Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

侵入検出および防止

侵入検出および防止(IDP)プロファイルを適用して、ネットワークセキュリティを強化します。

IDPプロファイルの使用開始

侵入 検出 には、ネットワークイベントを監視し、インシデントと脅威を特定することが含まれます。侵入 防御 は、検知プロセスの検出結果をフォローアップして対策を講じます。IDPプロファイルは多くの攻撃シグネチャで構成されており、それぞれに独自の重大度と推奨アクションがあります。アプリケーションポリシーにプロファイルを適用すると、その適切な保護機能を有効にします。

必要なライセンスがあれば、スポークとして設定されているすべてのWANエッジデバイスでIDPを利用できます。IDPは、ハブとして設定されているSRXデバイスでもサポートされています(SRXのみ)。

注:

  • IDPは計算負荷の高い機能です。ポリシーでIDPを有効にすると、エントリーレベルのWANエッジデバイスでパフォーマンスの低下が発生する可能性があります。

  • IDPにはライセンスが必要です。ヘルプについては、 IDPの基本設定(Junos OS侵入検出および防止ユーザーガイド)を参照してください。
警告:

スポークデバイスでIDP機能を初めて有効にする場合は、メンテナンスウィンドウ内に計画することをお勧めします。IDP エンジンの起動と LAN から WAN へのパスへの組み込み(つまり、サービス チェイニング)には数分かかる場合があり、継続的な通信が中断される可能性もあります。

アプリケーションポリシーへのIDPプロファイルの追加

侵入検出と防止を有効にするには、アプリケーションポリシーにIDPプロファイルを適用します。

始める前に: ネットワーク、テンプレート、プロファイル、デバイス、アプリケーションポリシーを設定します。ヘルプについては、「 WAN Assurance設定の概要」を参照してください。

アプリケーションポリシーにIDPプロファイルを追加するには:

  1. WAN Edgeテンプレート、ハブプロファイル、またはスタンドアロンのWAN Edgeデバイスに移動します。
  2. アプリケーションポリシーセクションで、アプリケーションポリシーの追加(新しいポリシーの場合)をクリックするか、既存のポリシーまでスクロールします。
    注:新しいアプリケーションポリシーの詳細については、 アプリケーションポリシーを参照してください。
  3. IDP列で、IDPプロファイルを選択します。

    オプションには以下が含まれます。

    表1:IDPオプション
    IDPオプション 説明
    なし IDPプロファイルが適用されていません。
    標準

    標準プロファイルはデフォルトプロファイルで、ジュニパーネットワークスが推奨する一連のIDPシグネチャとルールを表します。アクションには以下が含まれます。

    • クライアントとサーバーのTCP接続を閉じます。

    • 現在のパケットとそれ以降のすべてのパケットをドロップします。
    ストリクト 厳密なプロファイルには、標準プロファイルと同様のIDPシグネチャとルールのセットが含まれています。ただし、システムが攻撃を検出すると、厳密なプロファイルは、ネットワークで検出された悪意のあるトラフィックやその他の攻撃を積極的にブロックします。
    アラート アラートプロファイルはアラートのみを生成し、追加のアクションは実行しません。アラートプロファイルは、重大度の低い攻撃にのみ適しています。IDPシグネチャとルールは、標準プロファイルと同じです。
    クリティカルのみ - SRX Critical-Onlyプロファイルは、重大度が重大な攻撃に適しています。システムが重大な攻撃を検出すると、このプロファイルは適切なアクションを実行します。SRX300シリーズのファイアウォールには、Critical–Only SRXプロファイルをお勧めします。
    推奨 - SRX ジュニパーネットワークスが推奨するものとしてタグ付けされた攻撃オブジェクトのみが含まれます。すべてのルールには、各攻撃オブジェクトに対して推奨されるアクションを実行するようにアクション列が設定されています。
    サーバー保護 - SRX サーバーを保護するように設計されています。2GB以上のメモリを搭載した大メモリデバイスで使用します。
    クライアント保護 - SRX クライアントを保護するように設計されています。2GB以上のメモリを搭載した大メモリデバイスで使用します。
    クライアントとサーバーの保護 - SRX クライアントとサーバーの両方を保護するように設計されています。2GB以上のメモリを搭載した大メモリデバイスで使用します。
    カスタム ドロップダウンメニューに表示されているカスタムプロファイルの1つを選択します。プロファイルの作成については、「 Advanced Threat Prevention機能を設定する(SRXのみ)」を参照してください。
    注:バイパスプロファイルを作成している場合は、IDPドロップダウンリストのカスタムプロファイルセクションにも表示されます。ヘルプについては、「 バイパスプロファイルを使用したIDPのカスタマイズ」(このトピックの後半)を参照してください。
  4. テンプレートの右上隅にある[保存]をクリックします。

