PCAP 用 IDP ユーティリティ
パケット キャプチャについて
SRX300、SRX320、SRX340、SRX345、SRX550、SRX550HMデバイスでは、IDP検証プロセスを改善するために、パケットキャプチャ(PCAP)トラフィックのコンテキストと関連データのみを表示およびクリアするCLIコマンドが導入されています。
パケット キャプチャ ユーティリティを inet モードまたは透過モードで実行して、プロトコル コンテキストを生成できます。コマンドラインPCAPフィーダーユーティリティツールは、UNIXシェルプロンプト(%)から実行する必要があります。
PCAP フィーダー ユーティリティは、トラフィックで使用可能な送信元と宛先の IPv4 アドレスのペア、パケットが供給されるインターフェイス、およびこれらの PCAP が挿入されるインターフェイス用に設定された IPV4 アドレスを使用します。 PCAPがこれらのインターフェイスに供給されると、PCAPに関連付けられたコンテキストのリストとデータがコンテキストと照合されます。コンテキスト、ヒット、および関連データは、PCAP フィーダーによって生成されたトラフィックに対してのみ表示されます。ライブ交通統計はキャプチャされません。パケットをフィードするときは、必ずインターフェイスのサブネットIPにパケットをフィードしてください。インターフェイス IP にパケットをフィードする場合、IDP セキュリティ処理はコンテキストを検出しない可能性があります。インターフェイス IP を除き、他のすべてのサブネット IP を使用できます。
PCAP フィーダー ユーティリティ ツールを使用して新しい PCAP を実行する前に、次の clear contexts コマンドを使用して、既存のコンテキストとデータをクリアします。
[edit security] user@host> clear security idp attack context user@host> clear security flow session interface <intf1> user@host> clear security flow session interface <intf2> user@host> clear security flow session idp user@host> clear security idp attack table
InetモードPCAPフィーダーに使用されるサンプルコマンド:
% pcapfeed –verbose --interface-ip1 5.0.0.13 --interface-ip2 15.0.0.14 --pcap-ip1 6.0.0.1 --pcap-ip2 7.0.0.1 --interface1 ge-0/0/6 --interface2 ge-0/0/7 --pcap /var/tmp/http.pcap
又は
% pcapfeed –quiet --interface-ip1 5.0.0.13 --interface-ip2 15.0.0.14 --pcap-ip1 6.0.0.1 --pcap-ip2 7.0.0.1 --interface1 ge-0/0/6 --interface2 ge-0/0/7 --pcap /var/tmp/http.pcap
透過モードPCAPフィーダーに使用されるコマンド例:
% pcapfeed –verbose –transparent --pcap-ip1 6.0.0.1 --pcap-ip2 7.0.0.1 --interface1 ge-0/0/6 --interface2 ge-0/0/7 --pcap /var/tmp/http.pcap
又は
% pcapfeed –quiet –transparent --pcap-ip1 6.0.0.1 --pcap-ip2 7.0.0.1 --interface1 ge-0/0/6 --interface2 ge-0/0/7 --pcap /var/tmp/http.pcap
表 1 は、上記のサンプル出力の PCAP フィーダー ツールのフィールドを定義しています。
Fields |
Description |
pcap - 静か |
コンソールにログが表示されないようにします。 |
pcap --詳細 |
コンソールにログを表示できるようにします。 |
インターフェイス-IP1 |
PCAP パケットを供給する最初のインターフェイスの IP アドレス |
インターフェイス-IP2 |
PCAP パケットを供給するための他のインターフェイスの IP アドレス |
pcap-ip1 |
PCAP に表示される IP アドレス |
pcap-ip2 |
PCAP に表示される別の IP アドレス |
インターフェイス1 |
SRXデバイスのインターフェイス1 |
インターフェイス2 |
SRXデバイスのインターフェイス1 |
PCAPフィーダーは以下をサポートしていません。
IPv6
FTPなどの複数のチャネルプロトコル
例:inet モードでのパケット・キャプチャー・フィーダーの構成
この例では、パケット キャプチャ(PCAP)フィーダーを inet モードで実行して、プロトコル コンテキストを生成する方法について説明します。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
概要
関連する IDP ポリシーを使用して PCAP フィーダーを実行し、関連するプロトコル コンテキストを取得します。この例では、PCAPはクワイエットモードでpcap-ip1 6.0.0.1とpcap-ip2 7.0.0.1を使用して供給されます。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit]
階層レベルのCLIに貼り付け、設定モードから commit
を入力します。
set security idp idp-policy idppolicy rulebase-ips rule 1 match from-zone any set security idp idp-policy idppolicy rulebase-ips rule 1 match source-address any set security idp idp-policy idppolicy rulebase-ips rule 1 match to-zone any set security idp idp-policy idppolicy rulebase-ips rule 1 match destination-address any set security idp idp-policy idppolicy rulebase-ips rule 1 match application default set security idp idp-policy idppolicy rulebase-ips rule 1 match attacks predefined-attack-groups “HTTP - All” set security idp idp-policy idppolicy rulebase-ips rule 1 then action close-client-and-server set security idp idp-policy idppolicy rulebase-ips rule 1 then notification log-attacks set security forwarding-options family inet6 mode flow-based set security policies from-zone trust to-zone untrust policy 1 match source-address any set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit application-services idp-policy idppolicy set security policies from-zone untrust to-zone trust policy 1 match source-address any set security policies from-zone untrust to-zone trust policy 1 match destination-address any set security policies from-zone untrust to-zone trust policy 1 match application any set security policies from-zone untrust to-zone trust policy 1 then permit application-services idp-policy idppolicy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust application-tracking set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set interfaces ge-0/0/0 unit 0 family inet address 5.0.0.15/24 set interfaces ge-0/0/2 unit 0 family inet address 15.0.0.16/24
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
アプリケーションを作成して IDP ポリシーに関連付けるには:
わかりやすい名前を割り当ててポリシーを作成し、ルールベースをポリシーに関連付け、ルールベースにルールを追加し、ルールの一致条件を定義します。
[edit security] user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match from-zone any user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match source-address any user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match to-zone any user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match destination-address any user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match application default user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match attacks predefined-attack-groups “HTTP - All” user@host#set idp idp-policy idppolicy rulebase-ips rule 1 then action close-client-and-server user@host#set idp idp-policy idppolicy rulebase-ips rule 1 then notification log-attacks user@host#set forwarding-options family inet6 mode flow-based
