論理システムの IDP
論理システムの侵入検出および防御(IDP)ポリシーにより、SRX シリーズを通過するネットワーク トラフィックに、さまざまな攻撃検知および防御技術を選択的に適用できます。SRX シリーズは、ジュニパーネットワークス IDP シリーズ侵入検知防御アプライアンスと同じ IDP シグネチャ セットを提供し、攻撃からネットワークを保護します。詳細については、以下のトピックを参照してください。
論理システムの IDP の概要
Junos OS侵入検出防御(IDP)ポリシーにより、論理システムを通過するネットワークトラフィックに対して、さまざまな攻撃検知および防御技術を選択的に適用できます。
このトピックには、以下のセクションが含まれています。
IDP ポリシー
プライマリ管理者は、ルートレベルでIDPポリシーを設定します。論理システムに IDP ポリシーを設定することは、論理システム用に設定されていないデバイスで IDP ポリシーを設定するのと同様です。これには、カスタム攻撃オブジェクトの設定が含まれます。
ルート論理システムにインストールされた IDP ポリシー テンプレートは、すべての論理システムで表示および使用されます。
その後、1 次管理者は、論理システムにバインドされたセキュリティー・プロファイル内の IDP ポリシーを指定します。論理システムで IDP を有効にするには、プライマリ管理者またはユーザー論理システム管理者が、検査するトラフィックを定義し、アクションを指定するセキュリティ ポリシーを permit application-services idp 設定します。
プライマリ管理者は複数の IDP ポリシーを設定できますが、論理システムは一度に 1 つのアクティブな IDP ポリシーのみを持つことができます。ユーザー論理システムの場合、1 次管理者は、同じ IDP ポリシーを複数のユーザー論理システムにバインドするか、固有の IDP ポリシーを各ユーザー論理システムにバインドすることができます。1 次論理システムのアクティブ IDP ポリシーを指定するには、1 次管理者は、1 次論理システムにバインドされているセキュリティー・プロファイル内の IDP ポリシーを参照するか、構成ステートメントを [edit security idp] 階層レベルで使用active-policyすることができます。
ルート管理者は、ルートおよびユーザー論理システムの最大 IDP セッション予約数を設定します。ルート論理システムで許可される IDP セッションの数は、 コマンド set security idp max-sessions max-sessions を使用して定義され、ユーザー論理システムで許可される IDP セッション数は、 コマンドを使用して定義されます set security idp logical-system logical-system max-sessions max-sessions 。
IDP ポリシーが、1 次論理システムにバインドされ、 構成ステートメントで指定されたセキュリティー・プロファイルの両方で構成されている場合、コミット・エラーが active-policy 生成されます。1 次論理システムのアクティブ IDP ポリシーを指定するには、1 つのメソッドのみを使用します。
セキュリティポリシーに複数のIDPポリシーを設定した場合、デフォルトIDPポリシー設定が必須となります。
複数の IDP ポリシーが利用可能な場合、デフォルト IDP ポリシー設定がサポートされます。デフォルト IDP ポリシーは、複数の IDP ポリシーの 1 つです。複数の IDP ポリシーとデフォルト IDP ポリシーの設定の詳細については、 統合ポリシー の IDP ポリシー選択を参照してください。
論理システム管理者は、以下のアクションを実行します。
複数の IDP ポリシーを設定し、ユーザー論理システムが使用するファイアウォール ポリシーにアタッチします。ユーザー論理システムに対して IDP ポリシーが設定されていない場合、プライマリ管理者が設定したデフォルト IDP ポリシーが使用されます。IDP ポリシーは、論理システムセキュリティー ポリシーを通じてユーザー論理システムにバインドされます。
ユーザー論理システムの IDP ポリシーを作成または変更します。IDP ポリシーは、ユーザー論理システムにバインドされます。IDP ポリシーが変更され、コミットに成功した場合、現在のアクティブ なポリシーにマッピングされた既存のセッションは、古い IDP 結合ポリシーを引き続き使用します。IDP ポリシーが変更され、コミットに失敗した場合、コミット変更を開始した論理システム ユーザーのみがコミット失敗の通知を受けます。
論理システムは、ユーザー論理システムにセキュリティゾーンを作成し、各セキュリティゾーンにインターフェイスを割り当てることができます。ユーザー論理システムに固有のゾーンは、プライマリ管理者が設定した IDP ポリシーで参照できません。プライマリ管理者は、プライマリ論理システムに設定されたIDPポリシーで、プライマリ論理システム内のゾーンを参照できます。
コマンド 、 および を使用して、検出された攻撃統計と IDP カウンター、攻撃テーブル、ポリシー コミット ステータスを
show security idp countersshow security idp policy-commit-statusshow security idp attack tableshow security idp policiesshow security idp security-package-version表示します。
制限
IDP ポリシーを変更し、特定のユーザー論理システムでコンパイルすると、この変更は単一のグローバル ポリシー変更と見なされ、すべての論理システムのすべてのポリシーに対してコンパイルされます。
論理システム向け IDP インストールおよびライセンス
idp-sig ライセンスは、ルート レベルでインストールする必要があります。ルート レベルで IDP が有効になると、デバイス上の任意の論理システムで IDP を使用できるようになります。
ルート レベルで、デバイス上のすべての論理システムに 1 つの IDP セキュリティ パッケージがインストールされます。ダウンロードおよびインストール オプションは、ルート レベルでのみ実行できます。同じバージョンの IDP 攻撃データベースが、すべての論理システムで共有されます。
「」も参照
論理システムの IDP 機能について
このトピックには、以下のセクションが含まれています。
ルールベース
単一の IDP ポリシーには、任意のタイプのルールベースのインスタンスを 1 つだけ含めることができます。論理システムでは、以下の IDP ルールベースがサポートされています。
