이 페이지 내용
침입 탐지 및 방지(IDP) 정책 규칙 및 침입 탐지 및 방지(IDP) 규칙 기반
이 주제에서는 트래픽 검사 및 위협 탐지 방법을 정의하는 규칙 집합인 규칙 베이스를 포함하여 침입 탐지 및 방지(IDP) 정책의 구조와 구성 요소에 대해 설명합니다. 또한 다양한 유형의 규칙 기반도 다룹니다. 관리자는 침입 탐지 및 방지(IDP) 정책 규칙 및 규칙 베이스를 사용하여 다양한 위협으로부터 네트워크를 효과적으로 보호할 수 있습니다.
침입 탐지 및 방지(IDP) 정책은 네트워크 트래픽을 분석하여 위협을 탐지하고 완화하는 규칙 기반 내에 구성된 규칙으로 구성됩니다. 이러한 정책은 잠재적인 공격을 식별하고 적절한 보안 작업을 결정하기 위해 특정 검색 방법을 적용하는 방법을 정의합니다.
침입 탐지 및 방지(IDP) 정책 규칙 기반 이해
규칙 베이스는 특정 탐지 방법을 사용하여 공격을 식별하고 방지하는 정렬된 규칙 집합입니다.
규칙은 침입 탐지 및 방지(IDP) 시스템이 공격을 찾기 위해 조사해야 하는 네트워크 트래픽 부분을 지정하여 탐지 메커니즘에 대한 컨텍스트를 제공하는 지침입니다. 규칙이 일치하면 네트워크 트래픽에서 공격이 탐지되어 해당 규칙에 대한 작업이 트리거되었음을 의미합니다. 침입 탐지 및 방지(IDP) 시스템은 지정된 작업을 수행하고 해당 공격으로부터 네트워크를 보호합니다.
각 규칙 베이스에는 여러 규칙이 있을 수 있으며, 원하는 순서로 규칙을 배치하여 네트워크 트래픽에 적용되는 순서를 결정할 수 있습니다. 침입 탐지 및 방지(IDP system)의 각 규칙 기반은 특정 탐지 방법을 사용하여 공격을 식별하고 방지합니다. Junos OS는 IPS(침입 방지 시스템) 규칙 베이스와 면제 규칙 베이스라는 두 가지 유형의 규칙 베이스를 지원합니다.
침입 탐지 및 방지(IDP) 정책 규칙 이해하기
침입 탐지 및 방지(IDP) 정책의 각 명령을 규칙이라고 합니다. 규칙은 규칙 베이스에서 생성됩니다.
규칙 베이스는 침입 탐지 및 방지(IDP) 정책을 정의하기 위해 결합되는 일련의 규칙입니다. 규칙은 침입 탐지 및 방지(IDP) 시스템이 공격을 찾기 위해 조사해야 하는 네트워크 트래픽 부분을 지정하여 탐지 메커니즘에 컨텍스트를 제공합니다. 규칙이 일치하면 네트워크 트래픽에서 공격이 탐지되어 해당 규칙에 대한 작업이 트리거되었음을 의미합니다. 침입 탐지 및 방지(IDP) 시스템은 지정된 작업을 수행하고 해당 공격으로부터 네트워크를 보호합니다.
침입 탐지 및 방지(IDP) 정책 규칙은 다음 구성 요소로 구성됩니다.
- 침입 탐지 및 방지(IDP) 규칙 일치 조건 이해
- 침입 탐지 및 방지(IDP) 규칙 객체 이해하기
- 침입 탐지 및 방지(IDP) 규칙 작업 이해
- 침입 탐지 및 방지(IDP) 규칙 IP 작업 이해
- 침입 탐지 및 방지(IDP) 규칙 알림 이해하기
침입 탐지 및 방지(IDP) 규칙 일치 조건 이해
일치 조건은 IDP가 공격을 모니터링할 네트워크 트래픽 유형을 지정합니다.
일치 조건은 다음 특성을 사용하여 모니터링할 네트워크 트래픽 유형을 지정합니다.
