Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

IDP 보안 패킷 캡처

이 주제에서는 공격 전후에 패킷을 캡처하여 공격 세부 정보를 확인하고 서명을 생성하는 방법에 대해 설명합니다. 여기에는 특정 규칙에 대한 패킷 캡처 활성화, 메모리 할당 구성, 분석을 위해 캡처된 패킷을 호스트 디바이스로 전송하는 작업이 포함됩니다. 로그를 로컬에 저장하는 기능과 함께 패킷 로그에 SSL/TLS를 사용하는 암호화 지원이 도입되었습니다.

IDP 센서 구성은 패킷 캡처를 위한 디바이스 사양을 정의합니다.

패킷 캡처 이해

공격 전후의 패킷을 보면 공격 시도의 목적과 범위, 공격의 성공 여부, 공격으로 인한 네트워크 손상 등을 파악하는 데 도움이 됩니다. 또한 패킷 분석은 공격 시그니처를 정의하여 오탐을 최소화하는 데 도움이 됩니다.

공격이 기록될 때 패킷 캡처가 활성화되면 세션에 대해 공격 전후에 지정된 개수의 패킷을 캡처할 수 있습니다. 모든 패킷이 수집되면 오프라인 분석을 위해 DMI(Device Management Interface)에서 호스트 디바이스로 전송됩니다.

IDP 정책 규칙의 알림 옵션은 규칙 일치가 발생할 때 패킷 캡처를 활성화합니다. 이 옵션은 캡처할 패킷 수와 관련 세션에 대한 패킷 캡처 기간을 추가로 정의합니다.

IDP 센서 구성은 패킷 캡처를 위한 디바이스 사양을 정의합니다. 이 명령의 옵션은 패킷 캡처에 할당할 메모리와 패킷 캡처 개체가 전송될 소스 및 호스트 디바이스를 결정합니다.

명령은 show 디바이스에서 패킷 캡처 활동의 진행, 성공 및 실패에 대한 세부 정보를 제공하는 패킷 캡처 카운터를 표시합니다.

패킷 캡처 지원은 각 세션에서 한 번만 사용할 수 있습니다.

향상된 공격 전 구성 매개 변수 값으로 패킷 캡처를 구성하면 리소스 사용량이 비례하여 증가하고 디바이스 성능에 영향을 미칠 수 있습니다.

IDP 패킷 캡처를 위한 암호화 지원

SSL(Secure Sockets Layer) 또는 TLS(전송 레이어 보안) 연결을 활성화하고 암호화된 IDP 패킷 캡처 로그를 패킷 캡처 수신기로 전송할 수 있습니다. SSL 또는 TLS 연결을 설정하려면 IDP 패킷 로그 구성에 사용할 SSL 시작 프로필 이름을 지정해야 합니다. 보안 디바이스는 SSL 또는 TLS 클라이언트이며 패킷 캡처 수신기는 SSL 또는 TLS 서버입니다.

패킷 로그 구성에서 암호화 지원이 활성화된 경우, IDP는 보안 SSL 또는 TLS 연결을 사용하여 논리적 시스템 또는 테넌트 시스템 내의 모든 세션(암호화 및 비암호화)에 대해 구성된 호스트로 IDP 패킷 로그를 보냅니다. 패킷 로그가 패킷 캡처 수신기로 전송되면 SSL 연결이 닫힙니다.

이전에는 검사를 위해 암호화된 트래픽이 전송되면 IDP가 SSL 프록시를 사용하여 복호화된 트래픽을 수신하고 공격 탐지를 위해 검사했습니다. 공격이 탐지되고 패킷 로그가 구성된 경우, 복호화된 패킷은 UDP 트래픽을 통해 패킷 로그의 일부로 구성된 호스트로 전송되었습니다. 암호화되지 않은 패킷 로그의 이러한 전송은 특히 캡처된 패킷 로그가 암호화된 트래픽용인 경우 안전하게 보호되지 않습니다.

암호화 지원이 활성화되면 SSL 프로필은 각 논리 시스템에서 별도로 구성되어야 합니다. 전송 매개 변수를 위해 루트 논리적 시스템에서 수행된 IDP 센서 구성은 다른 논리적 시스템 또는 테넌트 시스템에 사용될 수 없습니다.

IDP 패킷 로그에 대한 SSL 또는 TLS 연결은 다음과 같이 설정됩니다.

  • 패킷 로깅 프로세스가 시작될 때 호스트에 대한 SSL 또는 TLS 연결이 없으면 패킷 로그를 전송하기 위한 새 SSL 연결이 설정됩니다.

  • 패킷 로그 전송 중에 기존 SSL 또는 TLS 연결이 있는 경우 동일한 연결이 재사용됩니다.

