論理システム向け IDP
論理システムの侵入検出および防止(IDP)ポリシーにより、SRXシリーズを通過するネットワークトラフィックにさまざまな攻撃検出および防止技術を選択的に適用できます。SRXシリーズは、IDPシリーズ侵入検出および防止アプライアンスで利用可能なものと同じIDPシグネチャのセットを提供しジュニパーネットワークス攻撃からネットワークを保護します。詳細については、次のトピックを参照してください。
論理システムにおけるIDPの概要
Junos OSの侵入検知および防止(IDP)ポリシーにより、論理システムを通過するネットワークトラフィックに対して、さまざまな攻撃検知および防止技術を選択的に適用することができます。
このトピックでは、次のセクションについて説明します。
IDPポリシー
プライマリ管理者は、ルートレベルでIDPポリシーを設定します。論理システム用の IDP ポリシーの設定は、論理システム用に設定されていないデバイスでの IDP ポリシーの設定と似ています。これには、カスタム攻撃オブジェクトの設定が含まれます。
ルート論理システムにインストールされたIDPポリシーテンプレートは、すべての論理システムで表示され、使用されます。
次に、プライマリ管理者は、論理システムにバインドされたセキュリティプロファイルでIDPポリシーを指定します。論理システムでIDPを有効にするには、プライマリ管理者またはユーザーの論理システム管理者が、検査するトラフィックを定義し、 permit application-services idp アクションを指定するセキュリティポリシーを設定します。
プライマリ管理者は複数のIDPポリシーを設定できますが、論理システムには一度に1つのアクティブなIDPポリシーしか設定できません。ユーザー論理システムの場合、プライマリ管理者は、同じIDPポリシーを複数のユーザー論理システムにバインドするか、各ユーザー論理システムに固有のIDPポリシーをバインドできます。プライマリ論理システムのアクティブIDPポリシーを指定するには、プライマリ管理者は、プライマリ論理システムにバインドされているセキュリティプロファイルのIDPポリシーを参照するか、[edit security idp]階層レベルでactive-policy設定ステートメントを使用できます。
ルート管理者は、ルートとユーザーの論理システムの最大IDPセッション予約数を設定します。ルート論理システムに許可されるIDPセッションの数は コマンド set security idp max-sessions max-sessions を使用して定義され、ユーザー論理システムに許可されるIDPセッションの数は コマンド set security idp logical-system logical-system max-sessions max-sessions を使用して定義されます。
プライマリ論理システムにバインドされたセキュリティプロファイルでIDPポリシーが設定され、 active-policy 設定ステートメントで指定されている場合、コミットエラーが発生します。プライマリ論理システムのアクティブなIDPポリシーを指定するには、1つの方法のみを使用します。
セキュリティポリシーで複数のIDPポリシーを設定している場合、デフォルトのIDPポリシー設定は必須です。
複数のIDPポリシーが利用可能な場合、デフォルトのIDPポリシー設定がサポートされます。デフォルトのIDPポリシーは、複数のIDPポリシーの1つです。複数の IDP ポリシーとデフォルトの IDP ポリシーの設定の詳細については、「 統合ポリシーに対する IDP ポリシーの選択」を参照してください。
論理システム管理者は、以下のアクションを実行します。
複数のIDPポリシーを設定し、ユーザーの論理システムで使用されるファイアウォールポリシーにアタッチします。IDPポリシーがユーザー論理システムに対して設定されていない場合は、プライマリ管理者が設定したデフォルトのIDPポリシーが使用されます。IDPポリシーは、論理システムセキュリティポリシーを介してユーザーの論理システムにバインドされます。
ユーザー論理システムのIDPポリシーを作成または変更します。IDPポリシーは、ユーザーの論理システムにバインドされています。IDPポリシーが変更され、コミットに成功した場合、現在のアクティブなポリシーにマッピングされた既存のセッションは、古いIDPの組み合わせポリシーを引き続き使用します。IDPポリシーが変更され、コミットに失敗した場合、コミット変更を開始した論理システムユーザーのみにコミット失敗が通知されます。
論理システムは、ユーザー論理システム内にセキュリティゾーンを作成し、各セキュリティゾーンにインターフェイスを割り当てることができます。ユーザー論理システムに固有のゾーンは、プライマリ管理者が設定した IDP ポリシーでは参照できません。プライマリ管理者は、プライマリ論理システムに設定された IDP ポリシーでプライマリ論理システムのゾーンを参照できます。
コマンド
show security idp counters、show security idp attack table、show security idp policies、show security idp policy-commit-status、およびshow security idp security-package-versionを使用して、検出された攻撃統計とIDPカウンター、攻撃テーブル、ポリシーコミットステータスを個々の論理システムごとに表示します。
制限事項
IDPポリシーが変更され、特定のユーザー論理システムでコンパイルされた場合、この変更は単一のグローバルポリシー変更と見なされ、すべての論理システムのすべてのポリシーについてコンパイルされます。
論理システム向け IDP のインストールとライセンス
idp-sigライセンスは、ルートレベルでインストールする必要があります。ルートレベルでIDPを有効にすると、デバイス上の任意の論理システムで使用できるようになります。
単一のIDPセキュリティパッケージが、ルートレベルでデバイス上のすべての論理システムにインストールされます。ダウンロードおよびインストールオプションは、ルートレベルでのみ実行できます。同じバージョンのIDP攻撃データベースがすべての論理システムで共有されます。
関連項目
論理システムの IDP 機能について
このトピックでは、次のセクションについて説明します。
ルールベース
単一のIDPポリシーには、任意のタイプのルールベースのインスタンスを1つだけ含めることができます。論理システムでは、以下のIDPルールベースがサポートされています。
