SRXシリーズファイアウォール向けのIDPベースの脅威検知
アプリケーションポリシーに侵入検出および防止(IDP)プロファイルを追加して、ネットワークセキュリティを強化するには、次の手順に従います。
侵入検出および防止(IDP)ポリシーを使用すると、ネットワーク トラフィックにさまざまな攻撃検出および防御技術を選択的に適用できます。アプリケーション ポリシーでアクティブ化することで、Juniper Mist™ ネットワークでスポーク デバイスとして動作しているジュニパーネットワーク®ス SRXシリーズ ファイアウォールで IDP を有効にできます。
侵入検出とは、ネットワーク上で発生するイベントを監視し、セキュリティ ポリシーに対するインシデント、違反、または差し迫った脅威の兆候を分析するプロセスです。侵入防御とは、侵入検出を実施し、検知インシデントを阻止するプロセスのことです。詳細については、 侵入検出および防止の概要を参照してください。
MistデバイスにIDP署名データベース更新ライセンスキーをインストールする必要があります。ライセンスの詳細については、 Junos OS機能のライセンスキーを参照してください。Juniper Mistクラウドポータルは、署名のダウンロードを管理し、有効なライセンスがある場合はファイアウォールでIDP機能を有効にします。
Juniper Mist クラウドは、次の IDP プロファイルをサポートしています。
-
[標準(Standard)]:標準プロファイルはデフォルト プロファイルであり、ジュニパーネットワークスが推奨する IDP シグネチャとルールのセットを表します。各攻撃タイプと重大度には、ジュニパーが定義した設定不可能なアクションがあり、IDPエンジンが攻撃を検出したときに適用します。可能なアクションは次のとおりです。
-
クライアントとサーバーのTCP接続を閉じます。
-
現在のパケットと後続のすべてのパケットをドロップします
-
アラートのみを送信します (追加のアクションはありません)。
-
-
[アラート(Alert)]:アラート プロファイルは、重大度の低い攻撃にのみ適しています。IDPエンジンがネットワーク上で悪意のあるトラフィックを検出すると、システムはアラートを生成しますが、攻撃を防ぐための追加の対策は講じません。IDP の署名とルールは、標準プロファイルと同じです。
-
Strict—Strict プロファイルには、標準プロファイルと同様の IDP 署名とルールのセットが含まれます。ただし、システムが攻撃を検出すると、このプロファイルはネットワーク上で検出された悪意のあるトラフィックやその他の攻撃をアクティブにブロックします。
-
クリティカルのみ(SRX):クリティカルのみプロファイルは、重大度の高い攻撃に適しています。システムが重大な攻撃を検出すると、このプロファイルは適切なアクションを実行します。SRX300シリーズのファイアウォールには、クリティカル - SRXのみのSRXプロファイルを推奨します。
-
[なし(None)]:このオプションを選択すると、プロファイルは適用されません。
アプリケーション ポリシーに IDP プロファイルを適用できます。各プロファイルにはトラフィックアクションが関連付けられており、これらのアクションは、サービスまたはアプリケーションポリシーにルールセットを適用する方法を定義します。IDP プロファイルのアクションは事前設定されており、ユーザーが設定することはできません。
IDP ベースの脅威検出を設定するには:
- [IDP] 列で、IDP プロファイルを選択します。たとえば、すべてのアプリケーション ポリシーに対して [アラート プロファイル] を選択します。
図 1: IDP プロファイル (アラート)
を構成する
IDP プロファイルを適用すると、スポーク デバイスは IDP ポリシーをダウンロードし、図 2 に示すように IDP のステータスを [有効(Enabled)] として表示します。
サンプル攻撃を開始することで、IDP ベースのセキュリティ スキャナーの効果をテストできます。セキュリティ侵入テストに利用できるさまざまなオプションを備えた Kali Linux の Nikto などのツールを使用できます。
サンドボックスまたはラボ環境で仮想マシン(VM)デスクトップ(desktop1)を使用し、Nikto などの Web サーバー用のシンプルなセキュリティ スキャナーをインストールします。Niktoは、オープンソースのWebサーバーおよびWebアプリケーションスキャナーです。たとえば、Nikto は、ラボのローカルにあるハード化されていない Apache Tomcat Web サーバー (またはそれに相当するもの) に対して実行できます。このテストでは、IDP インスペクションのためにプレーンまたは暗号化されていない HTTP リクエストを送信できます。
次の例は、ツールをインストールし、HTTP サーバーの存在を確認してから、攻撃を開始するプロセスを示しています。
virsh console desktop1
apt-get update
apt-get install -y nikto
# Check the Apache Tomcat Server of the local lab
wget http://172.16.77.155:8080
--2022-09-16 15:47:32-- http://172.16.77.155:8080/
Connecting to 172.16.77.155:8080... connected.