From-zone및to-zone- 모든 트래픽이 소스 영역에서 대상 영역으로 흐릅니다. 소스 또는 대상에 대해 모든 영역을 선택할 수 있습니다. 또한 영역 예외를 사용하여 각 장치에 대해 고유한 영역을 지정할 수 있습니다. 모든 영역에서 오고 나가는 네트워크 트래픽을 모니터링하려면 을 지정합니다any. 기본값은 입니다any.메모:일 때 및 주소를 지정할
source-address수 있습니다any.source-exceptfrom-zone마찬가지로, 이(가)any인 경우to-zone및destination-except주소를 지정할destination-address수 있습니다.Source IP address- 네트워크 트래픽이 시작되는 소스 IP 주소를 지정합니다. 모든 IP 주소에서 발생하는 네트워크 트래픽을 모니터링하도록 지정할any수 있습니다. 지정된 주소를 제외한 모든 소스를 지정하도록 지정할source-except수도 있습니다. 기본값은 입니다any.Destination IP address- 네트워크 트래픽이 전송되는 대상 IP 주소를 지정합니다. 모든 IP 주소로 전송되는 네트워크 트래픽을 모니터링하도록 설정할any수 있습니다. 지정된 주소를 제외한 모든 수신인을 지정하도록 지정할destination-except수도 있습니다. 기본값은 입니다any.-
Application- 대상 IP 주소가 지원하는 애플리케이션 레이어 프로토콜을 지정합니다. 모든 응용 프로그램에 대해 을(를) 지정any하거나 응용 프로그램(예:junos-bgp)을 지정할 수 있습니다. 기본 및 자동으로 감지된 포트를 공격 대상에 내포된 애플리케이션과 일치시키도록 규칙에 대해 공격 객체에 구성된 애플리케이션을 지정할default수 있습니다.
침입 탐지 및 방지(IDP) 규칙 객체 이해하기
객체는 규칙에 적용할 수 있는 재사용 가능한 논리적 엔터티입니다. 사용자가 만든 각 개체는 개체 유형에 대한 데이터베이스에 추가됩니다.
침입 탐지 및 방지(IDP) 규칙에 대해 다음과 같은 유형의 객체를 구성할 수 있습니다.
영역 객체
영역 또는 보안 영역은 하나 이상의 네트워크 인터페이스 모음입니다. 침입 탐지 및 방지(IDP)는 기본 시스템에서 구성된 영역 개체를 사용합니다.
주소 또는 네트워크 개체
주소 개체는 호스트 시스템, 서버 및 서브넷과 같은 네트워크의 구성 요소를 나타냅니다. 침입 탐지 및 방지(IDP) 정책 규칙에서 주소 개체를 사용하여 보호하려는 네트워크 구성 요소를 지정할 수 있습니다.
응용 프로그램 또는 서비스 개체
서비스 객체는 TCP, UDP, RPC 및 ICMP와 같은 전송 레이어 프로토콜을 사용하는 네트워크 서비스를 나타냅니다. 규칙에서 서비스 객체를 사용하여 공격이 네트워크에 액세스하는 데 사용하는 서비스를 지정합니다. 주니퍼 네트웍스는 업계 표준 서비스를 기반으로 하는 서비스 개체의 데이터베이스인 사전 정의된 서비스 개체를 제공합니다. 사전 정의된 서비스 객체에 포함되지 않은 서비스 객체를 추가해야 하는 경우 사용자 정의 서비스 객체를 생성할 수 있습니다. 침입 탐지 및 방지(IDP)는 다음과 같은 유형의 서비스 객체를 지원합니다.
