このページの目次
IDP シグネチャ データベースの概要
シグネチャベースのIDPは、ネットワーク内のパケットを監視し、シグネチャと呼ばれる事前設定および事前に決定された攻撃パターンと比較します。
詳細については、次のトピックを参照してください。
IDP シグネチャ データベースについて
シグネチャデータベースは、侵入検出および防止(IDP)の主要コンポーネントの1つです。これには、IDP ポリシールールの定義に使用されるさまざまなオブジェクト(攻撃オブジェクト、アプリケーションシグネチャオブジェクト、サービスオブジェクトなど)の定義が含まれています。ジュニパーネットワークスは、新たな脆弱性への対応として、攻撃データベースの更新を含むファイルをジュニパーのWebサイトで定期的に提供しています。このファイルをダウンロードして、新しい脅威からネットワークを保護できます。
IDP機能はデフォルトで有効になっており、ライセンスは必要ありません。IDP ポリシーのカスタム攻撃とカスタム攻撃グループは、有効なライセンスとシグニチャ データベースがデバイスにインストールされていない場合でも、設定およびインストールできます。
IDPシグネチャデータベースは、IDP対応デバイスに保存され、事前定義された攻撃オブジェクトとグループの定義が含まれています。これらの攻撃オブジェクトとグループは、ネットワークトラフィック内の既知の攻撃パターンとプロトコルの異常を検出するように設計されています。攻撃オブジェクトとグループは、IDP ポリシールールの一致条件として設定できます。
ジュニパーネットワークスが提供する署名データベースの更新を毎日ダウンロードしてインストールするには、IDP署名データベース更新ライセンスキーをデバイスにインストールする必要があります。IDP署名ライセンスキーは、猶予期間のサポートを提供しません。ライセンスの詳細については、 Junos OS機能のライセンスキーを参照してください。
Junos OSリリース18.3R1以降、明示的なプロキシサーバーを介してIDPセキュリティパッケージをダウンロードできます。外部サーバーでホストする IDP セキュリティ パッケージをダウンロードするには、プロキシ プロファイルを構成し、プロキシ プロファイルで構成されているプロキシ ホストとポートの詳細を使用する必要があります。この機能を使用すると、全体的なセキュリティ ソリューションの HTTP(S) アウトバウンド セッションのアクセスと認証に、デバイスに展開された Web プロキシ サーバーを使用できます。
次のタスクを実行して、IDP 署名データベースを管理できます。
シグネチャデータベースの更新:ジュニパーネットワークスのWebサイトで利用可能な攻撃データベースの更新をダウンロードします。新しい攻撃は毎日発見されるため、シグネチャデータベースを最新の状態に保つことが重要です。
署名データベースのバージョンを確認する - 各署名データベースのバージョン番号は異なり、最新のデータベースが最も大きい番号が付けられます。CLI を使用して、署名データベースのバージョン番号を表示できます。
プロトコル ディテクタ エンジンの更新:シグニチャ データベースのダウンロードとともに、プロトコル ディテクタ エンジンの更新をダウンロードできます。IDP プロトコル検出器には、アプリケーション層のプロトコル デコーダーが含まれています。ディテクタはIDPポリシーと結合され、一緒に更新されます。これは、ディテクターに変更がない場合でも、ポリシーの更新時に常に必要です。
シグニチャデータベース更新のスケジュール:設定した時間が経過した後にシグニチャデータベースを自動的に更新するようにIDP対応デバイスを設定できます。
IDP 署名データベースの更新の概要
ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトで利用できるようにしています。このデータベースには、トラフィックを既知の攻撃と照合するためにIDPポリシーで使用できる攻撃オブジェクトグループが含まれています。事前定義された攻撃オブジェクトを作成、編集、または削除することはできませんが、CLI を使用して、IDP ポリシーで使用できる攻撃オブジェクトのリストを更新することはできます。
シグネチャ データベースを更新するには、ジュニパーネットワークスの Web サイトから、または明示的な Web プロキシ サーバーからセキュリティ パッケージをダウンロードします。セキュリティパッケージは、次のIDPコンポーネントで構成されています。
攻撃オブジェクト
攻撃対象グループ
アプリケーションオブジェクト
IDPディテクタエンジンの更新
IDP ポリシー テンプレート。ポリシーテンプレートは個別にダウンロードされます。 事前定義されたIDPポリシーテンプレートについてを参照してください)。
デフォルトでは、セキュリティパッケージをダウンロードすると、次のコンポーネントがデバイスのステージングフォルダーにダウンロードされます:完全な攻撃オブジェクトグループテーブルの最新バージョン、アプリケーションオブジェクトテーブル、およびIDPディテクタエンジンの更新。通常、アタック・オブジェクト・テーブルはサイズが大きいため、デフォルトでは、システムはアタック・オブジェクト・テーブルの更新のみをダウンロードします。ただし、 full-update