侵入防御システム(IPS)ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検知します。ステートフルシグネチャとプロトコル異常に基づいて攻撃を検知します。
アプリケーションレベルの分散型サービス拒否(DDoS)ルールベースは、DNSやHTTPなどのサーバーを保護するためのパラメーターを定義します。アプリケーションレベルの DDoS ルールベースは、監視する必要があるトラフィックの送信元一致条件を定義し、接続のドロップ、パケットのドロップ、アクションの実行など、アクションを実行します。また、同じIPアドレスを使用する将来の接続に対してアクションを実行することもできます。
IPS およびアプリケーション レベル DDoS のステータス監視はデバイスに対してグローバルに行われますが、論理システム単位では監視されません。
プロトコルデコーダー
Junos IDPモジュールには、事前に設定されたプロトコルデコーダーのセットが付属しています。これらのプロトコル デコーダーは、実行するさまざまなプロトコル固有のコンテキスト チェックに対するデフォルト設定を備えています。IDPプロトコルデコーダー設定はグローバルで、すべての論理システムに適用されます。[] 階層レベルの設定を変更できるのは、ルート レベルのedit security idp sensor-configurationプライマリ管理者だけです。
SSL インスペクション
IDP SSLインスペクションは、SSL(セキュアソケットレイヤー)プロトコルスイートを使用して、SSLで暗号化されたHTTPトラフィックの検査を有効にします。
SSL インスペクション設定はグローバルで、デバイス上のすべての論理システムに適用されます。SSL インスペクションは、ルート レベルのプライマリ管理者が [edit security idp sensor-configuration] 階層レベルの設定ステートメントを使用ssl-inspectionしてのみ設定できます。
インライン タップ モード
インラインタップモード機能は、IDPアプリケーションサービスを有効にしているトラフィック一致セキュリティポリシーに対して、アプリケーション層の脅威を受動的にインラインで検知します。デバイスがインライン タップ モードの場合、パケットはファイアウォール インスペクションを通過し、独立した IDP モジュールにもコピーされます。これにより、IDP 処理の結果を待つことなく、パケットが次のサービス モジュールに到達できます。
インライン タップ モードは、プライマリ管理者によってルート レベルのすべての論理システムで有効または無効になります。インラインタップモードを有効にするには、[edit security forwarding-process application-services maximize-idp-sessions]階層レベルで設定ステートメントを使用inline-tapします。インライン タップ モード設定を削除して、デバイスを通常モードに戻します。
インライン タップ モードに切り替える場合、または通常モードに戻す場合は、デバイスを再起動する必要があります。
マルチ検出器
新しい IDP セキュリティ パッケージを受信すると、攻撃の定義と検出機能が含まれます。新しいポリシーが読み込まれると、検出器にも関連付けられます。ロードされるポリシーに、既存のポリシーで既に使用されているディテクタと一致する関連付けられたディテクタがある場合、新しいディテクタは読み込まれず、両方のポリシーで 1 つの関連付けられたディテクタが使用されます。しかし、新しい検出器が現在の検出器と一致しない場合、新しい検出器は新しいポリシーと共にロードされます。この場合、読み込まれた各ポリシーは、独自の検出機能を使用して攻撃を検知します。
検出器のバージョンは、すべての論理システムに共通です。
ログ作成と監視
ステータス監視オプションは、プライマリ管理者のみが使用できます。および clear security idp CLI 操作コマンドのshow security idp下のすべてのステータス監視オプションにはグローバル情報が表示されますが、論理システム単位では表示されません。
IDP の SNMP 監視は、論理システムではサポートされていません。
IDP は、イベントがログを有効にする IDP ポリシー ルールに一致すると、イベント ログを生成します。
論理システム識別は、以下のタイプの IDP トラフィック処理ログに追加されます。
攻撃ログ。以下の例は、ls-product-design 論理システムに対する攻撃ログを示しています。
Feb 22 14:06:00 aqgpo1ifw01 RT_IDP: %-IDP_ATTACK_LOG_EVENT_LS: Lsys A01: IDP: At 1329883555, ANOMALY Attack log <10.1.128.200/33699->192.168.22.84/80> for TCP protocol and service HTTP application NONE by rule 4 of rulebase IPS in policy Policy1. attack: repeat=3, action=NONE, threat-severity=INFO, name=HTTP:AUDIT:URL, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:NSS-Mgmt:reth0.55->SIEM-MGMT:reth0.60, packet-log-id: 0 and misc-message
メモ:IDP 攻撃検知イベント ログ メッセージ(IDP_ATTACK_LOG_EVENT_LS)では、時間経過、インバイト、アウトバイト、インパック、アウトパックセットの各フィールドには入力されません。
IP アクション ログ。以下の例は、ls-product-design 論理システムの IP アクション ログを示しています。
Oct 13 16:56:04 8.0.0.254 RT_IDP: IDP_ATTACK_LOG_EVENT_LS: IDP: In ls-product-design at 1287014163, TRAFFIC Attack log <25.0.0.1/34802->15.0.0.1/21> for TCP protocol and service SERVICE_NONE application NONE by rule 1 of rulebase IPS in policy Recommended. attack: repeat=0, action=TRAFFIC_IPACTION_NOTIFY, threat-severity=INFO, name=_, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:ls-product-design-trust:ge-0/0/1.0->ls-product-design-untrust:plt0.3, packet-log-id: 0 and misc-message -
