IPSまたは除外ルールを作成する
カスタマイズされた IPS プロファイルに対してのみ、侵入防御システム(IPS)ルールまたは除外ルールを作成できます。
IPSルールの作成
IPS ルールを作成するには:
- SRX>セキュリティサブスクリプション>IPS>IPSプロファイルを選択します。
IPS プロファイル ページは開きます。
- [ IPS-Profile-Name] をクリックします。
[ IPS-Profile-Name ] ページが開きます。
- IPSルール タブの追加(+)アイコンをクリックします。
IPS ルールのパラメータは、ページの上部にインラインで表示されます。
- 表 1 のガイドラインに従って設定を完了します。
手記:
アスタリスク (*) の付いたフィールドは必須です。
- チェックマーク(✓)をクリックして変更を保存します。
変更が保存され、ページの上部に確認メッセージが表示されます。
ファイアウォールポリシーインテントでIPSプロファイルを使用できます。デバイスにファイアウォールポリシーを展開すると、プロファイルに関連付けられたIPSルールと除外ルールも展開されます。
表 1: IPS ルール設定の作成 設定
ガイドライン
名前
Juniper Security Director Cloud は、デフォルトで一意のルール名を生成します。名前は変更できます。
名前は英数字で始まる必要があり、最大 63 文字を含めることができます。これには、英数字と、コロン、ハイフン、スラッシュ、ピリオド、アンダースコアなどの特殊文字が含まれます。
形容
ルールの最大 1024 文字を含む説明を入力します。
IPS シグネチャ
ルールに関連付ける 1 つ以上の IPS シグネチャと IPS シグネチャの静的および動的グループを追加します。
+アイコンの付いたテキストボックス内をクリックします。
IPS シグネチャと IPS シグネチャの静的および動的グループのリストが開きます。
(オプション)追加(+)アイコンをクリックして署名を追加します。IPS シグネチャの追加ポップアップ ウィンドウが開きます。
(オプション)検索語を入力して Enter キーを押すと、表示される項目のリストがフィルタリングされます。
リスト項目をクリックして、ルールに関連付けられた IPS シグネチャおよび IPS シグネチャの静的グループまたは動的グループに追加します。
(オプション)前の手順を繰り返して、署名、静的グループ、および動的グループをさらに追加します。
アクション
監視対象トラフィックがルールで指定された攻撃オブジェクトと一致した場合に実行するアクションを選択します。
-
推奨(デフォルト)- 攻撃が検出されたときにジュニパーネットワークスが推奨するアクションを使用します。すべての定義済みアタック オブジェクトには、そのオブジェクトに関連付けられた既定のアクションがあります。
-
アクションなし - アクションは実行されません。このアクションを使用して、一部のトラフィックのログのみを生成します。
-
接続のドロップ:接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。
-
Drop Packet:一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックが妨げられる可能性があります。
-
[クライアントを閉じる(Close Client)]:接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。
-
[サーバーを閉じる]:接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。
-
クライアントとサーバーを閉じる - 接続を閉じ、クライアントとサーバーの両方に TCP リセット(RST)パケットを送信します。
-
[接続を無視(Ignore Connection)]:攻撃に一致するものが見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。
-
Mark DiffServ - 指定された DSCP 値を攻撃対象のパケットに割り当て、パケットを通常どおりに渡します。
「DiffServ をマーク」を選択すると、「コード・ポイント」ポップアップが表示されます。
コード ポイント フィールドで、0 から 63 までの DSCP 値を入力して下さい。
OK をクリックします。
前のページが開き、入力した DSCP 値が表示されます。
オプション
次のオプションのいずれかまたは両方を有効にして、ログを作成します。
-
攻撃をログに記録する - 攻撃をログに記録するには、このオプションを有効にします。[詳細設定] の [アラート フラグ] オプションを有効にして、攻撃ログにアラート フラグを追加できます。
-
Log packets—このオプションを有効にすると、ルールが一致したときにパケットキャプチャがログに記録され、攻撃者の行動をさらにオフラインで分析できます。タイムアウト値を指定することで、この攻撃でキャプチャーする攻撃前および攻撃後のパケット数を設定し、攻撃後のパケット・キャプチャの期間を制限することができます。
詳細設定の [前のパケット]、[後のパケット]、または [ポスト ウィンドウ タイムアウト] フィールドの少なくとも 1 つを設定する必要があります。
表 2: 詳細設定 設定
ガイドライン
脅威プロファイリング
攻撃者をフィードに追加する