構成オプションを使用して、完全な攻撃オブジェクト テーブルをダウンロードできます。
セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。
セキュリティパッケージをインストールした後、設定をコミットすると、(アクティブなポリシーだけでなく)すべてのポリシーの構文がチェックされます。このチェックは、コミットチェックと同じです。既存のポリシーのいずれかで設定された攻撃が、ダウンロードした新しいシグニチャ データベースから削除された場合、コミット チェックは失敗します。
IDPシグネチャデータベースを更新しても、ポリシーで設定された攻撃は自動的に更新されません。たとえば、システムのシグニチャ データベース バージョン 1200 で利用可能な攻撃 FTP:USER:ROOT
を含めるようにポリシーを構成するとします。次に、攻撃 FTP:USER:ROOT
が含まれなくなった署名データベース バージョン 1201 をダウンロードします。ポリシーで設定された攻撃が新しくダウンロードされたデータベースから見つからないため、CLIでのコミットチェックは失敗します。構成を正常にコミットするには、ポリシー構成から攻撃 (FTP:USER:ROOT
) を削除する必要があります。
何らかの理由で新しいIDPポリシーの読み込みに失敗した場合、IDPシグネチャの更新が失敗する可能性があります。新しいIDPポリシーのロードが失敗すると、最後の既知の良好なIDPポリシーがロードされます。新しいポリシーロードの問題が解決され、新しい有効なポリシーがアクティブになると、署名の更新は正しく機能します。
IDP署名パッケージの改善
停止のリスクを軽減し、セキュリティ パッケージの更新中の整合性の問題の影響を制御するために機能強化を行いました。
IDP は、セキュリティ パッケージのインストール時にアプリケーション パッケージをインストールするように AppID に通知します。AppID パッケージがインストールされると、IDP セキュリティ パッケージが次の順序でインストールされます。
攻撃データベースは、ダウンロードされたシグネチャを使用して作成されます。
設定されたポリシーが、新しくインストールされたデータベースの情報で更新されます。
更新されたポリシーがパケット転送エンジンにロードされます。
トラフィックは、パケット転送エンジンに新しく読み込まれたポリシーを使用して検査されます。
サービス停止は、ステップ 1 から 3 で問題またはコア・ダンプが発生した場合には発生しません。サービスの停止は、トラフィックの検査中にコア ダンプが発生した場合に発生します。
同様に、攻撃データベースの作成中または構成されたポリシーの更新中に問題が発生した場合、セキュリティパッケージのロールバックは必要ありません。ただし、更新されたポリシーの読み込み中またはトラフィックの検査中に問題が発生した場合は、ロールバック プロセスがトリガーされます。シグネチャ パッケージは、事前定義された基準に基づいて、パケット転送エンジンまたはフロー プロセス(flowd)からの切断があるかどうか、整合性チェックに失敗します。
この機能強化により、セキュリティ パッケージのインストールが成功しなかった場合、署名パッケージは自動的にロールバックされます。これは、整合性チェックに失敗したパッケージが検出された場合、またはメモリが不足しているために発生する可能性があります。
メモリが不足しているときに署名パッケージがインストールされていない場合、署名パッケージは整合性チェックに失敗としてマークされず、IDP に対してのみロールバックがトリガーされます。
新しいシグネチャ パックのインストールが失敗した後に自動ロールバックがトリガーされた場合、インストールされているバージョンと手動ロールバックのバージョンは変更されません。
以下は、セキュリティパッケージのインストールが失敗した場合のロールバックシナリオです。
セキュリティパッケージのインストール |
形容 |
---|---|
工場出荷時の状態のデバイスへのセキュリティパッケージのインストール |
ロールバック データベースが存在しません。インストールが失敗した場合、または整合性チェックに失敗したパッケージが検出された場合、ロールバックは行われません。インストールが成功すると、新しいロールバック データベースが作成されます。 |
工場出荷時の状態以外のデバイスへのセキュリティパッケージのインストール |
ルーティングエンジンでのインストールに失敗した場合、ロールバックは行われません。パケット転送エンジンは、すでに読み込まれているポリシーを使用してトラフィックを検査します。 署名パッケージがパケット転送エンジンへのロード後に整合性チェックに失敗したパッケージであると判断された場合、ロールバックプロセスがトリガーされ、パケット転送エンジンには以前にインストールされたソフトウェアセキュリティパッケージが含まれます。 |
自動ロールバックがトリガーされると、新しいステータスメッセージが表示されます。次のコマンドを使用してメッセージを確認できます。
root@host> request security idp security-package install status
Security-package validation failed, triggered auto rollback of the security-package.