アプリケーション DDoS ログ。以下の例は、ls-product-design 論理システムのアプリケーション DDoS ログを示しています。
Oct 11 16:29:57 8.0.0.254 RT_IDP: IDP_APPDDOS_APP_ATTACK_EVENT_LS: DDOS Attack in ls-product-design at 1286839797 on my-http, <ls-product-design-untrust:ge-0/0/0.0:4.0.0.1:33738->ls-product-design-trust:ge-0/0/1.0:5.0.0.1:80> for TCP protocol and service HTTP by rule 1 of rulebase DDOS in policy Recommended. attack: repeats 0 action DROP threat-severity INFO, connection-hit-rate 0, context-name http-url-parsed, hit-rate 6, value-hit-rate 6 time-scope PEER time-count 2 time-period 10 secs, context value: ascii: /abc.html hex: 2f 61 62 63 2e 68 74 6d 6c
「」も参照
例:プライマリ論理システムのIDPポリシーの設定
この例では、プライマリ論理システムで IDP ポリシーを設定する方法を示します。
要件
開始する前に、以下を行います。
プライマリー管理者としてプライマリ論理システムにログインします。 「プライマリ論理システムとプライマリ管理者ロールについて」を参照してください。
論理システムの概要の IDP を参照してください。
コマンドを
show system security-profile使用して、1 次論理システムに割り振られているリソースを確認します。
概要
この例では、IDP ポリシーで使用されるカスタム攻撃を設定します。IDP ポリシーは、1 次論理システムに適用されるセキュリティー・プロファイルで指定されます。次に、プライマリ論理システムで設定されたセキュリティポリシーでIDPが有効になります。
表 1 で説明する機能を設定します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
カスタム攻撃 |
http-bf |
|
IPS ルールベース ポリシー |
root-idp-policy |
一致:
アクション:
|
論理システム セキュリティ プロファイル |
プライマリプロファイル(以前に設定され、ルート論理システムに適用) |
IDP ポリシー root-idp-policy を追加します。 |
セキュリティ ポリシー |
enable-idp |
lsys-root-untrustゾーンからlsys-root-trustゾーンへのトラフィックと一致するセキュリティポリシーでIDPを有効にします。 |
論理システムは、一度に 1 つのアクティブな IDP ポリシーのみを持つことができます。1 次論理システムのアクティブ IDP ポリシーを指定するには、この例に示すように、1 次管理者は、1 次論理システムにバインドされているセキュリティー・プロファイル内の IDP ポリシーを参照できます。または、プライマリ管理者は、構成ステートメントを active-policy [edit security idp] 階層レベルで使用できます。
IDP ポリシーが、1 次論理システムにバインドされ、 構成ステートメントで指定されたセキュリティー・プロファイルの両方で構成されている場合、コミット・エラーが active-policy 生成されます。1 次論理システムのアクティブ IDP ポリシーを指定するには、1 つのメソッドのみを使用します。
構成
カスタム攻撃の設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security idp custom-attack http-bf severity critical set security idp custom-attack http-bf time-binding count 3 set security idp custom-attack http-bf time-binding scope peer set security idp custom-attack http-bf attack-type signature context http-url-parsed set security idp custom-attack http-bf attack-type signature pattern .*juniper.* set security idp custom-attack http-bf attack-type signature direction client-to-server
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
カスタム攻撃オブジェクトを設定するには:
プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。
[edit] admin@host> configure admin@host#
カスタム攻撃オブジェクトを作成し、重大度レベルを設定します。
[edit security idp] admin@host# set custom-attack http-bf severity critical
攻撃検知パラメーターを設定します。
[edit security idp] admin@host# set custom-attack http-bf time-binding count 3 admin@host# set custom-attack http-bf time-binding scope peer
ステートフル シグネチャ パラメータを設定します。
