テナントシステムのIDP
テナントシステムの侵入検知および防止(IDP)ポリシーにより、SRXシリーズファイアウォールを通過するネットワークトラフィックに対して、さまざまな攻撃検知および防御技術を選択的に適用することができます。SRXシリーズファイアウォールは、IDPシリーズ侵入検出および防止アプライアンスで利用可能なものと同じIDPシグネチャジュニパーネットワークスセットを提供し、攻撃からネットワークを保護します。
テナントシステムの IDP について
Junos OSの侵入検知および防止(IDP)ポリシーにより、テナントシステムを通過するネットワークトラフィックに対して、さまざまな攻撃検知および防御技術を選択的に適用することができます。
このトピックでは、次のセクションについて説明します。
IDPポリシー
ルートレベルとテナントシステムレベルでのIDPポリシーの設定は同様です。ルートレベルで設定されたIDPポリシーテンプレートは、すべてのテナントシステムで表示され、使用されます。プライマリ管理者は、テナントシステムにバインドされたセキュリティプロファイルでIDPポリシーを指定します。テナントシステムでIDPを有効にするには、プライマリ管理者またはテナントシステム管理者は、検査対象のトラフィックを定義し、 permit application-services idp-policy idp-policy-name 階層レベルで指定するセキュリティポリシーを設定します。
プライマリ管理者は複数のIDPポリシーを設定でき、テナントシステムは一度に複数のIDPポリシーを持つことができます。テナントシステムの場合、プライマリ管理者は、同じIDPポリシーを複数のテナントシステムにバインドするか、必要なIDPポリシーを各テナントシステムにバインドできます。複数のIDPポリシーを設定する場合、デフォルトのIDPポリシーの設定は必須です。
プライマリ管理者は、プライマリ論理システムとテナントシステムの最大IDPセッション予約数を設定します。プライマリ論理システムで許可されるIDPセッションの数はコマンド set security idp max-sessions max-sessions を使用して定義され、テナントシステムで許可されるIDPセッションの数はコマンド set security idp tenant-system tenant-system max-sessions max-sessionsを使用して定義されます。
テナントシステム管理者は、以下のアクションを実行します。
複数のIDPポリシーを設定し、テナントシステムで使用されるファイアウォールポリシーにアタッチします。テナントシステムに IDP ポリシーが設定されていない場合は、プライマリ管理者が設定したデフォルトの IDP ポリシーが使用されます。IDPポリシーは、テナントシステムのセキュリティポリシーを介してテナントシステムにバインドされます。
テナントシステムのIDPポリシーを作成または変更します。IDPポリシーはテナントシステムにバインドされています。IDPポリシーが変更され、コミットに失敗した場合、コミット変更を開始したテナントシステムにのみコミット失敗が通知されます。
テナントシステム管理者は、テナントシステムにセキュリティゾーンを作成し、各セキュリティゾーンにインターフェイスを割り当てることができます。テナントシステムに固有のゾーンは、プライマリ管理者が設定したIDPポリシーでは参照できません。プライマリ管理者は、プライマリ論理システムに設定された IDP ポリシーでプライマリ論理システムのゾーンを参照できます。
コマンド
show security idp counters、show security idp attack table、show security idp policies、show security idp policy-commit-status、show security idp security-package-versionを使用して、検出された攻撃統計とIDPカウンター、攻撃テーブル、ポリシーコミットステータスを個々のテナントシステムごとに表示します。
コマンド show security idp counters counters tenant tenant-name、 show security idp attack table tenant tenant-name、 show security idp policies tenant tenant-name、 show security idp policy-commit-status tenant tenant-name、 show security idp security-package-version tenant tenant-nameを使用して、ルートから検出された攻撃統計とIDPカウンター、攻撃テーブル、ポリシーコミットステータスを表示します。
制限事項
パケット転送エンジンでのIDPポリシーのコンパイルは、グローバルレベルで行われます。論理システムまたはテナントシステムに対してポリシーが変更されると、IDPが内部的に単一のグローバルポリシーとして扱うため、すべての論理システムまたはテナントシステムのポリシーがコンパイルされます。
論理システムまたはテナントシステムのポリシーを変更すると、すべての論理システムまたはテナントシステムの攻撃テーブルが消去されます。
テナントシステムの IDP インストールとライセンス
idp-sigライセンスは、ルートレベルでインストールする必要があります。ルートレベルでIDPを有効にすると、デバイス上の任意のテナントシステムで使用できるようになります。
単一のIDPセキュリティパッケージが、ルートレベルでデバイス上のすべてのテナントシステムにインストールされます。ダウンロードおよびインストールオプションは、ルートレベルでのみ実行できます。同じバージョンのIDP攻撃データベースがすべてのテナントシステムで共有されます。
テナントシステムの IDP 機能について
このトピックでは、次のセクションについて説明します。
ルールベース
単一のIDPポリシーには、任意のタイプのルールベースのインスタンスを1つだけ含めることができます。侵入防御システム(IPS)ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検出します。ステートフルシグネチャとプロトコルの異常に基づいて攻撃を検知します。
IPSのステータス監視は、テナントシステム単位ではなく、デバイスに対してグローバルです。
マルチ検出器
新しいIDPセキュリティパッケージを受信すると、攻撃定義と検出器が含まれています。新しいポリシーが読み込まれると、検出器にも関連付けられます。読み込まれるポリシーに、既存のポリシーですでに使用されている検出器と一致する関連検出器がある場合、新しい検出器は読み込まれず、両方のポリシーで単一の関連付けられた検出器が使用されます。ただし、新しい検出器が現在の検出器と一致しない場合は、新しい検出器が新しいポリシーとともに読み込まれます。この場合、読み込まれた各ポリシーは、攻撃検出のために独自の関連ディテクターを使用します。
検出器のバージョンは、すべてのテナントシステムに共通です。
ロギングと監視
ステータス監視オプションは、プライマリ管理者のみ使用できます。 show security idp および clear security idp CLI操作コマンドのすべてのステータス監視オプションには、グローバル情報が表示されますが、テナントシステム単位ではありません。
IDPのSNMP監視は、テナントシステムではサポートされていません。
テナントシステムは、syslogのストリームモードのみをサポートし、イベントモードはサポートしていません。
IDPは、イベントがログが有効になっているIDPポリシールールに一致する場合にイベントログを生成します。
テナントシステム識別は、以下のタイプのIDPトラフィック処理ログに追加されます。
攻撃ログ以下の例は、