署名パッケージが整合性チェックに失敗したパッケージであることが判明した場合、IDP はロールバックされます。IDPはAppIDにロールバックのシグナルを送信しますが、IDPはAppIDロールバックステータスを待機しません。
ロールバックのステータスは、次のコマンドで確認できます。
root@host> request security idp security-package rollback status
ロールバックのステータスは、自動ロールバック失敗または正常完了として表示されます。ロールバックされたバージョンが表示されます。
次のコマンドを使用して、データ プレーンの検証中に失敗した署名パックの詳細を確認できます。
root@host> show security idp security-package-version detail
Attack database version:3550(Thu Dec 1 14:20:50 2022 UTC) Detector version :12.6.180220128 Policy template version :3598 Rollback Attack database version :3550(Thu Dec 1 14:20:50 2022 UTC) Rollback Detector version: 12.6.180220128 Last known security-package-version which failed in data plane validation: 3650(Thu Nov 9 14:08:04 2023 UTC) Last known security-package- detector-version which failed in data plane validation : 12.6.180230313
マルチSPC/PIC SRXシリーズファイアウォールでのロールバック
現在、SRX5000シリーズファイアウォールなどのマルチSPCまたはマルチPICデバイスにセキュリティパッケージをインストールすると、セキュリティパッケージがすべてのPICに同時にインストールされ、ロードされます。1つのPICでデータプレーンがダウンした場合、シャーシプロセス(chassisd)により他のすべてのPICがオフラインになります。一度に1つのPICに署名パックをインストールしても機能しません。また、PICがオンラインに戻ったときに、同じトラフィックとデータプレーンの問題に直面し、停止が繰り返される可能性があります。
シグネチャ パックのインストール後にコア ダンプが発生した場合、PIC がオンラインに戻るとセキュリティ パッケージがロールバックされるため、潜在的な被害が最小限に抑えられます。
セキュリティパッケージがインストールされ、ポリシーがパケット転送エンジンにロードされた後、署名パッケージの整合性チェックが検証された後、新しいステータスメッセージがstatusコマンド出力に追加されます。
root@host> request security idp security-package install status
Security-package validation is in progress…
高可用性環境でのセキュリティパッケージのインストール
高可用性シナリオでは、セキュリティパッケージのインストールはプライマリノードとセカンダリノードで同時にトリガーされます。セキュリティパッケージの問題によりsrxpfeプロセスが失敗すると、フェイルオーバーが発生し、セカンダリノードが引き継ぎます。
同じセキュリティパッケージがセカンダリノードにインストールされているときにフェイルオーバーがループで発生するのを避けるために、整合性チェックの検証はプライマリノードのインストール段階で実行されます。セキュリティ パッケージは、パッケージが整合性チェックに合格した後にのみセカンダリ ノードにインストールされます。セカンダリノードへのインストールは、別のバージョンの署名パッケージをダウンロードするまで許可されません。
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- In progress:performing DB update for an xml (groups.xml) node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the security-package.