[edit security idp] admin@host# set custom-attack http-bf attack-type signature context http-url-parsed admin@host# set custom-attack http-bf attack-type signature pattern .*juniper.* admin@host# set custom-attack http-bf attack-type signature direction client-to-server
結果
設定モードから、 コマンドを入力して設定を show security idp custom-attack http-bf 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
admin@host# show security idp custom-attack http-bf
severity critical;
time-binding {
count 3;
scope peer;
}
attack-type {
signature {
context http-url-parsed;
pattern .*juniper.*;
direction client-to-server;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
プライマリ論理システムの IDP ポリシーの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security idp idp-policy root-idp-policy rulebase-ips rule 1 match application default set security idp idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf set security idp idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection set security idp idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks set system security-profile master-profile idp-policy root-idp-policy
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
IDP ポリシーを設定するには、
IDP ポリシーを作成し、照合条件を設定します。
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match application default admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf
IDP ポリシーのアクションを設定します。
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks
IDP ポリシーをセキュリティ プロファイルに追加します。
[edit system security-profile master-profile] admin@host# set idp-policy lsys1-idp-policy
結果
設定モードから、 および show system security-profile master-profile コマンドを入力して設定をshow security idp idp-policy root-idp-policy確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
admin@host# show security idp idp-policy root-idp-policy
rulebase-ips {
rule 1 {
match {
application default;
attacks {
custom-attacks http-bf;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks;
}
}
}
}
admin@host# show system security-profile master-profile
...
idp-policy lsys1-idp-policy;
デバイスの設定が完了したら、設定モードから を入力します commit 。
セキュリティ ポリシーでの IDP の有効化
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match source-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match destination-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match application any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp then permit application-services idp
手順
セキュリティポリシーでIDPを有効にするには:
セキュリティポリシーを作成し、一致条件を設定します。
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp match source-address any admin@host# set policy enable-idp match destination-address any admin@host# set policy enable-idp match application any
IDP を有効にします。
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp then permit application-services idp
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
簡潔にするために、この show コマンド出力には、この例に関連する設定のみが含まれています。システム上の他の設定はすべて省略記号(...)で置き換えられました。
[edit]
admin@host# show security policies
from-zone lsys-root-untrust to-zone lsys-root-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
}
...