侵入防御システム(IPS)ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検出します。ステートフルシグネチャとプロトコルの異常に基づいて攻撃を検知します。
アプリケーションレベルの分散サービス拒否(DDoS)ルールベースは、DNSやHTTPなどのサーバーを保護するためのパラメーターを定義します。アプリケーションレベルの DDoS ルールベースは、監視する必要があるトラフィックの送信元一致条件を定義し、接続のドロップ、パケットのドロップ、アクションなしなどのアクションを実行します。また、同じIPアドレスを使用する将来の接続に対してアクションを実行することもできます。
IPSおよびアプリケーションレベルのDDoSのステータス監視は、論理システム単位ではなく、デバイスに対してグローバルです。
プロトコルデコーダー
Junos IDP モジュールには、事前設定されたプロトコル デコーダーのセットが同梱されています。これらのプロトコル デコーダーには、実行するさまざまなプロトコル固有のコンテキスト チェックのデフォルト設定があります。IDPプロトコルデコーダーの設定はグローバルであり、すべての論理システムに適用されます。[edit security idp sensor-configuration] 階層レベルの設定を変更できるのは、ルート レベルのプライマリ管理者だけです。
SSLインスペクション
IDP SSL検査は、SSL(Secure Sockets Layer)プロトコルスイートを使用して、SSLで暗号化されたHTTPトラフィックの検査を有効にします。
SSLインスペクションの設定はグローバルであり、デバイス上のすべての論理システムに適用されます。SSLインスペクションは、[edit security idp sensor-configuration]階層レベルのssl-inspection設定ステートメントを使用して、ルートレベルのプライマリ管理者のみが設定できます。
インラインタップモード
インラインタップモード機能は、IDPアプリケーションサービスを有効にしているセキュリティポリシーに一致するトラフィックに対して、アプリケーション層脅威を受動的にインラインで検出します。デバイスがインラインタップモードの場合、パケットはファイアウォール検査を通過し、独立したIDPモジュールにもコピーされます。これにより、パケットは IDP 処理結果を待たずに次のサービス モジュールに到達できます。
インラインタップモードは、プライマリ管理者がルートレベルのすべての論理システムに対して有効または無効にします。インラインタップモードを有効にするには、[edit security forwarding-process application-services maximize-idp-sessions]階層レベルでinline-tap設定ステートメントを使用します。インラインタップモード設定を削除して、デバイスを通常モードに戻します。
インラインタップモードに切り替えるか、通常モードに戻すときは、デバイスを再起動する必要があります。
マルチ検出器
新しいIDPセキュリティパッケージを受信すると、攻撃定義と検出器が含まれています。新しいポリシーが読み込まれると、検出器にも関連付けられます。読み込まれるポリシーに、既存のポリシーですでに使用されている検出器と一致する関連検出器がある場合、新しい検出器は読み込まれず、両方のポリシーで単一の関連付けられた検出器が使用されます。ただし、新しい検出器が現在の検出器と一致しない場合は、新しい検出器が新しいポリシーとともに読み込まれます。この場合、読み込まれた各ポリシーは、攻撃検出のために独自の関連ディテクターを使用します。
検出器のバージョンは、すべての論理システムに共通です。
ロギングと監視
ステータス監視オプションは、プライマリ管理者のみ使用できます。 show security idp および clear security idp CLI操作コマンドのすべてのステータス監視オプションには、グローバル情報が表示されますが、論理システム単位ではありません。
IDPのSNMP監視は、論理システムではサポートされていません。
IDPは、イベントがログが有効になっているIDPポリシールールに一致する場合にイベントログを生成します。
論理システム識別は、以下のタイプのIDPトラフィック処理ログに追加されます。
攻撃ログ次の例は、ls-product-design論理システムの攻撃ログを示しています。
Feb 22 14:06:00 aqgpo1ifw01 RT_IDP: %-IDP_ATTACK_LOG_EVENT_LS: Lsys A01: IDP: At 1329883555, ANOMALY Attack log <10.1.128.200/33699->192.168.22.84/80> for TCP protocol and service HTTP application NONE by rule 4 of rulebase IPS in policy Policy1. attack: repeat=3, action=NONE, threat-severity=INFO, name=HTTP:AUDIT:URL, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:NSS-Mgmt:reth0.55->SIEM-MGMT:reth0.60, packet-log-id: 0 and misc-message
注:IDP攻撃検出イベントログメッセージ(IDP_ATTACK_LOG_EVENT_LS)には、time-elapsed、inbytes、outbytes、inpackets、outpacketsフィールドが入力されていません。
IPアクションログ。次の例は、ls-product-design論理システムのIPアクションログを示しています。
Oct 13 16:56:04 8.0.0.254 RT_IDP: IDP_ATTACK_LOG_EVENT_LS: IDP: In ls-product-design at 1287014163, TRAFFIC Attack log <25.0.0.1/34802->15.0.0.1/21> for TCP protocol and service SERVICE_NONE application NONE by rule 1 of rulebase IPS in policy Recommended. attack: repeat=0, action=TRAFFIC_IPACTION_NOTIFY, threat-severity=INFO, name=_, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:ls-product-design-trust:ge-0/0/1.0->ls-product-design-untrust:plt0.3, packet-log-id: 0 and misc-message -