シグネチャパッケージのインストール中、install コマンドの実行後、および整合性チェックの検証が完了したときに、フェイルオーバーまたはスイッチオーバーが発生すると、古いプライマリノードで自動ロールバックがトリガーされ、古いセカンダリノードでのインストールが中止されます。
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation aborted due to node failover node1: -------------------------------------------------------------------------- Done;Security-package installation failed due to node failover;Successfully Rolled back to 3656
プライマリノードでインストールが失敗した場合、プライマリノードでロールバックが発生し、セカンダリノードでのインストールが中止されます。
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation failed;Successfully Rolled back to 3550 node1: -------------------------------------------------------------------------- Done;Security-package installation aborted due to failure in the primary node installation
拡張後にセキュリティパッケージを高可用性デバイスにインストールすると、次の変更が見られます。
セキュリティパッケージのインストール |
形容 |
---|---|
両方のノードへのセキュリティパッケージのインストール(デフォルト) |
セキュリティパッケージのインストールがプライマリノードで開始されます。セカンダリ ノードへの署名パックのインストールは、プライマリ ノードで署名パッケージの整合性検証チェックに合格した後にのみ開始されます。 署名パッケージのロールバックは、パッケージが整合性チェックに失敗した場合にプライマリノードでトリガーされます。パッケージがセカンダリノードにインストールされていません。 セカンダリノードでセキュリティパッケージのインストールに失敗した場合、セカンダリノードでのみロールバックがトリガーされ、セキュリティパッケージのバージョンが一致しないため、マイナーアラームが発生します。 |
プライマリノードへのセキュリティパッケージのインストールのみ |
インストールが失敗した場合、ロールバックはプライマリノードでのみ行われます。 |
署名パッケージの整合性検証チェックは、セカンダリ ノードでは実行されません。プライマリ ノードで整合性チェックに失敗した署名パッケージは、セカンダリ ノードでも失敗とマークされます。プライマリノードとセカンダリノードに異なるシグニチャパッケージバージョンがインストールされている場合、マイナーアラームが発生します。
整合性チェックに失敗したパッケージのダウンロードまたはインストールを禁止する
スタンドアロンまたは高可用性セットアップで整合性チェックに失敗した署名パッケージをダウンロードまたはインストールすることはできません。警告が表示されます。整合性チェックに失敗した署名パッケージは、再起動後も存在します。
署名パッケージが AppID の整合性チェックに失敗した場合、IDP でも失敗したと見なされます。
次のコマンドを使用して、状態を確認できます。
root@host> request security idp security-package install status
Done;AI installation failed (failed in data plane validation)
プライマリ ノードで整合性チェックに失敗したとマークされた署名パッケージは、セカンダリ ノードでもそのようにマークされます。整合性チェックに失敗したセキュリティ パッケージをダウンロードしようとして、状態を確認すると、次のステータス メッセージが表示されます。
root@host> request security idp security-package download status
Requested security-package 3501 failed data plane validation. Please download another version.
整合性チェックに失敗したセキュリティ パッケージをインストールしようとして状態を確認すると、次のメッセージが表示されます。
Requested security-package 3501 failed data plane validation. Please install another version.
整合性チェックに失敗したセキュリティパッケージをオフラインでダウンロードしようとすると、同じメッセージが表示されます。
インストール後の最後の正常なポリシーの読み込み時の署名パッケージのロールバック
IDP ポリシーは、IDP ポリシー プロセスの再開時、コンパイルが必要な設定の変更時、またはシグネチャ パックのインストール時にコンパイルする必要があります。ポリシーのコンパイル後、ルーティングエンジンは、現在ロードされているポリシーのバックアップを取った後、ポリシーの読み込みを試みます。このポリシーは、last-good-policy という名前が付けられています。コンパイルされたばかりのポリシーがメモリ制限などの理由でロードに失敗した場合、ルーティングエンジンは最後の正常なポリシーの読み込みを試みます。
そのため、シグネチャパックのインストール後にポリシーがコンパイルされ、ポリシーの読み込みに失敗した場合、ルーティングエンジンは最後の正常なポリシーの読み込みを試みます。ただし、最後の正常なポリシーがロードされた後は、ルーティング エンジンとパケット転送エンジンのシグニチャ パッケージのバージョンが異なります。ルーティングエンジンのシグネチャパッケージは、一貫性を維持するためにロールバックされます。
関連項目
明示的プロキシサーバーを使用したJunos OS IDP署名パッケージのダウンロードの概要
Junos OSリリース18.3R1以降、明示的なプロキシサーバーを介してIDPセキュリティパッケージをダウンロードできます。外部サーバーでホストする IDP セキュリティ パッケージをダウンロードするには、プロキシ プロファイルを構成し、プロキシ プロファイルで構成されているプロキシ ホストとポートの詳細を使用する必要があります。この機能を使用すると、HTTP(S) アウトバウンド セッションのアクセスと認証に、デバイスに展開された Web プロキシ サーバーを使用できます。
指定したプロキシサーバー経由で外部サーバーに接続するには、セキュリティパッケージダウンロードのプロキシプロファイルオプションを設定する必要があります。プロキシ プロファイルは、 [edit services proxy]
階層で構成されます。
[edit services proxy]
