Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP シグネチャ データベースの概要

シグネチャベースのIDPは、ネットワーク内のパケットを監視し、シグネチャと呼ばれる事前設定および事前に決定された攻撃パターンと比較します。

詳細については、次のトピックを参照してください。

IDP シグネチャ データベースについて

シグネチャデータベースは、侵入検出および防止(IDP)の主要コンポーネントの1つです。これには、IDP ポリシールールの定義に使用されるさまざまなオブジェクト(攻撃オブジェクト、アプリケーションシグネチャオブジェクト、サービスオブジェクトなど)の定義が含まれています。ジュニパーネットワークスは、新たな脆弱性への対応として、攻撃データベースの更新を含むファイルをジュニパーのWebサイトで定期的に提供しています。このファイルをダウンロードして、新しい脅威からネットワークを保護できます。

メモ:

IDP機能はデフォルトで有効になっており、ライセンスは必要ありません。IDP ポリシーのカスタム攻撃とカスタム攻撃グループは、有効なライセンスとシグニチャ データベースがデバイスにインストールされていない場合でも、設定およびインストールできます。

IDPシグネチャデータベースは、IDP対応デバイスに保存され、事前定義された攻撃オブジェクトとグループの定義が含まれています。これらの攻撃オブジェクトとグループは、ネットワークトラフィック内の既知の攻撃パターンとプロトコルの異常を検出するように設計されています。攻撃オブジェクトとグループは、IDP ポリシールールの一致条件として設定できます。

メモ:

ジュニパーネットワークスが提供する署名データベースの更新を毎日ダウンロードしてインストールするには、IDP署名データベース更新ライセンスキーをデバイスにインストールする必要があります。IDP署名ライセンスキーは、猶予期間のサポートを提供しません。ライセンスの詳細については、 Junos OS機能のライセンスキーを参照してください

Junos OSリリース18.3R1以降、明示的なプロキシサーバーを介してIDPセキュリティパッケージをダウンロードできます。外部サーバーでホストする IDP セキュリティ パッケージをダウンロードするには、プロキシ プロファイルを構成し、プロキシ プロファイルで構成されているプロキシ ホストとポートの詳細を使用する必要があります。この機能を使用すると、全体的なセキュリティ ソリューションの HTTP(S) アウトバウンド セッションのアクセスと認証に、デバイスに展開された Web プロキシ サーバーを使用できます。

次のタスクを実行して、IDP 署名データベースを管理できます。

  1. シグネチャデータベースの更新:ジュニパーネットワークスのWebサイトで利用可能な攻撃データベースの更新をダウンロードします。新しい攻撃は毎日発見されるため、シグネチャデータベースを最新の状態に保つことが重要です。

  2. 署名データベースのバージョンを確認する - 各署名データベースのバージョン番号は異なり、最新のデータベースが最も大きい番号が付けられます。CLI を使用して、署名データベースのバージョン番号を表示できます。

  3. プロトコル ディテクタ エンジンの更新:シグニチャ データベースのダウンロードとともに、プロトコル ディテクタ エンジンの更新をダウンロードできます。IDP プロトコル検出器には、アプリケーション層のプロトコル デコーダーが含まれています。ディテクタはIDPポリシーと結合され、一緒に更新されます。これは、ディテクターに変更がない場合でも、ポリシーの更新時に常に必要です。

  4. シグニチャデータベース更新のスケジュール:設定した時間が経過した後にシグニチャデータベースを自動的に更新するようにIDP対応デバイスを設定できます。

IDP 署名データベースの更新の概要

ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトで利用できるようにしています。このデータベースには、侵入検出および防御(IDP)ポリシーでトラフィックを既知の攻撃と照合するために使用できる攻撃オブジェクトグループが含まれています。事前定義された攻撃オブジェクトを作成、編集、または削除することはできませんが、CLI を使用して、IDP ポリシーで使用できる攻撃オブジェクトのリストを更新することはできます。

シグネチャ データベースを更新するには、ジュニパーネットワークスの Web サイトから、または明示的な Web プロキシ サーバーからセキュリティ パッケージをダウンロードします。セキュリティパッケージは、次のIDPコンポーネントで構成されています。

