリノードで同期されます。
IDPシグネチャデータベースのバージョン
新しい攻撃オブジェクトは、シグネチャデータベースサーバーに頻繁に追加されます。これらのアップデートを定期的にダウンロードして管理対象デバイスにインストールすることで、最新の脅威からネットワークを効果的に保護することができます。新しい攻撃オブジェクトがシグネチャデータベースサーバーに追加されると、データベースのバージョン番号が最新のデータベースバージョン番号で更新されます。シグネチャデータベースごとにバージョン番号が異なり、最新のデータベースのバージョン番号が最も高いです。
シグネチャデータベースを更新する際、シグネチャデータベース更新クライアントはジュニパーネットワークスWebサイトに接続し、HTTPS接続を使用して更新を取得します。この更新では、バージョン番号を使用して、既存のシグネチャデータベースと最新のシグネチャデータベースの差が計算されます。更新プログラムをダウンロードすると、更新された情報は既存のシグネチャデータベースとマージされ、バージョン番号は最新のシグネチャデータベースのバージョン番号に設定されます。
関連項目
IDPシグネチャデータベースのバージョンを確認する
目的
シグネチャデータベースのバージョンを表示します。
アクション
CLIの動作モードから、 show security idp security-package-versionを入力します。
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
意味
出力には、IDP対応デバイスのシグネチャデータベース、プロトコル検出器、ポリシーテンプレートのバージョン番号が表示されます。次の情報を確認します。
Attack database version—2008年4月16日現在、デバイス上でアクティブなシグネチャデータベースのバージョンは31です。Detector version—デバイスで現在実行されているIDPプロトコル検出器のバージョン番号を表示します。Policy template version—CLIでrequest security idp security-package install policy-templates設定ステートメントを実行したときに/var/db/scripts/commitディレクトリにインストールされるポリシーテンプレートのバージョンを表示します。
出力の完全な説明については、 show security idp security-package-version の説明を参照してください。
関連項目
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。