アプリケーション DDoS ログ。次の例は、ls-product-design論理システムのアプリケーションDDoSログを示しています。
Oct 11 16:29:57 8.0.0.254 RT_IDP: IDP_APPDDOS_APP_ATTACK_EVENT_LS: DDOS Attack in ls-product-design at 1286839797 on my-http, <ls-product-design-untrust:ge-0/0/0.0:4.0.0.1:33738->ls-product-design-trust:ge-0/0/1.0:5.0.0.1:80> for TCP protocol and service HTTP by rule 1 of rulebase DDOS in policy Recommended. attack: repeats 0 action DROP threat-severity INFO, connection-hit-rate 0, context-name http-url-parsed, hit-rate 6, value-hit-rate 6 time-scope PEER time-count 2 time-period 10 secs, context value: ascii: /abc.html hex: 2f 61 62 63 2e 68 74 6d 6c
関連項目
例:プライマリ論理システムの IDP ポリシーの設定
この例では、プライマリ論理システムで IDP ポリシーを設定する方法を示します。
要件
始める前に:
プライマリ論理システムにプライマリ管理者としてログインします。 プライマリ論理システムとプライマリ管理者の役割についてを参照してください。
論理システムにおけるIDPの概要をお読みください。
show system security-profileコマンドを使用して、プライマリ論理システムに割り当てられているリソースを確認します。
概要
この例では、IDPポリシーで使用されるカスタム攻撃を設定します。IDPポリシーは、プライマリ論理システムに適用されるセキュリティプロファイルで指定されます。次に、プライマリ論理システムで設定されたセキュリティポリシーでIDPが有効になります。
表 1 で説明した機能を設定します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
カスタム攻撃 |
HTTP-BF |
|
IPSルールベースポリシー |
rootidpポリシー |
一致:
アクション:
|
論理システムセキュリティプロファイル |
primary-profile(以前に設定され、root-logical-systemに適用) |
IDPポリシーroot-idp-policyを追加します。 |
セキュリティポリシー |
有効化-IDP |
lsys-root-untrustゾーンからlsys-root-trustゾーンへのトラフィックに一致するセキュリティポリシーでIDPを有効にします。 |
論理システムは、一度に1つのアクティブなIDPポリシーのみを持つことができます。プライマリ論理システムのアクティブな IDP ポリシーを指定するには、プライマリ管理者は、この例に示すように、プライマリ論理システムにバインドされているセキュリティプロファイルの IDP ポリシーを参照できます。または、プライマリ管理者は [edit security idp] 階層レベルで active-policy 設定ステートメントを使用できます。
IDPポリシーがプライマリ論理システムにバインドされたセキュリティプロファイルで設定され、 active-policy 設定ステートメントで指定されている場合、コミットエラーが発生します。プライマリ論理システムのアクティブなIDPポリシーを指定するには、1つの方法のみを使用します。
設定
カスタム攻撃の設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp custom-attack http-bf severity critical set security idp custom-attack http-bf time-binding count 3 set security idp custom-attack http-bf time-binding scope peer set security idp custom-attack http-bf attack-type signature context http-url-parsed set security idp custom-attack http-bf attack-type signature pattern .*juniper.* set security idp custom-attack http-bf attack-type signature direction client-to-server
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
カスタム攻撃オブジェクトを設定するには:
プライマリ論理システムにプライマリ管理者としてログインし、設定モードに入ります。
[edit] admin@host> configure admin@host#
カスタム攻撃オブジェクトを作成し、重大度レベルを設定します。
[edit security idp] admin@host# set custom-attack http-bf severity critical
攻撃検出パラメーターを設定します。
[edit security idp] admin@host# set custom-attack http-bf time-binding count 3 admin@host# set custom-attack http-bf time-binding scope peer
ステートフルシグネチャパラメーターを設定します。