  • 攻撃オブジェクト

  • 攻撃対象グループ

  • アプリケーションオブジェクト

  • IDPディテクタエンジンの更新

  • IDP ポリシー テンプレート(ポリシー テンプレートは個別にダウンロードされます。 事前定義されたIDPポリシーテンプレートについてを参照してください)。

デフォルトでは、セキュリティパッケージをダウンロードすると、次のコンポーネントがデバイスのステージングフォルダーにダウンロードされます:完全な攻撃オブジェクトグループテーブルの最新バージョン、アプリケーションオブジェクトテーブル、およびIDPディテクタエンジンの更新。通常、アタック・オブジェクト・テーブルはサイズが大きいため、デフォルトでは、システムはアタック・オブジェクト・テーブルの更新のみをダウンロードします。ただし、構成オプションを使用して full-update 、完全な攻撃オブジェクト テーブルをダウンロードできます。

セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。

セキュリティパッケージをインストールした後、設定をコミットすると、(アクティブなポリシーだけでなく)すべてのポリシーの構文がチェックされます。このチェックは、コミットチェックと同じです。既存のポリシーのいずれかで設定された攻撃が、ダウンロードした新しいシグニチャ データベースから削除された場合、コミット チェックは失敗します。

IDPシグネチャデータベースを更新しても、ポリシーで設定された攻撃は自動的に更新されません。たとえば、システムのシグニチャ データベース バージョン 1200 で利用可能な攻撃 FTP:USER:ROOT を含めるようにポリシーを構成するとします。次に、署名データベースのバージョン 1201 をダウンロードし、攻撃 FTP:USER:ROOTは含まれなくなりました。ポリシーで設定された攻撃が新しくダウンロードされたデータベースから見つからないため、CLIでのコミットチェックは失敗します。構成を正常にコミットするには、ポリシー構成から攻撃 (FTP:USER:ROOT) を削除する必要があります。

注意:

何らかの理由で新しいIDPポリシーの読み込みに失敗した場合、IDPシグネチャの更新が失敗する可能性があります。新しいIDPポリシーのロードが失敗すると、最後の既知の良好なIDPポリシーがロードされます。新しいポリシーロードの問題が解決され、新しい有効なポリシーがアクティブになると、署名の更新は正しく機能します。

明示的プロキシサーバーを使用したJunos OS IDP署名パッケージのダウンロードの概要

Junos OSリリース18.3R1以降、明示的なプロキシサーバーを介してIDPセキュリティパッケージをダウンロードできます。外部サーバーでホストする IDP セキュリティ パッケージをダウンロードするには、プロキシ プロファイルを構成し、プロキシ プロファイルで構成されているプロキシ ホストとポートの詳細を使用する必要があります。この機能を使用すると、HTTP(S) アウトバウンド セッションのアクセスと認証に、デバイスに展開された Web プロキシ サーバーを使用できます。

指定したプロキシサーバー経由で外部サーバーに接続するには、セキュリティパッケージダウンロードのプロキシプロファイルオプションを設定する必要があります。プロキシ プロファイルは、階層の下で [edit services proxy] 設定されます。

階層の下に [edit services proxy] は、複数のプロキシプロファイルを設定できます。IDP で使用できるプロキシ プロファイルは 1 つだけです。複数のプロキシ プロファイルを IDP で同時に使用することはできません。プロキシプロファイルが階層下 [security idp security-package] に設定されている場合、idpd プロセスは署名パックダウンロードサーバーではなくプロキシホストに接続します。その後、プロキシホストはダウンロードサーバーと通信し、idpdプロセスに応答を返します。idpd プロセスは、階層で [edit services proxy] 変更が行われるたびに通知されます。

不要な場合は、IDP署名パッケージをダウンロードするためのプロキシサーバーを無効にすることができます。

IDP 署名のダウンロードのプロキシ サーバーを無効にするには、 delete security idp security-package proxy-profile proxy-profile

IDP Web プロキシのサポートは、システム レベルで設定されたプロキシ プロファイルに依存します。ダウンロードに Web プロキシ サーバーを使用するには、プロキシ サーバーのホストとポートの詳細を使用してプロキシ プロファイルを構成し、階層で [security idp security-package] プロキシ プロファイルを適用する必要があります。