  • 패킷 로깅이 중지되면 캡처된 패킷이 설정된 SSL 또는 TLS 연결을 통해 전송됩니다.

  • SSL 또는 TLS 패킷 전송 세션이 사용 중이고 호스트로부터 새로운 패킷 로그 요청이 도착하는 경우, 새 패킷 로그는 기존 SSL 세션이 완료된 후에만 큐에 추가되고 전송됩니다.

IDP의 패킷 로그 구성은 이제 SSL 프로필 이름 구성을 지원합니다. 이 업데이트된 패킷 로그 구성을 사용하여 IDP 패킷 로그에 대한 보안 SSL 연결을 설정할 수 있습니다.

SSL 구성으로 업데이트된 IDP 패킷 로그 명령은 다음과 같습니다.

  • set security idp sensor-configuration packet-log ssl-profile-name < profile-name>
  • 논리적 시스템 내의 세션의 경우-set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name>

  • 테넌트 시스템 내의 세션의 경우set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>

이러한 명령에 언급된 프로필 이름은 SSL 시작 프로필 구성에서 구성해야 합니다. SSL 시작 프로필 구성은 보안 연결을 설정하는 데 필요한 SSL 인증서 및 SSL 핸드셰이크 작업을 수행합니다. SSL 버전은 SSL 시작 구성에 따라 선택됩니다.

SSL 시작 프로필 구성에서 SSL 프로필 이름이 구성되지 않은 경우, 다음 메시지가 표시됩니다. 참조된 SSL 시작 프로필이 정의되지 않았습니다.

새로운 패킷 로그 카운터를 보려면 다음 show security idp counters packet-log 명령을 사용합니다.

이점

  • 인증서 기반 암호화와 함께 SSL 및 TLS 키를 사용하여 데이터 프라이버시 및 보안을 보장합니다.

  • 잠재적인 개인 정보를 네트워크의 공유 엔터티로 스트리밍할 수 있도록 지원합니다.

IDP 온박스 패킷 캡처 지원

공격이 발생하면 IDP 패킷 로깅 기능을 사용하여 패킷을 캡처하고 공격 행동을 오프라인으로 분석합니다. 경우에 따라 Security Director와 같은 로그 수집기 디바이스를 캡처된 패킷의 오프라인 수집에 사용할 수 없습니다. 이러한 경우 캡처된 패킷을 로컬에 저장하고 J-Web에서 세부 정보를 볼 수 있습니다.

기존 IDP 패킷 로그 구성은 평소와 같이 사용되며, 명령을 사용하여 IDP 규칙에 대한 패킷 로그를 설정할 수 있습니다. 이 명령을 사용하여 set security idp sensor-configuration packet-log local-storage 캡처한 패킷을 디바이스에 저장할 수 있습니다.

이 구성을 사용하는 경우, 호스트에 대한 세부 정보가 구성된 경우 패킷 로그를 오프박스 호스트 또는 수집기로 전송하는 데 변화가 없습니다.

캡처된 트래픽은 /var/log/pcap/idp/에 저장됩니다. PCAP 파일의 이름은 타임스탬프, 공격 로그 ID 및 트리거 패킷 번호를 기반으로 합니다.

제공된 로그 순환 기능을 사용하여 작성되는 PCAP 파일 수를 제한할 수 있습니다. 다음 구성을 사용하여 /var/log/pcap/idp에 생성해야 하는 PCAP 파일 수를 제한합니다.

set security idp sensor-configuration packet-log local-storage max-files <1..5000>

기본값은 500입니다.

다음 구성은 PCAP 파일을 저장하는 데 사용할 최대 디스크 공간에 대한 제한을 설정하는 데 사용됩니다.

set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>

기본값은 100M이고 최소값은 1M입니다.

카운터는 온박스 캡처 통계를 나타냅니다. 기존 패킷 로그 카운터에 새로운 카운터가 추가됩니다. 다음 명령을 사용하여 패킷 로그 카운터의 세부 정보를 볼 수 있습니다.

user@host> show security idp counters packet-log

이제 이 세션에 대한 온박스 패킷 캡처 파일이 생성될 때 기존 session-close syslog에 플래그가 설정됩니다. 다음 예제의 마지막 세 번째 매개 변수(128 - 세션에 대한 기능 통계)는 이를 나타냅니다. 다음은 예시입니다.

RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A

다음은 다른 유용한 명령입니다.

  • 을 사용하여 delete security idp sensor-configuration packet-log local-storage 구성을 삭제하고 온박스 로깅을 비활성화하기 위해 커밋합니다.

  • clear counter 명령을 clear security idp counters packet-log 사용하여 온박스 캡처 세부 정보를 제거합니다.

  • 캡처한 모든 파일을 지우는 데 사용합니다 request security idp storage-cleanup packet-capture .