デバイスの設定が完了したら、設定モードから を入力します commit 。
例:ユーザー論理システムに対して事前に定義された IDP ポリシーの設定と割り当て
プライマリ管理者は、定義済みのIDPポリシーをデバイスにダウンロード するか 、カスタムまたは定義済みの攻撃オブジェクトを使用してルートレベルでカスタムIDPポリシーを設定できます。1 次管理者は、IDP ポリシーをユーザー論理システムに割り当てます。この例では、事前定義された IDP ポリシーをユーザー論理システムに割り当てる方法を示します。
要件
開始する前に、以下を行います。
プライマリー管理者としてプライマリ論理システムにログインします。 「プライマリ論理システムとプライマリ管理者ロールについて」を参照してください。
IDP ポリシーの概要を参照してください。
ls-design-profile セキュリティー ポリシーを ls-product-design ユーザー論理システムに割り当てます。 例: 論理システムセキュリティプロファイルの設定(プライマリ管理者のみ)を参照してください。
事前定義された IDP ポリシー テンプレートをデバイスにダウンロードします。 事前定義された IDP ポリシー テンプレートのダウンロードと使用(CLI 手順)を参照してください。
メモ:[
edit security idp] 階層レベルで設定ステートメントを使用してactive-policy定義済み IDP ポリシーをアクティブ化することは、プライマリ論理システムにのみ適用されます。ユーザー論理システムの場合、1 次管理者は、ユーザー論理システムにバインドされたセキュリティー・プロファイル内のアクティブ IDP ポリシーを指定します。
概要
「推奨」という名前の事前定義された IDP ポリシーには、ジュニパーネットワークスが推奨する攻撃オブジェクトが含まれています。ポリシー内のすべてのルールには、各攻撃オブジェクトに対して推奨されるアクションを取るように設定されたアクションがあります。推奨 IDP ポリシーを ls-design-profile に追加します。これは、 例: ユーザー論理システム、管理者、ユーザー、相互接続論理システムの作成に示す ls-product-design ユーザー論理システムにバインドされます。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set system security-profile ls-design-profile idp-policy Recommended
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
事前定義された IDP ポリシーをユーザー論理システムのセキュリティー・プロファイルに追加するには、以下の手順に従います。
プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。
[edit] admin@host> configure admin@host#
IDP ポリシーをセキュリティ プロファイルに追加します。
[edit system security-profile] admin@host# set ls-design-profile idp-policy Recommended
結果
設定モードから、 および show system security-profile ls-design-profile コマンドを入力して設定をshow security idp確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
admin@host# show security idp
idp-policy Recommended {
...
}
[edit]
admin@host# show system security-profile ls-design-profile
policy {
...
}
idp-policy Recommended;
logical-system ls-product-design;
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定の検証
目的
論理システムに割り当てられた IDP ポリシーを確認します。
アクション
動作モードから、 コマンドを show security idp logical-system policy-association 入力します。論理システムにバインドされているセキュリティ プロファイル内の IDP ポリシーが正しいことを確認します。
admin@host> show security idp logical-system policy-association Logical system IDP policy ls-product-design Recommended
例:ユーザー論理システム・セキュリティー・ポリシーでの IDP の有効化
この例では、ユーザー論理システムのセキュリティポリシーでIDPを有効にする方法を示しています。
要件
開始する前に、以下を行います。
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム構成の概要を参照してください。
設定モードから、 コマンドを
show system security-profile <profile-name> idp-policy使用して、論理システムに割り当てられたセキュリティポリシーリソースを表示します。ユーザー論理システムの IDP セキュリティー ポリシーを 1 次管理者として構成します。 例: ユーザー論理システムの事前定義 IDP ポリシーの設定と割り当てを参照してください。
概要
この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」に示すように、ls-product-design ユーザー論理システムを設定します。
ls-product-design-untrustゾーンからls-product-design-trustゾーンへのトラフィックと一致するセキュリティポリシーでIDPを有効にします。セキュリティ ポリシーで IDP を有効にすると、一致するトラフィックを IDP ルールベースで確認できます。
この例では、「例: ユーザー論理システムに対して定義済み IDP ポリシーを構成および割り当てる」で、プライマリ管理者によって設定され、ls-product-design ユーザー論理システムに割り当てられた IDP ポリシーを使用します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match source-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match destination-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp then permit application-services idp
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
ユーザー論理システムでIDPを有効にするセキュリティポリシーを設定するには:
ユーザー論理システム管理者として論理システムにログインし、設定モードに入ります。
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
ls-product-design-untrustゾーンからls-product-design-trustゾーンへのトラフィックに一致するセキュリティポリシーを設定します。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp match source-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match destination-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match application any
IDP が一致するトラフィックを有効にするようにセキュリティ ポリシーを設定します。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp then permit application-services idp
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
簡潔にするために、この show コマンド出力には、この例に関連する設定のみが含まれています。システム上の他の設定はすべて省略記号(...)で置き換えられました。
[edit]
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
...