[edit security idp] admin@host# set custom-attack http-bf attack-type signature context http-url-parsed admin@host# set custom-attack http-bf attack-type signature pattern .*juniper.* admin@host# set custom-attack http-bf attack-type signature direction client-to-server
結果
設定モードから、 show security idp custom-attack http-bf コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
admin@host# show security idp custom-attack http-bf
severity critical;
time-binding {
count 3;
scope peer;
}
attack-type {
signature {
context http-url-parsed;
pattern .*juniper.*;
direction client-to-server;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
プライマリ論理システムの IDP ポリシーの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp idp-policy root-idp-policy rulebase-ips rule 1 match application default set security idp idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf set security idp idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection set security idp idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks set system security-profile master-profile idp-policy root-idp-policy
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
IDPポリシーを設定するには:
IDPポリシーを作成し、一致条件を設定します。
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match application default admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf
IDPポリシーのアクションを設定します。
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks
セキュリティプロファイルにIDPポリシーを追加します。
[edit system security-profile master-profile] admin@host# set idp-policy lsys1-idp-policy
結果
設定モードから、 show security idp idp-policy root-idp-policy および show system security-profile master-profile コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
admin@host# show security idp idp-policy root-idp-policy
rulebase-ips {
rule 1 {
match {
application default;
attacks {
custom-attacks http-bf;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks;
}
}
}
}
admin@host# show system security-profile master-profile
...
idp-policy lsys1-idp-policy;
デバイスの設定が完了したら、設定モードから commit を入力します。
セキュリティポリシーでIDPを有効にする
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match source-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match destination-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match application any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp then permit application-services idp
ステップバイステップの手順
セキュリティポリシーでIDPを有効にするには:
セキュリティポリシーを作成し、一致条件を設定します。
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp match source-address any admin@host# set policy enable-idp match destination-address any admin@host# set policy enable-idp match application any
IDPを有効にします。
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp then permit application-services idp
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
[edit]
admin@host# show security policies
from-zone lsys-root-untrust to-zone lsys-root-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
}
...