階層の下に複数のプロキシプロファイルを設定できます。IDP で使用できるプロキシ プロファイルは 1 つだけです。複数のプロキシ プロファイルを IDP で同時に使用することはできません。プロキシプロファイルが[security idp security-package]
階層で設定されている場合、idpd プロセスは署名パックダウンロードサーバーではなくプロキシホストに接続します。その後、プロキシホストはダウンロードサーバーと通信し、idpdプロセスに応答を返します。idpd プロセスは、[edit services proxy]
階層で変更が行われるたびに通知されます。
不要な場合は、IDP署名パッケージをダウンロードするためのプロキシサーバーを無効にすることができます。
IDP 署名のダウンロードのプロキシ サーバーを無効にするには、 delete security idp security-package proxy-profile proxy-profile
IDP Web プロキシのサポートは、システム レベルで設定されたプロキシ プロファイルに依存します。ダウンロードに Web プロキシ サーバーを使用するには、プロキシ サーバーのホストとポートの詳細を使用してプロキシ プロファイルを構成し、プロキシ プロファイルを [security idp security-package]
階層に適用する必要があります。
例:シグニチャ データベースの自動更新
この例では、シグニチャ データベースの更新を自動的にダウンロードする方法を示しています。
必要条件
開始する前に、ネットワークインターフェイスを設定します。
概要
ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトでセキュリティパッケージとして利用できるようにしています。このデータベースには、トラフィックを既知の攻撃と照合するためにIDPポリシーで使用できる攻撃オブジェクトと攻撃オブジェクトグループが含まれています。指定した間隔で署名データベースの更新を自動的にダウンロードするようにデバイスを設定できます。
この例では、12 月 10 日午後 11 時 59 分から 48 時間ごとに、攻撃オブジェクトと攻撃オブジェクト グループの完全なテーブルを含むセキュリティ パッケージをダウンロードします。また、セキュリティ パッケージの自動ダウンロードと更新も有効にします。
構成
プロシージャ
手順
定義済みの攻撃オブジェクトをダウンロードして更新するには:
セキュリティ パッケージの URL を指定します。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
手記:デフォルトでは、https://signatures.juniper.net/cgi-bin/index.cgi としてURLを取ります。
ダウンロードの時間と間隔の値を指定します。
[edit] user@host# set security idp security-package automatic interval 48 start-time 2009-12-10.23:59:00
セキュリティパッケージの自動ダウンロードと更新を有効にします。
[edit] user@host# set security idp security-package automatic enable
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
IDP 署名データベースの手動更新の概要
ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトで利用できるようにしています。このデータベースには、侵入検出および防御(IDP)ポリシーでトラフィックを既知の攻撃と照合するために使用できる攻撃オブジェクトグループが含まれています。事前定義された攻撃オブジェクトを作成、編集、または削除することはできませんが、CLI を使用して、IDP ポリシーで使用できる攻撃オブジェクトのリストを更新することはできます。セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。
例:IDP シグニチャ データベースの手動更新
この例では、IDP シグニチャ データベースを手動で更新する方法を示しています。
必要条件
開始する前に、ネットワークインターフェイスを設定します。
概要
ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスのWebサイトでセキュリティパッケージとして利用できるようにしています。このデータベースには、トラフィックを既知の攻撃と照合するためにIDPポリシーで使用できる攻撃オブジェクトと攻撃オブジェクトグループが含まれています。
この例では、攻撃オブジェクトと攻撃対象グループの完全な表を含むセキュリティパッケージをダウンロードします。インストールが完了すると、攻撃オブジェクトと攻撃オブジェクトグループは、CLI の [edit security idp idp-policy] 階層レベルの事前定義された攻撃グループと事前定義された攻撃構成ステートメントで使用できます。ポリシーを作成し、新しいポリシーをアクティブなポリシーとして指定します。また、ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードしてから、これらの新しいアップデートで攻撃データベース、実行ポリシー、ディテクタを更新します。
構成
プロシージャ
CLIクイック構成
設定中に手動による介入が必要なため、この例ではCLIクイック設定は使用できません。
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
シグネチャ データベースを手動でダウンロードして更新するには:
セキュリティ パッケージの URL を指定します。
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
手記:デフォルトでは、 https://signatures.juniper.net/cgi-bin/index.cgi としてURLが使用されます。
設定をコミットします。
[edit] user@host# commit
動作モードに切り替えます。
[edit] user@host# exit
セキュリティパッケージをダウンロードします。
user@host>request security idp security-package download full-update
手記:デバイスでオフライン署名パッケージのダウンロードを実行できます。署名パッケージをダウンロードしてデバイス内の任意の共通場所にパッケージをコピーし、
request security idp security-package offline-download
コマンドを使用してパッケージをオフラインでダウンロードできます。署名パッケージのインストールは同じままで、常に完全な更新になります。
セキュリティパッケージのダウンロードステータスを確認します。
user@host>request security idp security-package download status