HTTP request sent, awaiting response... 200
Length: unspecified [text/html]
Saving to: ‘index.html’
index.html [ <=> ] 10.92K --.-KB/s in 0s
2022-09-16 15:47:32 (85.3 MB/s) - ‘index.html’ saved [11184]
# Now start our security scanner for the first time
nikto -h http://172.16.77.155:8080
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 172.16.77.155
+ Target Hostname: 172.16.77.155
+ Target Port: 8080
+ Start Time: 2022-09-16 15:48:22 (GMT0)
---------------------------------------------------------------------------
+ Server: No banner retrieved
+ The anti-clickjacking X-Frame-Options header is not present.
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Server leaks inodes via ETags, header found with file /favicon.ico, fields: 0xW/21630 0x1556961512000
+ OSVDB-39272: favicon.ico file identifies this server as: Apache Tomcat
+ Allowed HTTP Methods: GET, HEAD, POST, PUT, DELETE, OPTIONS
+ OSVDB-397: HTTP method ('Allow' Header): 'PUT' method could allow clients to save files on the web server.
+ OSVDB-5646: HTTP method ('Allow' Header): 'DELETE' may allow clients to remove files on the web server.
+ /examples/servlets/index.html: Apache Tomcat default JSP pages present.
+ Cookie JSESSIONID created without the httponly flag
+ OSVDB-3720: /examples/jsp/snp/snoop.jsp: Displays information about page retrievals, including other users.
+ OSVDB-3233: /manager/manager-howto.html: Tomcat documentation found.
+ /manager/html: Default Tomcat Manager interface found
+ 6544 items checked: 1 error(s) and 10 item(s) reported on remote host
+ End Time: 2022-09-16 15:50:03 (GMT0) (101 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
生成されたイベントを表示するには、[ サイト > セキュアWANエッジIDP/URLイベント(Site Secure WAN Edge IDP/URL Events)] に移動します。
図3 は、SRXシリーズファイアウォール用に生成された検出されたイベントを示しています。
に対して生成された IDP イベント
前の例では、IDP プロファイルの種類 Alerts を使用して、イベントにパッシブ ログを使用しました。次に、IDP プロファイル タイプ Strict を使用して、イベントを停止または軽減します。Strict プロファイルを使用すると、IDP エンジンは検出された攻撃に対して TCP 接続を閉じます。
サンプルに示されているのと同じプロセスに従うことができます。ただし、今回はスポーク デバイス テンプレートを変更し、IDP プロファイルを Alert から Strict に変更します ( 図 4 参照)。
セキュリティ スキャナーを実行します。スキャナーはより多くのエラーを検出し、イベントが少ないため、実行に時間がかかることに気付くでしょう。
nikto -h http://172.16.77.155:8080
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 172.16.77.155
+ Target Hostname: 172.16.77.155
+ Target Port: 8080
+ Start Time: 2022-09-16 16:01:51 (GMT0)
---------------------------------------------------------------------------
+ Server: No banner retrieved
+ The anti-clickjacking X-Frame-Options header is not present.