デバイスの設定が完了したら、設定モードから commit を入力します。
例:ユーザー論理システムに対して事前定義された IDP ポリシーの設定と割り当て
プライマリ管理者は、事前定義されたIDPポリシーをデバイス にダウンロードするか 、カスタムまたは事前定義された攻撃オブジェクトを使用してルートレベルでカスタムIDPポリシーを設定できます。プライマリ管理者は、ユーザーの論理システムへの IDP ポリシーの割り当てを担当します。この例では、事前定義された IDP ポリシーをユーザーの論理システムに割り当てる方法を示します。
要件
始める前に:
プライマリ論理システムにプライマリ管理者としてログインします。 プライマリ論理システムとプライマリ管理者の役割についてを参照してください。
IDPポリシーの概要をご覧ください。
ls-product-designユーザーの論理システムにls-design-profileセキュリティポリシーを割り当てます。 例:論理システムセキュリティプロファイルの設定(プライマリ管理者のみ)を参照してください。
事前定義されたIDPポリシーテンプレートをデバイスにダウンロードします。 定義済みの IDP ポリシー テンプレートのダウンロードと使用(CLI 手順)を参照してください。
注:[
edit security idp]階層レベルでactive-policy設定ステートメントを使用して定義済みのIDPポリシーを有効にすることは、プライマリ論理システムにのみ適用されます。ユーザー論理システムの場合、プライマリ管理者は、ユーザー論理システムにバインドされたセキュリティプロファイルでアクティブなIDPポリシーを指定します。
概要
推奨という名前の事前定義されたIDPポリシーには、ジュニパーネットワークスが推奨する攻撃オブジェクトが含まれています。ポリシー内のすべてのルールには、各攻撃オブジェクトに対して推奨されるアクションを実行するようにアクションが設定されています。推奨される IDP ポリシーを ls-design-profile に追加します。これは、例に示す ls-product-design ユーザー論理システムにバインドされます: ユーザー論理システム、その管理者、そのユーザー、相互接続論理システムの作成。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set system security-profile ls-design-profile idp-policy Recommended
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムのセキュリティプロファイルに定義済みのIDPポリシーを追加するには:
プライマリ論理システムにプライマリ管理者としてログインし、設定モードに入ります。
[edit] admin@host> configure admin@host#
セキュリティプロファイルにIDPポリシーを追加します。
[edit system security-profile] admin@host# set ls-design-profile idp-policy Recommended
結果
設定モードから、 show security idp および show system security-profile ls-design-profile コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
admin@host# show security idp
idp-policy Recommended {
...
}
[edit]
admin@host# show system security-profile ls-design-profile
policy {
...
}
idp-policy Recommended;
logical-system ls-product-design;
デバイスの設定が完了したら、設定モードから commit を入力します。
例:ユーザー論理システムセキュリティポリシーでIDPを有効にする
この例では、ユーザー論理システムのセキュリティポリシーでIDPを有効にする方法を示しています。
要件
始める前に:
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム設定の概要を参照してください。
設定モードから、
show system security-profile <profile-name> idp-policyコマンドを使用して、論理システムに割り当てられているセキュリティポリシーリソースを確認します。プライマリ管理者としてユーザー論理システムの IDP セキュリティポリシーを設定します。 例:ユーザー論理システムに定義済みの IDP ポリシーを設定および割り当てを参照してください。
概要
この例では、ユーザー 論理システム、その管理者、そのユーザー、相互接続論理システムの作成に示すように、ls-product-designユーザー論理システムを設定します。
ls-product-design-untrustゾーンからls-product-design-trustゾーンへのすべてのトラフィックに一致するセキュリティポリシーでIDPを有効にします。セキュリティポリシーでIDPを有効にすると、一致するトラフィックがIDPルールベースに対してチェックされるよう指示されます。
この例では、プライマリ管理者がユーザー論理システムに設定および割り当てた IDP ポリシーを使用します。ユーザー 論理システムに定義済みの IDP ポリシーの設定と割り当てを行います。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match source-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match destination-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp then permit application-services idp
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムでIDPを有効にするセキュリティポリシーを設定するには:
ユーザー論理システム管理者として論理システムにログインし、設定モードにします。
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
ls-product-design-untrustゾーンからls-product-design-trustゾーンへのトラフィックを一致させるセキュリティポリシーを設定します。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp match source-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match destination-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match application any
セキュリティポリシーを設定して、トラフィックの照合に対してIDPを有効にします。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp then permit application-services idp
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
[edit]
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
...