install コマンドを使用して攻撃データベースを更新します。
user@host>request security idp security-package install
次のコマンドを使用して、攻撃データベースの更新ステータスを確認します (コマンド出力には、攻撃データベースのバージョンのダウンロード済みバージョンとインストール済みバージョンに関する情報が表示されます)。
user@host>request security idp security-package install status
構成モードに切り替えます。
user@host>configure
IDP ポリシーを作成します。
[edit ] user@host#edit security idp idp-policy policy1
攻撃オブジェクトまたは攻撃オブジェクト グループをポリシーに関連付けます。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
アクションを設定します。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
ポリシーをアクティブ化します。
[edit] user@host#set security idp active-policy policy1
設定をコミットします。
[edit] user@host# commit
一週間が経過したら、ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードしてください。
user@host>request security idp security-package download
セキュリティパッケージのダウンロードステータスを確認します。
user@host>request security idp security-package download status
攻撃データベース、アクティブなポリシー、およびディテクタを新しい変更で更新します。
user@host>request security idp security-package install
インストールステータスを使用して、攻撃データベース、アクティブなポリシー、およびディテクタを確認します。
user@host>request security idp security-package install status
手記:新しいバージョンの攻撃データベースから攻撃が削除される可能性があります。この攻撃がデバイス上の既存のポリシーで使用される場合、新しいデータベースのインストールは失敗します。インストール ステータス メッセージは、無効になった攻撃を識別します。データベースを正常に更新するには、削除された攻撃への参照をすべて既存のポリシーとグループから削除し、install コマンドを再実行します。
業績
設定モードから、 show security idp
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit
を入力します。
例:シャーシ クラスタ モードでの IDP セキュリティパッケージのダウンロードとインストール
この例では、シャーシ クラスタ モードで動作するデバイスに IDP シグネチャ データベースをダウンロードしてインストールする方法を示しています。
必要条件
開始する前に、シャーシ クラスタ ノード ID とクラスタ ID を設定します。 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定 を参照してください。
概要
侵入検出と防御(IDP)のセキュリティパッケージには、事前定義されたIDP攻撃オブジェクトとIDP攻撃オブジェクトグループのデータベースが含まれており、IDPポリシーで使用してトラフィックを既知および未知の攻撃と照合できます。ジュニパーネットワークスは、事前に定義された攻撃オブジェクトとグループを、新たに発見された攻撃パターンで定期的に更新します。
署名データベースを更新するには、ジュニパーネットワークスの Web サイトからセキュリティ パッケージをダウンロードする必要があります。セキュリティパッケージをダウンロードしたら、パッケージをインストールして、デバイスのステージングフォルダーから新しくダウンロードしたアップデートでセキュリティデータベースを更新する必要があります。
すべてのブランチSRXシリーズファイアウォールで、コントロールプレーンでデバイスのメモリ使用率が高い場合、大きなIDPポリシーをロードすると、デバイスのメモリが不足する可能性があります。これにより、IDPセキュリティパッケージの更新中にシステムの再起動がトリガーされる可能性があります。
詳細については、 IDP 署名データベースについてを参照してください。
シャーシクラスタモードで動作しているデバイスにIDPセキュリティパッケージをダウンロードすると、セキュリティパッケージがプライマリノードにダウンロードされてから、セカンダリノードに同期されます。この同期は、プライマリ ノードとセカンダリ ノードの両方で同じバージョンのセキュリティ パッケージを維持するのに役立ちます。
IDP署名データベースのダウンロードとインストール
プロシージャ
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
セキュリティ パッケージの URL を指定します。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
動作モードに切り替えます。
[edit] user@host# exit
IDP セキュリティパッケージをプライマリノードにダウンロードします( var/db/idpd/sec-download フォルダーにダウンロードします。
{primary:node0}[edit] user@host> request security idp security-package download
次のメッセージが表示されます。
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
セキュリティパッケージのダウンロードステータスを確認します。
{primary:node0}[edit] user@host> request security idp security-package download status
ダウンロードが成功すると、次のメッセージが表示されます。
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
install
コマンドを使用して攻撃データベースを更新します。user@host> request security idp security-package install
攻撃データベースの更新ステータスを確認します。コマンドの出力には、ダウンロードおよびインストールされた攻撃データベースのバージョンに関する情報が表示されます。
{primary:node0}[edit] user@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.