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Server leaks inodes via ETags, header found with file /favicon.ico, fields: 0xW/21630 0x1556961512000
+ OSVDB-39272: favicon.ico file identifies this server as: Apache Tomcat
+ Allowed HTTP Methods: GET, HEAD, POST, PUT, DELETE, OPTIONS
+ OSVDB-397: HTTP method ('Allow' Header): 'PUT' method could allow clients to save files on the web server.
+ OSVDB-5646: HTTP method ('Allow' Header): 'DELETE' may allow clients to remove files on the web server.
+ /examples/servlets/index.html: Apache Tomcat default JSP pages present.
+ 6544 items checked: 5657 error(s) and 6 item(s) reported on remote host
+ End Time: 2022-09-16 16:05:27 (GMT0) (216 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
図 5 は、一部のイベントでは、脅威を軽減するためにセッションを閉じることがアクションであることを示しています ([ アクション ] フィールドの下)。
に対して生成される IDP イベント
侵入検出および防止(IDP)バイパスプロファイル
IDP バイパスは、侵入防御システム(IPS)ルールと連携して機能し、不要なアラームが生成されるのを防ぎます。IDPプロファイルは、特定の宛先または攻撃タイプをIDPルールの一致から除外する場合に設定します。これにより、IDP が不要なアラームを生成するのを防ぎます。
IDP プロファイルには複数のバイパス プロファイルがあり、それぞれに複数のバイパス ルールがあります。
IDP バイパス プロファイルを作成するには:
Juniper Mistクラウドポータルで、 組織>WAN>アプリケーションポリシー>IDPバイパスプロファイルを選択します。
このページには、IDP バイパス プロファイルのリストが表示されます(使用可能な場合)
- 「 バイパス・プロファイルの追加 」をクリックして、プロファイルを作成します。
- [バイパス プロファイルの作成(Create Bypass Profile)] ウィンドウで、次の操作を行います。
- [名前を追加] をクリックします。英数字、アンダースコア、またはダッシュを使用し、63 文字を超えることはできません。
- 基本プロファイルを選択します。サポートされている基本プロファイルは次のとおりです。
- 標準
- 厳しい
- クリティカルのみ – SRX
IDP バイパス プロファイルを作成するには、ベース IDP プロファイルが必要です。
- 「 次へ」をクリックします。ポータルでルール ページが開き、IDP バイパス プロファイルのルールを定義できます。
図 6:IDP バイパス プロファイル ルール
- アクション – 関連するトラフィックアクションを選択します。使用可能なオプションは、[ 変更]、[ ドロップ]、または [閉じる] です。
- 宛先 IP – 除外するトラフィックの送信先の IP アドレス。入力されたリストから 1 つ以上のIP アドレスを選択するか、[ 宛先 IPの追加(Add )] をクリックしてIP アドレスを入力できます。
- 攻撃名 – 表示されたリストから、指定された宛先アドレスに対して IDP が除外する攻撃を選択します。または、[ Add 攻撃名]をクリックして攻撃を開始することもできます。入力する攻撃は、ジュニパーネットワークス IPS シグネチャでサポートされているタイプである必要があります。
- 「 保存」をクリックします。
作成したルールが [IDP バイパス プロファイル(IDP Bypass Profile)] ペインに表示されます。次に、次の手順を使用して、任意の IDP プロファイルの適用と同様に、アプリケーション ポリシーに IDP バイパス プロファイルを適用する必要があります。
- Juniper Mist クラウド ポータルで、[組織> WAN Edge テンプレート(Organization WAN Edge Templates)] をクリックし、スポーク デバイスのテンプレートを選択します。
- [IDP] 列で、IDP プロファイルを選択します。たとえば、前の手順で作成した IDP バイパス プロファイルを選択します。
図 7: アプリケーション ポリシー
での IDP バイパス プロファイルの適用
- アプリケーション ポリシーで他のオプションを設定したら、[ 保存(Save )] をクリックします。 「SRXシリーズファイアウォールでアプリケーションポリシーを設定する」を参照してください。
生成されたイベントを表示するには、[ サイト > セキュアWANエッジIDP/URLイベント(Site Secure WAN Edge IDP/URL Events)] に移動します。