또한보십시오

예: 보안 패킷 캡처 구성

이 예는 보안 패킷 캡처를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 네트워크 인터페이스를 구성합니다.

개요

이 예에서는 정책 pol0의 규칙 1에 대한 패킷 캡처를 구성합니다. 이 규칙은 공격이 발생하면 공격 전 1패킷과 공격 후 3패킷이 캡처되고 공격 후 캡처는 60초 후에 시간 초과되어야 한다고 지정합니다. 센서 구성이 수정되어 사용 가능한 메모리의 5%와 IDP 세션의 15%를 패킷 캡처에 할당합니다. 패킷 캡처 개체가 준비되면 디바이스 10.56.97.3에서 디바이스 10.24.45.7의 포트 5로 전송됩니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

단계별 절차

다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

보안 패킷 캡처를 구성하려면 다음을 수행합니다.

  1. IDP 정책을 생성합니다.

  2. 규칙 베이스를 정책과 연결합니다.

  3. 규칙 베이스에 규칙을 추가합니다.

  4. 알림을 지정하고 각 패킷 캡처에 대한 크기 및 타이밍 제약을 정의합니다.

  5. 공격을 일치 기준으로 정의합니다.

  6. 규칙에 대한 작업을 지정합니다.

  7. 보안 idp sensor-configuration을 활성화합니다.

  8. (선택 사항) security idp sensor-configuration 로그 억제를 비활성화합니다.

    IDP 로그 억제가 활성화되면(기본 동작), 단일 서명과 일치하는 대용량 또는 반복적 공격이 발생하는 동안 SRX 시리즈 방화벽에서 패킷 캡처(PCAP)를 생성하지 않고 수집기로 전달하지 못할 수 있습니다. 각 공격에 대해 PCAP 레코드가 필요한 경우 IDP 로그 억제를 비활성화하는 것이 좋습니다.

  9. 패킷 캡처에 사용할 디바이스 리소스를 할당합니다.

  10. 패킷 캡처 개체를 전송하기 위한 소스 및 호스트 디바이스를 식별합니다.

  11. 보안 SSL 또는 TLS 연결을 활성화하여 구성된 호스트(PCAP 수신기)로 전송되는 IDP 패킷 로그를 암호화합니다.

    SSL 시작 프로필 구성에서 앞서 언급한 SSL 프로필 이름을 구성합니다. SSL 시작 구성에서 지원하는 모든 SSL 및 TLS 버전은 이 IDP 패킷 로그 SSL 또는 TLS 연결에 지원됩니다. SSL 시작 구성에서 구성된 SSL 또는 TLS 버전만 선택할 수 있습니다.

    user@host# show services ssl initiation | display set 을 실행하여 SSL 시작에서 구성된 SSL 프로필 이름을 보고 필요한 SSL 또는 TLS 버전을 사용합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다. show security idp 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

검증

구성이 제대로 작동하고 있는지 확인합니다.

보안 패킷 캡처 확인

목적

보안 패킷 캡처를 확인합니다.

작업

운영 모드에서 명령을 입력합니다.show security idp counters packet-log

예: 데이터 경로 디버깅을 위한 패킷 캡처 구성

이 예는 디바이스를 통과하는 트래픽을 모니터링하도록 패킷 캡처를 구성하는 방법을 보여줍니다. 그런 다음 패킷 캡처는 나중에 tcpdump 유틸리티로 검사할 수 있는 PCAP 파일 형식으로 패킷을 덤프합니다.

요구 사항

시작하기 전에 데이터 경로 디버깅 설정(CLI 절차)을 참조하십시오.

개요

필터는 트래픽을 필터링하도록 정의됩니다. 그런 다음 작업 프로필이 필터링된 트래픽에 적용됩니다. 작업 프로필은 처리 장치에 대한 다양한 작업을 지정합니다. 지원되는 작업 중 하나는 패킷을 라우팅 엔진으로 전송하고 명령을 사용하여 show security datapath-debug capture 읽을 수 있는 전용 형식으로 저장하는 패킷 덤프입니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

단계별 절차

다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 Junos OS CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

패킷 캡처 구성 방법:

  1. packet-processing 경로를 따라 여러 처리 장치에 대한 security datapath-debug 옵션을 편집합니다.

  2. 캡처 파일, 파일 형식, 파일 크기, 파일 수를 활성화합니다. 크기 번호는 캡처 파일의 크기를 제한합니다. 제한 크기에 도달한 후 파일 번호가 지정되면 캡처 파일이 파일 이름 xx 으로 바뀝니다. 여기서 지정된 인덱스에 도달할 때까지 자동 증분된 다음 0으로 돌아갑니다. 파일 인덱스를 지정하지 않으면 크기 제한에 도달한 후 패킷이 폐기됩니다. 기본 크기는 512킬로바이트입니다.