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:ユーザー論理システムの IDP ポリシーの設定
この例では、IDPポリシーを設定し、ユーザー論理システムに割り当てる方法を示しています。IDPポリシーを割り当てると、設定されたカスタム攻撃で攻撃が検出されるかどうかを確認するために、トラフィックがクライアントから送信されます。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
Junos OSリリース18.3R1以降
SRX4200デバイス
ユーザー論理システムで IDP ポリシーを設定する前に、次の手順に従います。
セキュリティゾーンを設定します。 例:ユーザー論理システムのセキュリティゾーンの設定を参照してください。
概要
この例では、IDPポリシーで使用されるカスタム攻撃を設定します。IDPポリシーは、ユーザー論理システムで構成されたセキュリティポリシーを使用して指定および有効化されます。
設定
ユーザー論理システムで IDP を設定するには:
ユーザー論理システムの設定
CLIクイックコンフィグレーション
ステップバイステップの手順
ユーザー論理システムを設定するには:
ユーザー論理システムを設定します。
[edit] user@host# set logical-system LSYS1
設定モードを終了し、動作モードに入ります。
user@host# exit
LSYS1ユーザーとしてユーザー論理システムにログインし、設定モードに入ります。
user@host> set cli logical-system LSYS1 user@host:LSYS1> edit user@host:LSYS1#
結果
設定モードから、 show logical-systems コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show logical-systems
LSYS1 {
}
カスタム攻撃の設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*test.* set security idp custom-attack my-http attack-type signature direction any
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
カスタム攻撃オブジェクトを設定するには:
LSYS1としてユーザー論理システムにログインし、設定モードに入ります。
[edit] user@host:LSYS1#
カスタム攻撃オブジェクトを作成し、重大度レベルを設定します。
[edit security idp] user@host:LSYS1# set custom-attack my-http severity info
ステートフルシグネチャパラメーターを設定します。
[edit security idp] user@host:LSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:LSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:LSYS1# set custom-attack my-http attack-type signature pattern .*test.* user@host:LSYS1# set custom-attack my-http attack-type signature direction any
結果
設定モードから、 show security idp custom-attack my-http コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:LSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*test.*;
direction any;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ユーザー論理システムの IDP ポリシーの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
IDPポリシーを設定するには:
IDPポリシーを作成し、一致条件を設定します。
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
IDPポリシーのアクションを設定します。
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
結果
設定モードから、 show security idp idp-policy idpengine および show system security-profile master-profile コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:LSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
セキュリティポリシーでIDPを有効にする
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security policies from-zone z1 to-zone z2 policy p1 match source-address any set security policies from-zone z1 to-zone z2 policy p1 match destination-address any set security policies from-zone z1 to-zone z2 policy p1 match application any set security policies from-zone z1 to-zone z2 policy p1 then permit application-services idp-policy idpengine
ステップバイステップの手順
セキュリティポリシーでIDPを有効にするには:
セキュリティポリシーを作成し、一致条件を設定します。
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 match source-address any user@host:LSYS1# set policy p1 match destination-address any user@host:LSYS1# set policy p1 match application any
IDPを有効にします。
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 then permit application-services idp-policy idpengine
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:LSYS1# show security policies
from-zone z1 to-zone z2 {
policy p1{
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
トラフィックを送信し、ユーザー論理システムからの攻撃検知を確認するには:
攻撃検知の検証
目的
カスタム攻撃に対して攻撃検出が行われていることを確認します。
アクション
動作モードから、 show security idp attack table コマンドを入力します。
user@host:LSYS1> show security idp policies PIC : FPC 0 PIC 0: ID Name Sessions Memory Detector 1 idpengine 0 188584 12.6.130180509
user@host:LSYS1> show security idp attack table
IDP attack statistics:
Attack name #Hits
my-http 1
意味
出力には、ユーザー論理システムLSYS1のIDPポリシーで設定されたカスタム攻撃で検出された攻撃が表示されます。