例:シグニチャ データベースの自動更新

この例では、シグニチャ データベースの更新を自動的にダウンロードする方法を示しています。

要件

開始する前に、ネットワークインターフェイスを設定します。

概要

ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトでセキュリティパッケージとして利用できるようにしています。このデータベースには、トラフィックを既知の攻撃と照合するためにIDPポリシーで使用できる攻撃オブジェクトと攻撃オブジェクトグループが含まれています。指定した間隔で署名データベースの更新を自動的にダウンロードするようにデバイスを設定できます。

この例では、12 月 10 日午後 11 時 59 分から 48 時間ごとに、攻撃オブジェクトと攻撃オブジェクト グループの完全なテーブルを含むセキュリティ パッケージをダウンロードします。また、セキュリティ パッケージの自動ダウンロードと更新も有効にします。

構成

手順

手順

定義済みの攻撃オブジェクトをダウンロードして更新するには:

  1. セキュリティ パッケージの URL を指定します。

    メモ:

    デフォルトでは、https://signatures.juniper.net/cgi-bin/index.cgi としてURLを取ります。

  2. ダウンロードの時間と間隔の値を指定します。

  3. セキュリティパッケージの自動ダウンロードと更新を有効にします。

  4. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

IDP 署名データベースの手動検証

目的

IDP シグネチャ データベースを手動で表示します。

アクション

動作モードから コマンド show security idp を入力します。

IDP 署名データベースの手動更新の概要

ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトで利用できるようにしています。このデータベースには、侵入検出および防御(IDP)ポリシーでトラフィックを既知の攻撃と照合するために使用できる攻撃オブジェクトグループが含まれています。事前定義された攻撃オブジェクトを作成、編集、または削除することはできませんが、CLI を使用して、IDP ポリシーで使用できる攻撃オブジェクトのリストを更新することはできます。セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。

例:IDP シグニチャ データベースの手動更新

この例では、IDP シグニチャ データベースを手動で更新する方法を示しています。

要件

開始する前に、ネットワークインターフェイスを設定します。

概要

ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトでセキュリティパッケージとして利用できるようにしています。このデータベースには、トラフィックを既知の攻撃と照合するためにIDPポリシーで使用できる攻撃オブジェクトと攻撃オブジェクトグループが含まれています。

この例では、攻撃オブジェクトと攻撃対象グループの完全な表を含むセキュリティパッケージをダウンロードします。インストールが完了すると、攻撃オブジェクトと攻撃オブジェクトグループは、CLI の [edit security idp idp-policy] 階層レベルの事前定義された攻撃グループと事前定義された攻撃構成ステートメントで使用できます。ポリシーを作成し、新しいポリシーをアクティブなポリシーとして指定します。また、ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードしてから、これらの新しいアップデートで攻撃データベース、実行ポリシー、ディテクタを更新します。

構成

手順

CLIクイック構成

設定中に手動による介入が必要なため、この例ではCLIクイック設定は使用できません。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

シグネチャ データベースを手動でダウンロードして更新するには:

  1. セキュリティ パッケージの URL を指定します。

    メモ:

    デフォルトでは、 https://signatures.juniper.net/cgi-bin/index.cgi としてURLが使用されます。

  2. 設定をコミットします。

  3. 動作モードに切り替えます。

  4. セキュリティパッケージをダウンロードします。

    メモ:

    デバイスでオフライン署名パッケージのダウンロードを実行できます。署名パッケージをダウンロードしてデバイス内の任意の共通の場所にパッケージをコピーし、 コマンドを使用してパッケージをオフラインで request security idp security-package offline-download ダウンロードできます。

    署名パッケージのインストールは同じままで、常に完全な更新になります。

  5. セキュリティパッケージのダウンロードステータスを確認します。

  6. install コマンドを使用して攻撃データベースを更新します。

  7. 次のコマンドを使用して、攻撃データベースの更新ステータスを確認します (コマンド出力には、攻撃データベースのバージョンのダウンロード済みバージョンとインストール済みバージョンに関する情報が表示されます)。