選択したIDPプロファイルが適用されます。

シミュレーターを実行して IDP 設定をテストする

サンプル攻撃を開始することで、IDPベースのポリシーの効果をテストできます。セキュリティ侵入テストに使用できるさまざまなオプションがあるKali LinuxのNiktoなどのツールを使用できます。

始める前に: サンドボックスまたはラボ環境に仮想マシン(VM)デスクトップ(desktop1)を設定し、NiktoなどのWebサーバー用のシンプルなセキュリティスキャナーをインストールします。Niktoは、オープンソースのWebサーバーおよびWebアプリケーションスキャナーです。たとえば、ラボのローカルである、セキュリティ強化されていないApache Tomcat Webサーバー(または同等のサーバー)に対してNiktoを実行できます。このテストでは、IDP検査用にプレーンまたは暗号化されていないHTTPリクエストを送信できます。

次のサンプルは、ツールをインストールし、HTTP サーバーの存在を確認してから、攻撃を開始するプロセスを示しています。

セキュリティスキャナーを実行します。スキャナーは検出するエラーが多く、イベントが少ないため、実行に時間がかかる時間がかかることに気付くでしょう。

イベント情報の表示

生成されたイベントを表示するには、 サイト > WAN > セキュリティ イベントに移動します。

この例に示すように、セキュリティイベントページには、生成されたすべてのイベントが表示されます。

セキュリティイベントページには、以下の便利な機能が含まれています。

  • テーブルをフィルターするには—テーブルの上にあるボタンをクリックして、重大度レベル(CriticalまたはMinorなど)でリストをフィルターします。

  • 攻撃の詳細を表示するには—攻撃名列のハイパーリンクをクリックすると、攻撃とデフォルトのアクションに関する情報が表示されます。

ハイパーリンクをクリックすると、イベントとIDPアクションに関する詳細情報を表示できます。

前の例では、IDPプロファイルタイプアラートを使用して、イベントにパッシブログを使用しました。次に、IDPプロファイルタイプ「ストリクト」を使用してイベントを停止または緩和します。ストリクトプロファイルを使用すると、IDPエンジンは検出された攻撃に対してTCP接続を閉じます。

サンプルに示されているのと同じプロセスに従います。ただし、今回は、この例に示すように、スポークデバイステンプレートを変更し、IDPプロファイルを Alert から Strictに変更します。

この例では、一部のイベントでは、脅威を軽減するためにセッションを閉じることがアクションであることを示しています。

バイパスプロファイルでIDPをカスタマイズする

不要なアラーム(「誤検知」)が表示された場合は、対策としてIDPバイパスプロファイルを作成できます。例えば、特定の宛先または攻撃タイプをIDPから除外します。

IDPプロファイルには複数のバイパスプロファイルを含めることができ、それぞれに複数のバイパスルールがあります。

IDPバイパスプロファイルを作成するには:

  1. 左側のメニューから、組織>WAN>アプリケーションポリシーを選択します。
  2. プロファイルセクションで、IDPバイパスタブをクリックし、バイパスプロファイルの追加をクリックします。
  3. バイパスプロファイルの作成ポップアップウィンドウで、このプロファイルの情報を入力します。
    表2:設定
    フィールド 説明
    名前 このプロファイルの一意の名前を入力します。これには、文字、数字、アンダースコア、ダッシュを含めることができます。最大63文字まで入力できます。
    ベースプロファイル

    IDPバイパスプロファイルを作成するには、ベースIDPプロファイルが必要です。サポートされているタイプは次のとおりです。

    • 標準—標準プロファイルはデフォルトプロファイルであり、ジュニパーネットワークスが推奨するIDPシグネチャとルールのセットを表します。アクションには以下が含まれます。

      クライアントとサーバーのTCP接続を閉じます。

      現在のパケットとそれ以降のすべてのパケットをドロップします。

    • 厳密—厳密なプロファイルには、標準プロファイルと同様のIDPシグネチャとルールのセットが含まれています。ただし、システムが攻撃を検出すると、プロファイルはネットワークで検出された悪意のあるトラフィックやその他の攻撃を積極的にブロックします。
    • Critical-Only(SRX)—Critical-Onlyプロファイルは、重大度がCriticalの攻撃に適しています。システムが重大な攻撃を検出すると、このプロファイルは適切なアクションを実行します。SRX300シリーズのファイアウォールには、Critical–Only SRXプロファイルをお勧めします。
  4. バイ パスプロファイルの作成ポップアップウィンドウの下部にある 次へ をクリックします。
    IDPバイパスプロファイルページが表示され、ページ上部にプロファイルの名前が表示されます。 User interface for managing IDP Bypass Profiles. Profile name MyNewProfile1. No rules defined yet. Options include searching for rules, creating bypass rules, saving or canceling changes, and deleting the profile. Table columns are Name, Destination IP, Attack Name, and Action, currently empty.
  5. バイパスルールの作成をクリックします。
  6. サイドパネルにルールの設定を入力します。
    表3:設定
    フィールド 説明
    名前 このルールの分かりやすい名前を入力します。文字、数字、アンダースコア、ダッシュを含めることができます。最初と最後は文字または数字でなければなりません。32文字以内にしてください。
    アクション トラフィックアクションを選択します。

    • アラート—イベントに関するアラートを送信しますが、破棄はしません

    • ドロップ—応答を送信せずにパケットを破棄します

    • 閉じる—パケットを破棄し、レスポンスを送信します

    • なし—アクションを実行しません
    宛先IP 除外したいトラフィックの宛先のIPアドレス。入力されたリストから1つ以上の宛先IPアドレスを選択するか、 宛先IPの追加をクリックできます。<IPアドレス>/<ネットワークマスク>の形式に従う必要があります。IPを追加した後、宛先IPの追加タイトルバーのチェックマークをクリックして保存します。
    攻撃名 攻撃名を追加をクリックして、指定した宛先アドレスに対して除外する攻撃を指定します。入力する攻撃は、ジュニパーネットワークス IPS シグネチャでサポートされているタイプのものでなければなりません。攻撃名を追加した後、攻撃名のタイトルバーのチェックマークをクリックして保存します。
  7. IPアドレスと攻撃の追加が完了したら、バイパスルールの作成ウィンドウの下部にある追加をクリックします。
  8. プロファイルにバイパスルールを追加する場合は、上記の手順を繰り返します。
  9. プロファイルの設定が完了したら、IDPバイパスプロファイルページの右上隅にある保存をクリックします。
  10. 必要に応じて、カスタムIDPプロファイルをアプリケーションポリシーに適用します。
    ヘルプについては、 アプリケーションポリシーへのIDPプロファイルの追加 (このトピックの前半)を参照してください。カスタムプロファイルは、同じIDPドロップダウンメニューに表示され、組み込みプロファイルを選択できます。