手記:IDP 署名パッケージをプライマリノードにダウンロードする必要があります。このようにして、セキュリティパッケージはセカンダリノードで同期されます。署名パッケージをセカンダリ ノードにダウンロードしようとすると失敗します。
セキュリティ パッケージのスケジュール ダウンロードを設定した場合、署名パッケージ ファイルはプライマリ ノードからバックアップ ノードに自動的に同期されます。
明示的プロキシサーバーを介したJunos OS IDP署名パッケージのダウンロード
この例では、プロキシプロファイルを作成し、それを使用して明示的なプロキシサーバーを介してIDP署名パッケージをダウンロードする方法を示します。
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを edit
階層の CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
構成
手順
プロキシサーバーのプロキシプロファイルが作成され、プロキシサーバーを介してIDP署名パッケージをダウンロードするためのidpdプロセスによってこのプロファイルが参照されます。
-
プロキシ ホストの IP アドレスを指定します。
[edit]
user@host#
set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 プロキシ サーバーが使用するポート番号を指定します。
[edit]
user@host#
set services proxy profile test_idp_proxy1 protocol http port 3128セキュリティパッケージのダウンロード時に参照する必要があるプロキシプロファイルを指定します。
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
設定をコミットします。
[edit] user@host# commit
動作モードに切り替えます。
[edit] user@host# exit
IDP セキュリティパッケージをダウンロードします。
user@host> request security idp security-package download full-update
手記:ジュニパーのWebサイトから、オフラインでIDP署名パッケージをダウンロードしてインストールするオプションは引き続きご利用いただけます。IDP 署名パッケージをオフラインでダウンロードしてインストールするには、
request security idp security-package offline-download
CLI コマンドを実行します。インストールプロセスは、両方のダウンロードコマンドで同じままです。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
この設定例は、Junos OSリリース18.3R1以降を搭載したSRXシリーズファイアウォールでテストされています。
概要
ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークス Web サイトでセキュリティ パッケージとして利用できるようにしています。このデータベースには、トラフィックを既知の攻撃と照合するためにIDPポリシーで使用できる攻撃オブジェクトと攻撃オブジェクトグループが含まれています。
Junos OS リリース 18.3R1 以降では、プロキシサーバーを使用して IDP 署名パッケージをダウンロードできます。プロキシー・プロファイル構成は、HTTP 接続でのみ使用可能です。
この例では、SRXシリーズファイアウォールが、設定されたプロキシプロファイルを利用して、外部サーバーで利用可能な攻撃オブジェクトと攻撃オブジェクトグループの完全なテーブルを含むIDPセキュリティパッケージをダウンロードしてインストールします。
インストールが完了すると、ダウンロードおよびインストールされたすべてのIDP攻撃オブジェクトと攻撃グループをIDPポリシーで構成できるようになります。これらの攻撃オブジェクトと攻撃オブジェクトは、 set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name
階層の下のセキュリティルールで使用されます。ポリシーを作成し、新しいポリシーをアクティブなポリシーとして指定します。ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードし、これらのアップデートで攻撃データベース、実行ポリシー、ディテクタを更新できます。
明示的なプロキシサーバーを介したIDP署名パッケージのダウンロードを有効にするには:
set services proxy profile
コマンドを使用して、プロキシー・サーバーのホストとポートの詳細を含むプロファイルを構成します。set security idp security-package proxy-profile profile-name
コマンドを使用してプロキシ サーバーに接続し、IDP 署名パッケージをダウンロードします。
IDP 署名パッケージをダウンロードすると、要求はプロキシ ホストを介して署名パッケージをホストする実際のサーバーに送信されます。その後、プロキシ ホストは実際のホストから応答を送り返します。IDP署名パッケージは、https://signatures.juniper.net/cgi-bin/index.cgi ジュニパーネットワークスのセキュリティWebサイトから受信されます。
この例では、プロキシプロファイルを作成し、外部ホストからIDP署名パッケージをダウンロードするときにプロファイルを参照します。 表 3 に、この例で使用されるパラメーターの詳細を示します。
パラメーター |
名前 |
---|---|
プロファイル名 |
test_idp_proxy1 |
プロキシサーバーのIPアドレス |
10.209.97.254 |
プロキシサーバーのポート番号 |
3128 |
検証
プロキシサーバーを介したIDP署名のダウンロードの確認
目的
プロキシ サーバー経由でダウンロードした IDP 署名パッケージの詳細を表示します。
アクション
動作モードから、 show security idp security-package proxy-profile