  8. 構成モードに切り替えます。

  9. IDP ポリシーを作成します。

  10. 攻撃オブジェクトまたは攻撃オブジェクト グループをポリシーに関連付けます。

  11. アクションを設定します。

  12. ポリシーをアクティブ化します。

  13. 設定をコミットします。

  14. 一週間が経過したら、ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードしてください。

  15. セキュリティパッケージのダウンロードステータスを確認します。

  16. 攻撃データベース、アクティブなポリシー、およびディテクタを新しい変更で更新します。

  17. インストールステータスを使用して、攻撃データベース、アクティブなポリシー、およびディテクタを確認します。

    メモ:

    新しいバージョンの攻撃データベースから攻撃が削除される可能性があります。この攻撃がデバイス上の既存のポリシーで使用される場合、新しいデータベースのインストールは失敗します。インストール ステータス メッセージは、無効になった攻撃を識別します。データベースを正常に更新するには、削除された攻撃への参照をすべて既存のポリシーとグループから削除し、install コマンドを再実行します。

結果

設定モードから、 コマンドを入力して show security idp 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

IDP 署名データベースの手動検証

目的

IDP シグネチャ データベースを手動で表示します。

アクション

動作モードから コマンド show security idp を入力します。

例:シャーシ クラスタ モードでの IDP セキュリティパッケージのダウンロードとインストール

この例では、シャーシ クラスタ モードで動作するデバイスに IDP シグネチャ データベースをダウンロードしてインストールする方法を示しています。

要件

開始する前に、シャーシ クラスタ ノード ID とクラスタ ID を設定します。 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定 を参照してください。

概要

侵入検出と防御(IDP)のセキュリティパッケージには、事前定義されたIDP攻撃オブジェクトとIDP攻撃オブジェクトグループのデータベースが含まれており、IDPポリシーで使用してトラフィックを既知および未知の攻撃と照合できます。ジュニパーネットワークスは、事前に定義された攻撃オブジェクトとグループを、新たに発見された攻撃パターンで定期的に更新します。

署名データベースを更新するには、ジュニパーネットワークスの Web サイトからセキュリティ パッケージをダウンロードする必要があります。セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。

メモ:

すべてのブランチSRXシリーズファイアウォールで、コントロールプレーンでデバイスのメモリ使用率が高い場合、大きなIDPポリシーをロードすると、デバイスのメモリが不足する可能性があります。これにより、IDPセキュリティパッケージの更新中にシステムの再起動がトリガーされる可能性があります。

詳細については、 IDP 署名データベースについてを参照してください。

シャーシクラスタモードで動作しているデバイスにIDPセキュリティパッケージをダウンロードすると、セキュリティパッケージがプライマリノードにダウンロードされてから、セカンダリノードに同期されます。この同期は、プライマリ ノードとセカンダリ ノードの両方で同じバージョンのセキュリティ パッケージを維持するのに役立ちます。

IDP署名データベースのダウンロードとインストール

手順

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

  1. セキュリティ パッケージの URL を指定します。

  2. 動作モードに切り替えます。

  3. IDPセキュリティパッケージをプライマリノードにダウンロードします(フォルダに var/db/idpd/sec-download ダウンロードします)。

    次のメッセージが表示されます。

  4. セキュリティパッケージのダウンロードステータスを確認します。

    ダウンロードが成功すると、次のメッセージが表示されます。

  5. コマンドを使用して攻撃データベース install を更新します。

  6. 攻撃データベースの更新ステータスを確認します。コマンドの出力には、ダウンロードおよびインストールされた攻撃データベースのバージョンに関する情報が表示されます。

    メモ:

    IDP 署名パッケージをプライマリノードにダウンロードする必要があります。このようにして、セキュリティパッケージはセカンダリノードで同期されます。署名パッケージをセカンダリ ノードにダウンロードしようとすると失敗します。

    セキュリティ パッケージのスケジュール ダウンロードを設定した場合、署名パッケージ ファイルはプライマリ ノードからバックアップ ノードに自動的に同期されます。

明示的プロキシサーバーを介したJunos OS IDP署名パッケージのダウンロード

この例では、プロキシプロファイルを作成し、それを使用して明示的なプロキシサーバーを介してIDP署名パッケージをダウンロードする方法を示します。

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層の edit CLIにコピーアンドペーストして、設定モードから を入力します commit