ポリシーを設定します。
[edit security] user@host#set policies from-zone trust to-zone untrust policy 1 match source-address any user@host#set policies from-zone trust to-zone untrust policy 1 match destination-address any user@host#set policies from-zone trust to-zone untrust policy 1 match application any user@host#set policies from-zone trust to-zone untrust policy 1 then permit application-services idp-policy idppolicy user@host#set policies from-zone untrust to-zone trust policy 1 match source-address any user@host#set policies from-zone untrust to-zone trust policy 1 match destination-address any user@host#set policies from-zone untrust to-zone trust policy 1 match application any user@host#set policies from-zone untrust to-zone trust policy 1 then permit application-services idp-policy idppolicy
ゾーンを設定し、インターフェイスを割り当てます。
[edit security] user@host# set zones security-zone untrust host-inbound-traffic system-services all user@host# set zones security-zone untrust host-inbound-traffic protocols all user@host# set zones security-zone untrust interfaces ge-0/0/0.0 user@host# set zones security-zone untrust application-tracking user@host# set zones security-zone trust host-inbound-traffic system-services all user@host# set zones security-zone trust host-inbound-traffic protocols all user@host# set zones security-zone trust interfaces ge-0/0/2.0
転送インターフェイスを設定します。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 5.0.0.15/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 15.0.0.16/24
業績
設定モードから、 show security idp
コマンドと show applications
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security idp idp-policy idppolicy { rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; application default; } then { action { close-client-and-server; } notification { log-attacks; } } } } }
[edit] user@host# show security policies from-zone trust to-zone untrust { policy 1 { match { source-address any; destination-address any; application any; } then { permit { application-services { idp-policy idppolicy; } } } }
[edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } application-tracking; }
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 5.0.0.15/24; } } } ge-0/0/2 { unit 0 { family inet { address 15.0.0.16/24; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、このタスクを実行します。
設定の確認
目的
PCAP フィーダー ツールを使用して PCAP を実行した後、IDP 攻撃コンテキストを確認します。
アクション
動作モードから、 show security idp attack context
コマンドを入力します。
サンプル出力
コマンド名
user@host> show security idp attack context IDP context statistics: Context name #Hits #Data http-url 1 / http-get-url 1 / http-header-host 1 7.0.0.1 http-header-user-agent 1 lwp-request/5.827 libwww-perl/5.833 http-header 2 te: deflate,gzip;q=0.3 && connection: TE, close http-request 1 GET / HTTP/1.1 http-request-method 1 GET / HTTP/1.1
例:透過モードでのパケット キャプチャ フィーダーの設定
この例では、パケット キャプチャ(PCAP)フィーダーを透過モードで実行して、プロトコル コンテキストを生成する方法について説明します。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
概要
関連するIDPポリシーを使用してPCAPフィーダーを実行し、パケットキャプチャから実行されているパケットから関連するプロトコルコンテキストを取得します。この例では、PCAPフィーダー pcap-ip 2 7.0.0.1
がパケットを供給するためにクワイエットモードで使用されています。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit]
階層レベルのCLIに貼り付け、設定モードから commit
を入力します。
set groups global protocols l2-learning global-mode transparent-bridge set security idp idp-policy idppolicy rulebase-ips rule 1 match from-zone any set security idp idp-policy idppolicy rulebase-ips rule 1 match source-address any set security idp idp-policy idppolicy rulebase-ips rule 1 match to-zone any set security idp idp-policy idppolicy rulebase-ips rule 1 match destination-address any set security idp idp-policy idppolicy rulebase-ips rule 1 match application default set security idp idp-policy idppolicy rulebase-ips rule 1 match attacks predefined-attack-groups “HTTP - All” set security idp idp-policy idppolicy rulebase-ips rule 1 then action close-client-and-server set security idp idp-policy idppolicy rulebase-ips rule 1 then notification log-attacks set security policies from-zone trust to-zone untrust policy 1 match source-address any set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit application-services idp-policy idppolicy set security policies from-zone untrust to-zone trust policy 1 match source-address any set security policies from-zone untrust to-zone trust policy 1 match destination-address any set security policies from-zone untrust to-zone trust policy 1 match application any set security policies from-zone untrust to-zone trust policy 1 then permit application-services idp-policy idppolicy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust application-tracking set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 301 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 301 set interfaces irb unit 301 family inet address 1.1.1.11/8 set vlans bd-vlan-301 vlan-id 301 set vlans bd-vlan-301 l3-interface irb.301