コマンドを入力して、IDP 固有のプロキシの詳細を表示します。
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.209.97.254 Port of proxy server :3128
意味
出力では、IDP 固有のプロキシ プロファイルの詳細が [ Proxy Profile
] フィールドと [ Proxy Address
] フィールドに表示されます。
IDP署名のダウンロードステータスの確認
目的
IDP 署名パッケージのダウンロード状態を確認します。
アクション
セキュリティパッケージのダウンロードステータスを確認します。
動作モードから、 request security idp security-package download status
コマンドを入力します。
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
意味
出力には、IDP 署名パッケージのダウンロード ステータスが表示されます。
IDP 署名データベースのバージョンについて
新しい攻撃オブジェクトは、シグネチャ データベース サーバに頻繁に追加されます。これらのアップデートを定期的にダウンロードして管理対象デバイスにインストールすることで、ネットワークを最新の脅威から効果的に保護します。新しい攻撃オブジェクトがシグネチャ データベース サーバーに追加されると、データベースのバージョン番号が最新のデータベース バージョン番号で更新されます。各署名データベースには異なるバージョン番号があり、最新のデータベースが最も大きい番号が付けられます。
シグネチャデータベースをアップデートする場合、シグニチャデータベースアップデートクライアントはジュニパーネットワークスのWebサイトに接続し、HTTPS接続を使用してアップデートを取得します。この更新プログラム (既存の署名データベースと最新の署名データベースの差) は、各署名データベースに割り当てられているバージョン番号に基づいて計算されます。更新プログラムをダウンロードすると、更新された情報が既存の署名データベースにマージされ、バージョン番号が最新の署名データベースのバージョン番号に設定されます。
関連項目
IDP 署名データベースのバージョンの確認
目的
署名データベースのバージョンを表示します。
アクション
CLI の動作モードから、 show security idp security-package-version
を入力します。
サンプル出力
コマンド名
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
意味
出力には、IDP 対応デバイスのシグニチャデータベース、プロトコルディテクタ、ポリシーテンプレートのバージョン番号が表示されます。次の情報を確認します。
Attack database version
—2008 年 4 月 16 日に、デバイスでアクティブなシグネチャ データベースのバージョンが31
されます。Detector version
—デバイスで現在実行されている IDP プロトコル ディテクタのバージョン番号を表示します。Policy template version
—CLI でrequest security idp security-package install policy-templates
設定ステートメントを実行するときに、/var/db/scripts/commit
ディレクトリにインストールされるポリシー テンプレートのバージョンを表示します。
出力の詳細については、 show security idp security-package-version の説明を参照してください。
関連項目
Snort IPS シグネチャについて
概要 ジュニパーネットワークスのIDPは、Snort IPSシグネチャをサポートしています。Juniper Integration of Snort Tool(JIST)を使用して、Snort IPSルールをJuniper IDPカスタム攻撃シグネチャに変換できます。これらの Snort IPS ルールは、悪意のある攻撃の検出に役立ちます。
IDPは、攻撃の検出に役立つシグネチャを使用してネットワークを保護します。Snortはオープンソースの侵入防御システム(IPS)です。
Junos OS リリース 21.1R1 以降、ジュニパーネットワークス IDP は Snort IPS シグネチャをサポートしています。Juniper Integration of Snort Tool(JIST)を使用して、Snort IPSルールをJuniper IDPカスタム攻撃シグネチャに変換できます。これらの Snort IPS ルールは、悪意のある攻撃の検出に役立ちます。
- JISTはデフォルトでJunos OSに含まれています。このツールは、Snort バージョン 2 およびバージョン 3 のルールをサポートしています。
- JISTは、snort-idsを使用したSnortルールを、Junos OS上で同等のカスタム攻撃シグネチャに変換し、それぞれのsnort-idをカスタム攻撃名として使用します。
- Snort IPS ルールを使用して
request
コマンドを実行すると、JIST は Snort IPS ルールと同等のset
コマンドを生成します。request security idp jist-conversion
コマンドを使用して、CLI 出力としてset
コマンドを生成します。set
コマンドを読み込むには、load set terminal
ステートメントを使用するか、設定モードでコマンドをコピーして貼り付け、コミットします。その後、変換されたカスタム攻撃シグネチャを使用して既存のIDPポリシーを構成できます。 - 変換されなかったすべての Snort IPS ルールファイルは、 /tmp/jist-failed.rules に書き込まれます。変換中に生成されたエラー・ログ・ファイルは、 /tmp/jist-error.log に書き込まれます。
- jist-package のバージョンを表示するには、
show security idp jist-package-version
コマンドを使用します。
Snort IPS シグネチャの利点
- 悪意のある攻撃の検出に役立ちます。