構成

手順

プロキシサーバーのプロキシプロファイルが作成され、プロキシサーバーを介してIDP署名パッケージをダウンロードするためのidpdプロセスによってこのプロファイルが参照されます。

  1. プロキシ ホストの IP アドレスを指定します。

  2. プロキシ サーバーが使用するポート番号を指定します。

  3. セキュリティパッケージのダウンロード時に参照する必要があるプロキシプロファイルを指定します。

  4. 設定をコミットします。

  5. 動作モードに切り替えます。

  6. IDP セキュリティパッケージをダウンロードします。

    メモ:

    ジュニパーのWebサイトから、オフラインでIDP署名パッケージをダウンロードしてインストールするオプションは引き続きご利用いただけます。IDP 署名パッケージをオフラインでダウンロードしてインストールするには、CLI コマンドを実行します request security idp security-package offline-download 。インストールプロセスは、両方のダウンロードコマンドで同じままです。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • この設定例は、Junos OSリリース18.3R1以降を搭載したSRXシリーズファイアウォールでテストされています。

概要

ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークス Web サイトでセキュリティ パッケージとして利用できるようにしています。このデータベースには、トラフィックを既知の攻撃と照合するためにIDPポリシーで使用できる攻撃オブジェクトと攻撃オブジェクトグループが含まれています。

Junos OS リリース 18.3R1 以降では、プロキシサーバーを使用して IDP 署名パッケージをダウンロードできます。プロキシー・プロファイル構成は、HTTP 接続でのみ使用可能です。

この例では、SRXシリーズファイアウォールが、設定されたプロキシプロファイルを利用して、外部サーバーで利用可能な攻撃オブジェクトと攻撃オブジェクトグループの完全なテーブルを含むIDPセキュリティパッケージをダウンロードしてインストールします。

インストールが完了すると、ダウンロードおよびインストールされたすべてのIDP攻撃オブジェクトと攻撃グループをIDPポリシーで構成できるようになります。これらの攻撃オブジェクトと攻撃オブジェクトは、階層の下の set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name セキュリティルールで使用されます。ポリシーを作成し、新しいポリシーをアクティブなポリシーとして指定します。ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードし、これらのアップデートで攻撃データベース、実行ポリシー、ディテクタを更新できます。

明示的なプロキシサーバーを介したIDP署名パッケージのダウンロードを有効にするには:

  1. コマンドを使用して、プロキシサーバーの set services proxy profile ホストとポートの詳細を含むプロファイルを構成します。

  2. set security idp security-package proxy-profile profile-nameコマンドを使用してプロキシサーバーに接続し、IDP署名パッケージをダウンロードします。

IDP 署名パッケージをダウンロードすると、要求はプロキシ ホストを介して署名パッケージをホストする実際のサーバーに送信されます。その後、プロキシ ホストは実際のホストから応答を送り返します。IDP署名パッケージは、https://signatures.juniper.net/cgi-bin/index.cgi ジュニパーネットワークスのセキュリティWebサイトから受信されます。

この例では、プロキシプロファイルを作成し、外部ホストからIDP署名パッケージをダウンロードするときにプロファイルを参照します。 表 1 に、この例で使用されるパラメーターの詳細を示します。

表 1: プロキシ プロファイルの設定パラメータ

パラメーター

名前

プロファイル名

test_idp_proxy1

プロキシサーバーのIPアドレス

10.209.97.254

プロキシサーバーのポート番号

3128

検証

プロキシサーバーを介したIDP署名のダウンロードの確認

目的

プロキシ サーバー経由でダウンロードした IDP 署名パッケージの詳細を表示します。

アクション

動作モードから、 コマンドを入力して show security idp security-package proxy-profile 、IDP固有のプロキシの詳細を表示します。