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
例:ユーザー論理システムのIDPポリシーの設定
この例では、IDP ポリシーを構成し、ユーザー論理システムに割り当てる方法を示します。IDPポリシーを割り当てた後、トラフィックはクライアントから送信され、設定されたカスタム攻撃の攻撃検知を確認します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OS リリース 18.3R1 以降
SRX4200デバイス
ユーザー論理システムで IDP ポリシーを設定する前に、以下を実行します。
セキュリティ ゾーンを設定します。 例: ユーザー論理システムのセキュリティゾーンの設定を参照してください。
概要
この例では、IDP ポリシーで使用されるカスタム攻撃を設定します。IDPポリシーが指定され、ユーザー論理システムで設定されたセキュリティポリシーを使用して有効になります。
構成
ユーザー論理システムで IDP を設定するには:
ユーザー論理システムの設定
CLI クイックコンフィギュレーション
手順
ユーザー論理システムを設定するには:
ユーザー論理システムを設定します。
[edit] user@host# set logical-system LSYS1
設定モードから出て、動作モードに入ります。
user@host# exit
LSYS1ユーザーとしてユーザー論理システムにログインし、設定モードに入ります。
user@host> set cli logical-system LSYS1 user@host:LSYS1> edit user@host:LSYS1#
結果
設定モードから、 コマンドを入力して設定を show logical-systems 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show logical-systems
LSYS1 {
}
カスタム攻撃の設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*test.* set security idp custom-attack my-http attack-type signature direction any
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
カスタム攻撃オブジェクトを設定するには:
LSYS1 としてユーザー論理システムにログインし、設定モードに入ります。
[edit] user@host:LSYS1#
カスタム攻撃オブジェクトを作成し、重大度レベルを設定します。
[edit security idp] user@host:LSYS1# set custom-attack my-http severity info
ステートフル シグネチャ パラメータを設定します。
[edit security idp] user@host:LSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:LSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:LSYS1# set custom-attack my-http attack-type signature pattern .*test.* user@host:LSYS1# set custom-attack my-http attack-type signature direction any
結果
設定モードから、 コマンドを入力して設定を show security idp custom-attack my-http 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:LSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*test.*;
direction any;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
ユーザー論理システムのIDPポリシーの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
IDP ポリシーを設定するには、
IDP ポリシーを作成し、照合条件を設定します。
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
IDP ポリシーのアクションを設定します。
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
結果
設定モードから、 および show system security-profile master-profile コマンドを入力して設定をshow security idp idp-policy idpengine確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:LSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
セキュリティ ポリシーでの IDP の有効化
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security policies from-zone z1 to-zone z2 policy p1 match source-address any set security policies from-zone z1 to-zone z2 policy p1 match destination-address any set security policies from-zone z1 to-zone z2 policy p1 match application any set security policies from-zone z1 to-zone z2 policy p1 then permit application-services idp-policy idpengine
手順
セキュリティポリシーでIDPを有効にするには:
セキュリティポリシーを作成し、一致条件を設定します。
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 match source-address any user@host:LSYS1# set policy p1 match destination-address any user@host:LSYS1# set policy p1 match application any
IDP を有効にします。
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 then permit application-services idp-policy idpengine
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:LSYS1# show security policies
from-zone z1 to-zone z2 {
policy p1{
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
トラフィックを送信し、ユーザー論理システムからの攻撃検知を確認するには、
攻撃検知の検証
目的
カスタム攻撃で攻撃検知が行われていることを確認します。
アクション
動作モードから、 コマンドを show security idp attack table 入力します。
user@host:LSYS1> show security idp policies PIC : FPC 0 PIC 0: ID Name Sessions Memory Detector 1 idpengine 0 188584 12.6.130180509
user@host:LSYS1> show security idp attack table
IDP attack statistics:
Attack name #Hits
my-http 1
意味
出力には、ユーザー論理システム LSYS1 の IDP ポリシーで設定されたカスタム攻撃で検出された攻撃が表示されます。