TSYS1テナントシステムの攻撃ログを示しています。"<14>1 2019-02-18T02:17:56+05:30 4.0.0.254 pamba RT_IDP - - IDP_ATTACK_LOG_EVENT_LS: Lsys TSYS1: IDP: At 1550485076, SIG Attack log <4.0.0.1/51480->5.0.0.1/21> for TCP protocol and service SERVICE_IDP application FTP by rule 1 of rulebase IPS in policy new. attack: id=4641, repeat=0, action=NONE, threat-severity=MEDIUM, name=FTP:USER:ROOT, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:l1z1:xe-4/0/0.0->l1z2:xe-4/0/1.0, packet-log-id: 0, alert=no, username=N/A, roles=N/A and misc-message -
IPアクションログ。以下の例は、
TSYS1テナントシステムのIPアクションログを示しています。"<14>1 2019-02-19T02:21:43+05:30 4.0.0.254 pamba RT_FLOW - - FLOW_IP_ACTION_LS: Lsys TSYS1: Flow IP action detected attack attempt:4.0.0.1/51492 --> 5.0.0.1/21 from interface xe -4/0/0.0, from zone l1z1, action close. "<14>1 2019-02-19T02:21:45+05:30 4.0.0.254 pamba RT_FLOW - - APPTRACK_SESSION_CLOSE_LS: Lsys TSYS1: AppTrack session closed Closed by junos-tcp-clt-emul: 4.0.0.1/51492->5.0.0.1/ 21 junos-ftp FTP UNKNOWN 4.0.0.1/51492->5.0.0.1/21 N/A N/A 6 l1z1-l1z2 l1z1 l1z2 50000058 6(287) 5(281) 6 N/A N/A No N/A N/A VR1 xe-4/0/1.0 0 0 Infrastructure File-Servers N/A N/A
例:テナントシステム向けのIDPポリシーと攻撃の設定
この例では、テナントシステムに対してIDPポリシーと攻撃を設定する方法を示しています。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
テナントシステムで設定されたSRXシリーズファイアウォール
Junos OSリリース19.2R1以降のリリース。
テナントシステムのIDPポリシーと攻撃を設定する前に、以下を確認してください。
テ ナントシステムの概要 を読んで、このタスクが設定プロセス全体にどのように適合するかを理解してください。
テナントシステム
TSYS1を作成します。 例:テナントシステム、テナントシステム管理者、および相互接続VPLSスイッチの作成を参照してください。テナントシステム
TSYS1用にセキュリティゾーンを作成します。 例:テナントシステムでゾーンを設定するを参照してください。-
テナントシステム管理者としてテナントシステムにログインします。テ ナントシステム構成の概要を参照してください。
概要
この例では、テナント システム TSYS1にカスタム攻撃、ポリシー、カスタム攻撃グループ、事前定義された攻撃と攻撃グループ、動的攻撃グループIDP設定します。
設定
- カスタム攻撃の設定
- IDPポリシーの設定
- デフォルトの IDP ポリシーで複数の IDP ポリシーを設定する
- IDPカスタム攻撃グループの設定
- 事前定義された攻撃と攻撃グループの設定
- IDP動的攻撃グループの設定
カスタム攻撃の設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*testing.* set security idp custom-attack my-http attack-type signature direction any
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
カスタム攻撃オブジェクトを設定するには:
カスタム攻撃オブジェクトを作成し、重大度レベルを設定します。
[edit security idp] user@host:TSYS1# set custom-attack my-http severity info
ステートフルシグネチャパラメーターを設定します。
[edit security idp] user@host:TSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:TSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:TSYS1# set custom-attack my-http attack-type signature pattern .*testing.* user@host:TSYS1# set custom-attack my-http attack-type signature direction any
結果
設定モードから、 show security idp custom-attack my-http コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:TSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*testing.*;
direction any;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
IDPポリシーの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
IDPポリシーを設定するには:
IDPポリシーを作成し、一致条件を設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
IDPポリシーのアクションを設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
結果
設定モードから、 show security idp idp-policy idpengine コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
デフォルトの IDP ポリシーで複数の IDP ポリシーを設定する
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp idp-policy idpengine1 rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine1 rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 set security policies from-zone l1z1 to-zone l1z2 policy 2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match application any set security policies from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP set security policies from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine set security idp default-policy idpengine1
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
複数のIDPポリシーを設定するには:
複数のIDPポリシーを作成し、一致条件を設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks
セキュリティポリシーを設定し、IDPポリシーを添付します。
[edit security policies] user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine
デフォルトのIDPポリシーを設定します。
注:複数のIDPポリシーを設定する場合、デフォルトのIDPポリシーの設定は必須です。
[edit security idp] user@host:TSYS1# set default-policy idpengine1
結果
設定モードから、 show security idp idp-policy idpengine、 show security idp idp-policy idpengine1、 show security policies、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
predefined-attacks HTTP:AUDIT:URL;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
[edit]
user@host:TSYS1# show security idp idp-policy idpengine1
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
[edit]
user@host:TSYS1# show security policies
from-zone l1z1 to-zone l1z2 {
policy l1z1-l1z2 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:FTP;
}
then {
permit {
application-services {
idp-policy idpengine1;
}
}
}
}
policy 2 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:HTTP;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
IDPカスタム攻撃グループの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp custom-attack customftp severity warning set security idp custom-attack customftp attack-type signature context ftp-username set security idp custom-attack customftp attack-type signature pattern .*guest.* set security idp custom-attack customftp attack-type signature direction client-to-server set security idp custom-attack-group cust-group group-members customftp set security idp custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP set security idp custom-attack-group cust-group group-members "FTP - Minor" set security idp custom-attack-group cust-group group-members dyn1 set security idp dynamic-attack-group dyn1 filters category values HTTP
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
IDPカスタム攻撃グループを設定するには:
IDPポリシーを作成します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group
IDPポリシーの一致条件を設定します。
[edit security idp] user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
ステートフルシグネチャパラメーターを設定します。
[edit security idp] user@host:TSYS1# set security idp custom-attack customftp severity warning user@host:TSYS1# set custom-attack customftp attack-type signature context ftp-username user@host:TSYS1# set custom-attack customftp attack-type signature pattern .*guest.* user@host:TSYS1# set custom-attack customftp attack-type signature direction client-to-server user@host:TSYS1# set custom-attack-group cust-group group-members customftp user@host:TSYS1# set custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP user@host:TSYS1# set custom-attack-group cust-group group-members "FTP - Minor" user@host:TSYS1# set custom-attack-group cust-group group-members dyn1 user@host:TSYS1# set dynamic-attack-group dyn1 filters category values HTTP
結果
設定モードから、 show security idp コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:TSYS1# show security idp
idp-policy idpengine {
rulebase-ips {
rule 1 {
match {
attacks {
custom-attack-groups cust-group;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
}
custom-attack customftp {
severity warning;
attack-type {
signature {
context ftp-username;
pattern .*guest.*;
direction client-to-server;
}
}
}
custom-attack-group cust-group {
group-members [ customftp ICMP:INFO:TIMESTAMP "FTP - Minor" dyn1 ];
}
dynamic-attack-group dyn1 {
filters {
category {
values HTTP;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
事前定義された攻撃と攻撃グループの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
事前定義された攻撃と攻撃グループを設定するには:
事前定義された攻撃を設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT
事前定義された攻撃グループを設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
結果
設定モードから、 show security idp idp-policy idpengine コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:TSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attacks FTP:USER:ROOT;
predefined-attack-groups "HTTP - All";
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
IDP動的攻撃グループの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security idp dynamic-attack-group dyn1 filters direction values server-to-client
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
IDP動的攻撃グループを設定するには:
動的攻撃グループパラメーターを設定します。
[edit security idp] user@host:TSYS1# set dynamic-attack-group dyn1 filters direction values server-to-client
結果
設定モードから、 show security idp コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host:TSYS1# show security idp
dynamic-attack-group dyn1 {
filters {
direction {
values server-to-client;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
IDPポリシーとコミットステータスの確認
目的
テナントシステム TSYS1のポリシーをコンパイルした後、IDPポリシーとコミットステータスが表示されていることを確認します。
アクション
動作モードから、 show security idp policies コマンドを入力します。
user@host:TSYS1> show security idp policies ID Name Sessions Memory Detector 1 idpengine 0 186024 12.6.130180122
動作モードから、 show security idp policy-commit-status コマンドを入力します。
user@host:TSYS1> show security idp policy-commit-statusIDP policy[/var/db/idpd/bins//idp-policy-unified.bin.gz.v] and detector[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v] loaded successfully. The loaded policy size is:2912 Bytes
意味
出力には、テナントシステム TSYS1 で設定されたIDPポリシーとコミットステータス情報が表示されます。
IDP攻撃の検出を検証する
目的
テナントシステム TSYS1 でIDP攻撃の検出に成功し、攻撃テーブルに表示されていることを確認します。
アクション
動作モードから、 show security idp attack table コマンドを入力します。
user@host:TSYS1> show security idp attack table IDP attack statistics: Attack name #Hits my-http 1
意味
出力には、テナントシステム TSYS1で構成されたカスタム攻撃に対して検出された攻撃が表示されます。
IDPカウンターの検証
目的
テナントシステム TSYS1に対してIDPカウンターステータスの1つが表示されていることを確認します。
アクション
動作モードから、 show security idp counters flow コマンドを入力します。
user@host:TSYS1> show security idp counters flow IDP counters: IDP counter type Value Fast-path packets 38 Slow-path packets 1 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 1 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 1 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 1 Policy init failed 0 Policy reinit failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 1 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 2 SM Sessions not interested 0 SM Sessions interest error 0 Sessions destructed 1 SM Session Create 1 SM Packet Process 38 SM ftp data session ignored by idp 1 SM Session close 1 SM Client-to-server packets 15 SM Server-to-client packets 23 SM Client-to-server L7 bytes 99 SM Server-to-client L7 bytes 367 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Server-to-client flows tcp optimized 0 Client-to-server flows tcp optimized 0 Both directions flows ignored 1 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 NGAppID Events with no L7 App 0 NGAppID Events with no active-policy 0 NGAppID Detector failed from event handler 0 NGAppID Detector failed from API 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 37 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0 IDP sessions ignored for content decompression in intel inspect mode 0 IDP sessions ignored for bytes depth limit in intel inspect mode 0 IDP sessions ignored for protocol decoding in intel inspect mode 0 IDP sessions detected CPU usage crossed intel inspect CPU threshold 0 IDP sessions detected mem drop below intel inspect low mem threshold 0
意味
出力には、テナントシステム TSYS1に対してIDPカウンターフローステータスが正しく表示されていることが示されます。