意味

出力では、IDP固有のプロキシプロファイルの詳細が および Proxy Address フィールドにありますProxy Profile

IDP署名のダウンロードステータスの確認

目的

IDP 署名パッケージのダウンロード状態を確認します。

アクション

セキュリティパッケージのダウンロードステータスを確認します。

動作モードから コマンド request security idp security-package download status を入力します。

意味

出力には、IDP 署名パッケージのダウンロード ステータスが表示されます。

IDP 署名データベースのバージョンについて

新しい攻撃オブジェクトは、シグネチャ データベース サーバに頻繁に追加されます。これらのアップデートを定期的にダウンロードして管理対象デバイスにインストールすることで、ネットワークを最新の脅威から効果的に保護します。新しい攻撃オブジェクトがシグネチャ データベース サーバーに追加されると、データベースのバージョン番号が最新のデータベース バージョン番号で更新されます。各署名データベースには異なるバージョン番号があり、最新のデータベースが最も大きい番号が付けられます。

シグネチャデータベースをアップデートする場合、シグニチャデータベースアップデートクライアントはジュニパーネットワークスのWebサイトに接続し、HTTPS接続を使用してアップデートを取得します。この更新プログラム (既存の署名データベースと最新の署名データベースの差) は、各署名データベースに割り当てられているバージョン番号に基づいて計算されます。更新プログラムをダウンロードすると、更新された情報が既存の署名データベースにマージされ、バージョン番号が最新の署名データベースのバージョン番号に設定されます。

IDP 署名データベースのバージョンの確認

目的

署名データベースのバージョンを表示します。

アクション

CLI の動作モードから、 を入力します show security idp security-package-version

サンプル出力

コマンド名

意味

出力には、IDP 対応デバイスのシグニチャデータベース、プロトコルディテクタ、ポリシーテンプレートのバージョン番号が表示されます。次の情報を確認します。

  • Attack database version- 2008 年 4 月 16 日現在、デバイスでアクティブなシグネチャ データベースのバージョンは 31です。

  • Detector version—デバイスで現在実行されている IDP プロトコル ディテクタのバージョン番号を表示します。

  • Policy template version—CLI で設定ステートメントを実行したときにrequest security idp security-package install policy-templatesディレクトリに/var/db/scripts/commitインストールされるポリシー テンプレートのバージョンを表示します。

出力の詳細については、 show security idp security-package-version の説明を参照してください。

Snort IPS シグネチャについて

概要 ジュニパーネットワークスのIDPは、Snort IPSシグネチャをサポートしています。Juniper Integration of Snort Tool(JIST)を使用して、Snort IPSルールをJuniper IDPカスタム攻撃シグネチャに変換できます。これらの Snort IPS ルールは、悪意のある攻撃の検出に役立ちます。

IDPは、攻撃の検出に役立つシグネチャを使用してネットワークを保護します。Snortはオープンソースの侵入防御システム(IPS)です。

Junos OS リリース 21.1R1 以降、ジュニパーネットワークス IDP は Snort IPS シグネチャをサポートしています。Juniper Integration of Snort Tool(JIST)を使用して、Snort IPSルールをJuniper IDPカスタム攻撃シグネチャに変換できます。これらの Snort IPS ルールは、悪意のある攻撃の検出に役立ちます。

図 1: Snort IPS シグネチャ Snort IPS Signatures
  • JISTはデフォルトでJunos OSに含まれています。このツールは、Snort バージョン 2 およびバージョン 3 のルールをサポートしています。
  • JISTは、snort-idsを使用したSnortルールを、Junos OS上で同等のカスタム攻撃シグネチャに変換し、それぞれのsnort-idをカスタム攻撃名として使用します。
  • Snort IPS ルールを使用してコマンドを実行すると request 、JIST は Snort IPS ルールと同等のコマンドを生成します setrequest security idp jist-conversion コマンドを使用して、コマンドを CLI 出力として生成します set 。コマンドを set 読み込むには、 ステートメントを使用するか load set terminal 、設定モードでコマンドをコピーして貼り付け、コミットします。その後、変換されたカスタム攻撃シグネチャを使用して既存のIDPポリシーを構成できます。
  • 変換されなかったすべての Snort IPS ルールファイルは、 /tmp/jist-failed.rules に書き込まれます。変換中に生成されたエラー・ログ・ファイルは、 /tmp/jist-error.log に書き込まれます。
  • jist-package のバージョンを表示するには、 コマンドを使用します show security idp jist-package-version

Snort IPS シグネチャの利点

  • 悪意のある攻撃の検出に役立ちます。