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
アプリケーションを作成して IDP ポリシーに関連付けるには:
設定グループを設定します。
[edit] user@host#set groups global protocols l2-learning global-mode transparent-bridge
わかりやすい名前を割り当ててポリシーを作成し、ルールベースをポリシーに関連付け、ルールベースにルールを追加し、ルールの一致条件を定義します。
[edit security] user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match from-zone any user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match source-address any user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match to-zone any user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match destination-address any user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match application default user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match attacks predefined-attack-groups “HTTP - All” user@host# set idp idp-policy idppolicy rulebase-ips rule 1 then action close-client-and-server user@host# set idp idp-policy idppolicy rulebase-ips rule 1 then notification log-attacks user@host# set forwarding-options family inet6 mode flow-based
ポリシーを設定します。
[edit security] user@host# set policies from-zone trust to-zone untrust policy 1 match source-address any user@host# set policies from-zone trust to-zone untrust policy 1 match destination-address any user@host# set policies from-zone trust to-zone untrust policy 1 match application any user@host# set policies from-zone trust to-zone untrust policy 1 then permit application-services idp-policy idppolicy user@host# set policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set policies from-zone untrust to-zone trust policy 1 match application any user@host# set policies from-zone untrust to-zone trust policy 1 then permit application-services idp-policy idppolicy
ゾーンを設定し、インターフェイスを割り当てます。
[edit security] user@host# set zones security-zone untrust host-inbound-traffic system-services all user@host# set zones security-zone untrust host-inbound-traffic protocols all user@host# set zones security-zone untrust interfaces ge-0/0/0.0 user@host# set zones security-zone untrust application-tracking user@host# set zones security-zone trust host-inbound-traffic system-services all user@host# set zones security-zone trust host-inbound-traffic protocols all user@host# set zones security-zone trust interfaces ge-0/0/2.0
転送インターフェイスを設定します。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 301 user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 301 user@host# set interfaces irb unit 301 family inet address 1.1.1.11/8
VLAN ID を設定します。
[edit] user@host# set vlans bd-vlan-301 vlan-id 301 user@host# set vlans bd-vlan-301 l3-interface irb.301
業績
設定モードから、 show security idp
コマンドと show applications
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security idp idp-policy idppolicy { rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; application default; } then { action { close-client-and-server; } notification { log-attacks; } } } } }
[edit] user@host# show security policies from-zone untrust to-zone trust { policy 1 { match { source-address any; destination-address any; application any; } then { permit { application-services { idp-policy idppolicy; } } } } } default-policy { permit-all; }
[edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; ge-0/0/2.0; } advance-policy-based-routing-profile { p1; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; ge-0/0/2.0; ge-0/0/3.0; ge-0/0/0.0; } application-tracking; }
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 4.0.0.1/24; } family ethernet-switching { interface-mode access; vlan { members 301; } } } } ge-0/0/2 { unit 0 { family inet { address 192.0.3.1/24; } family ethernet-switching { interface-mode access; vlan { members 301; } } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、このタスクを実行します。
設定の確認
目的
PCAP フィーダー ツールを使用して PCAP を実行した後、IDP 攻撃コンテキストを確認します。
アクション
動作モードから、 show security idp attack context
コマンドを入力します。
サンプル出力
コマンド名
user@host> show security idp attack context IDP context statistics: Context name #Hits #Data http-url 1 / http-get-url 1 / http-header-host 1 7.0.0.1 http-header-user-agent 1 lwp-request/5.827 libwww-perl/5.833 http-header 2 te: deflate,gzip;q=0.3 && connection: TE, close http-request 1 GET / HTTP/1.1 http-request-method 1 GET / HTTP/1.1