  3. 작업 프로필을 활성화하고 이벤트를 설정합니다. 작업 프로필을 do-capture로 설정하고 이벤트 유형을 np-ingress로 설정합니다.

  4. 작업 프로필에 대한 패킷 덤프를 활성화합니다.

  5. 패킷 필터, 작업, 필터 옵션을 활성화합니다. 패킷 필터는 my-filter, 작업 프로필은 do-capture, 필터 옵션은 source-prefix 10.2.3.4/32로 설정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다. show security datapath-debug 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

검증

구성이 제대로 작동하고 있는지 확인합니다.

패킷 캡처 확인

목적

패킷 캡처가 작동하고 있는지 확인합니다.

작업

운영 모드에서 패킷 캡처를 시작하려면 명령을 입력 request security datapath-debug capture start 하고 패킷 캡처를 request security datapath-debug capture stop 중지하려면 명령을 입력합니다.

결과를 보려면 CLI 운영 모드에서 로컬 UNIX 셸에 액세스하고 /var/log/my-capture 디렉터리로 이동합니다. 결과는 tcpdump 유틸리티를 사용하여 읽을 수 있습니다.

데이터 경로 디버깅 캡처 확인

목적

데이터 경로 디버깅 캡처 파일의 세부 사항을 확인합니다.

작업

운영 모드에서 명령을 입력합니다.show security datapath-debug capture

문제 해결이 완료되면 (flow traceoptions에 국한되지 않는) 모든 traceoptions 구성과 전체 보안 datapath-debug 구성 stanza를 제거하거나 비활성화해야 합니다. 디버깅 구성이 활성 상태로 유지되면 디바이스의 CPU 및 메모리 리소스를 계속 사용합니다.

데이터 경로 디버깅 카운터 확인

목적

데이터 경로 디버깅 카운터의 세부 사항을 확인합니다.

작업

운영 모드에서 명령을 입력합니다.show security datapath-debug counter

논리적 시스템 및 테넌트 시스템에 대한 IDP 보안 패킷 로깅

논리적 시스템 및 테넌트 시스템에 대한 IDP 보안 패킷 로그를 캡처할 수 있습니다. 보안 디바이스에서 패킷 캡처가 활성화되면 캡처할 공격 후 또는 공격 전 패킷의 수를 지정할 수도 있습니다. 보안 디바이스에서 패킷 캡처를 구성한 후 디바이스는 캡처된 정보를 수집하여 논리적 시스템 및 테넌트 시스템 수준에서 패킷 캡처(.pcap) 파일로 저장합니다.

논리적 시스템 및 테넌트 시스템에 대한 IDP 보안 패킷 로그를 구성할 때 구성은 다음 샘플과 같습니다.

IDP 패킷 로깅 샘플 구성

경로 및 도달 가능성

논리적 시스템 및 테넌트 시스템 수준에서 패킷 로깅 센서를 지정하여 캡처한 패킷을 대상 디바이스(패킷 캡처 수신기)에 저장할 수 있습니다. 캡처한 패킷을 전송하고 저장하려면 논리적 시스템 및 테넌트 시스템 구성에서 대상 디바이스의 IP 주소를 추가해야 합니다. 그렇지 않으면 디바이스는 루트 논리적 시스템 및 테넌트 시스템 수준에서 구성된 디바이스의 IP 주소를 사용하여 캡처된 패킷을 전송합니다. 이 경우 캡처된 패킷은 논리적 시스템 및 테넌트 시스템 수준에 저장되지 않습니다.

루트 논리적 시스템 및 테넌트 시스템에 대상 디바이스의 IP 주소가 없는 경우 보안 디바이스가 캡처된 패킷을 전송하지 못합니다.

명령을 사용합니다. show security idp counters packet log logical-system logical-system-name 옵션을 선택합니다 Packet log host route lookup failures . 누락된 경로 세부 정보로 인해 보안 디바이스가 패킷을 보내지 않은 빈도를 확인합니다.

또한보십시오

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시
설명
23.1R1
Junos OS 릴리스 23.1R1부터 캡처된 패킷을 SRX 시리즈 방화벽에 로컬로 저장할 수 있으며 사용자 인터페이스 또는 J-Web에서 세부 정보를 볼 수 있습니다.
22.1R1
Junos OS 릴리스 22.1R1부터 보안 SSL 또는 TLS 연결을 활성화하고 암호화된 IDP 패킷 캡처 로그를 패킷 캡처 수신기로 전송할 수 있습니다.
21.3R1
Junos OS 릴리스 21.3R1부터는 논리적 시스템 및 테넌트 시스템에 대한 IDP 보안 패킷 로그를 캡처할 수 있습니다.