攻撃者の IP アドレスをフィードに追加して、IPS ルールで脅威プロファイルを構成します。 フィードにターゲットを追加
攻撃ターゲットの IP アドレスをフィードに追加して、IPS ルールで脅威プロファイルを構成します。 アラート フラグ
このオプションを有効にすると、攻撃ログにアラート フラグが設定されます。
変更前のパケット
攻撃動作をさらに分析するために、攻撃前にキャプチャする必要がある受信パケットの数を入力します。
範囲は 1 から 255 からです。
このフィールドは、[ログパケット]オプションを有効にした場合にのみ使用できます。
後のパケット
攻撃者の行動をさらに分析するためにキャプチャする必要がある、攻撃後に受信されたパケットの数を入力します。
範囲は 1 から 255 です。
このフィールドは、[ログパケット]オプションを有効にした場合にのみ使用できます。
ポストウィンドウタイムアウト
攻撃後に受信したパケットをキャプチャする時間制限を秒単位で入力します。指定されたタイムアウトが経過した後、パケットはキャプチャされません。
範囲は 1 から 1800 秒からです。
このフィールドは、[ログパケット]オプションを有効にした場合にのみ使用できます。
IP アクション
アクション
同じ IP アドレスを使用する今後の接続で実行するアクションを選択します。
手記:IP アクションが複数のルールと一致する場合、一致したすべてのルールの中で最も重大な IP アクションが適用されます。重大度の降順で、アクションはブロック、クローズ、通知です。
-
なし (デフォルト) - アクションは実行しません。これは、IP アクションを構成しない場合と似ています。
-
IP 通知 - 今後のトラフィックに対しては何も行わず、イベントをログに記録します。
-
IP Close:RST パケットをクライアントとサーバに送信することで、IP アドレスに一致する新しいセッションの今後の接続を閉じます。
-
IP ブロック - IP アドレスに一致するセッションの今後の接続をブロックします。
IP ターゲット
構成された IP アクションに対してトラフィックがどのように一致する必要があるかを選択します。
-
なし:どのトラフィックにも一致しません。
-
宛先アドレス - 攻撃トラフィックの宛先 IP アドレスに基づいてトラフィックを照合します。
-
サービス—TCPおよびUDPの場合、攻撃トラフィックの送信元IPアドレス、送信元ポート、宛先IPアドレス、および宛先ポートに基づいてトラフィックを照合します。
-
送信元アドレス:攻撃トラフィックの送信元 IP アドレスに基づいてトラフィックを照合します。
-
送信元ゾーン:攻撃トラフィックの送信元ゾーンに基づいてトラフィックを照合します。
-
送信元ゾーン アドレス - 攻撃トラフィックの送信元ゾーンと送信元 IP アドレスに基づいてトラフィックを照合します。
-
ゾーンサービス:攻撃トラフィックの送信元ゾーン、宛先IPアドレス、宛先ポート、プロトコルに基づいてトラフィックを照合します。
更新タイムアウト
将来のトラフィックが設定されたIPアクションに一致する場合にIPアクションのタイムアウト(タイムアウト値フィールドに入力)を更新するには、このオプションを有効にします。
タイムアウト値
IP アクションが有効であり続ける秒数を設定します。
例えば、タイムアウトを 3600 秒(1 時間)に設定し、トラフィックが設定された IP アクションと一致する場合、IP アクションは 1 時間有効です。
範囲は 0 から 64800 秒からです。
IPアクションヒットのログ
ルールに一致するトラフィックに対するIPアクションに関する情報をログに記録するには、このオプションを有効にします。
ログ IP アクション ルールの作成
IP アクション・フィルターがトリガーされたときにイベントを生成するには、このオプションを有効にします。
ルール修飾子
重大度の上書き
ルールで継承された攻撃の重大度を上書きする重大度レベルを選択します。
最も危険なレベルは、サーバーをクラッシュさせたり、ネットワークを制御したりしようとする [重大] で、最も危険性の低いレベルは、セキュリティ システムの脆弱性を検出するために使用できる [情報] です。
端末マッチング
IPS ルールをターミナルとしてマークするには、このオプションを有効にします。
端末ルールに一致すると、デバイスはその IPS プロファイルの残りのルールとの一致を停止します。
免除ルールの作成
除外ルールを作成するには:
- SRX>セキュリティサブスクリプション>IPS>IPSプロファイルを選択します。
IPS プロファイル ページは開きます。
- [ IPS-Profile-Name] をクリックします。
[ IPS-Profile-Name ] ページが開きます。
- IPSルール タブの追加(+)アイコンをクリックします。
除外ルールのパラメーターは、ページの上部にインラインで表示されます。
- 次のフィールドのみを設定できます。
ルール名
形容
IPS シグネチャ
これらのフィールドの説明については、 表 1 を参照してください。
- [ 保存 ] をクリックして変更を保存します。
変更が保存され、ページの上部に確認メッセージが表示されます。
ファイアウォールポリシーインテントでIPSプロファイルを使用できます。デバイスにファイアウォールポリシーを展開すると、プロファイルに関連付けられたIPSルールと除外ルールも展開されます。