Any- IDP가 모든 전송 레이어 프로토콜을 일치시킬 수 있습니다.TCP- 지정된 TCP 포트에 대한 네트워크 서비스와 일치하는 TCP 포트 또는 포트 범위를 지정합니다. 모든 TCP 포트에 대해 서비스를 일치하도록 지정할junos-tcp-any수 있습니다.UDP- 지정된 UDP 포트에 대한 네트워크 서비스와 일치하는 UDP 포트 또는 포트 범위를 지정합니다. 모든 UDP 포트에 대해 서비스를 일치시키도록 지정할junos-udp-any수 있습니다.RPC- 원격 프로시저 호출(Sun Microsystems의 RPC) 프로그램 번호 또는 프로그램 번호 범위를 지정합니다. 침입 탐지 및 방지(IDP)는 이 정보를 사용하여 RPC 세션을 식별합니다.ICMP- ICMP 패킷의 일부인 유형 및 코드를 지정합니다. 모든 ICMP 서비스와 일치하도록 을(를) 지정할junos-icmp-all수 있습니다.default- 침입 탐지 및 방지(IDP)가 기본 및 자동 탐지된 프로토콜을 공격 객체에 내포된 애플리케이션과 일치시킬 수 있습니다.
공격 객체
침입 탐지 및 방지(IDP) 공격 객체는 알려진 공격과 알려지지 않은 공격을 나타냅니다. 침입 탐지 및 방지(IDP)에는 주니퍼 네트웍스가 주기적으로 업데이트하는 공격 객체 데이터베이스가 사전 포함되어 있습니다. 공격 객체는 악의적인 활동을 식별하기 위해 규칙에 지정됩니다. 각 공격은 알려진 공격 패턴을 나타내는 공격 객체로 정의됩니다. 모니터링되는 네트워크 트래픽에서 알려진 공격 패턴이 발견될 때마다 공격 대상이 일치합니다. 공격 객체의 세 가지 주요 유형이 표 1에 설명되어 있습니다.
공격 객체 |
묘사 |
|---|---|
시그니처 공격 객체 |
시그니처 공격 객체는 스테이트풀 공격 시그니처를 사용하여 알려진 공격을 탐지합니다. 공격 시그니처는 공격 내에 항상 존재하는 패턴입니다. 공격이 존재하면 공격 시그니처도 존재합니다. IDP는 스테이트풀 시그니처를 사용하여 공격을 수행하는 데 사용된 특정 프로토콜 또는 서비스, 공격 방향과 흐름, 공격이 발생한 컨텍스트를 확인할 수 있습니다. 스테이트풀 시그니처는 공격 컨텍스트가 정의되어 공격이 발생하지 않는 네트워크 트래픽의 상당 부분을 제거하기 때문에 오탐이 거의 발생하지 않습니다. |
프로토콜 이상 공격 객체 |
프로토콜 이상 공격 객체는 네트워크에서 비정상적인 활동을 식별합니다. 사용 중인 특정 프로토콜에 대한 규칙 집합에 따라 연결 내에서 비정상적이거나 모호한 메시지를 감지합니다. 프로토콜 이상 징후 탐지는 RFC 및 일반적인 RFC 확장으로 정의되는 프로토콜 표준과의 편차를 찾아 작동합니다. 대부분의 합법적인 트래픽은 설정된 프로토콜을 준수합니다. 그렇지 않은 트래픽은 이상을 생성하며, 이는 공격자가 침입 침입 방지 시스템(IPS) 회피와 같은 특정 목적을 위해 생성할 수 있습니다. |
복합 공격 객체 |
복합 공격 객체는 여러 시그니처 및/또는 프로토콜 이상을 단일 객체로 결합합니다. 트래픽은 복합 공격 객체와 일치시키기 위해 결합된 모든 시그니처 및/또는 프로토콜 이상과 일치해야 합니다. 서명 또는 이상 징후가 일치해야 하는 순서를 지정할 수 있습니다. 복합 공격 객체를 사용하여 침입 탐지 및 방지(IDP) 정책 규칙을 개선하고, 오탐을 줄이고, 탐지 정확도를 높일 수 있습니다. 복합 공격 객체를 사용하면 IDP가 트래픽을 공격으로 식별하기 전에 발생해야 하는 이벤트에 대해 매우 구체적으로 지정할 수 있습니다. , |
공격 객체 그룹
침입 탐지 및 방지(IDP)에는 사전 정의된 공격 객체가 다수 포함되어 있습니다. 침입 탐지 및 방지(IDP) 정책을 체계적이고 관리 가능하게 유지하기 위해 공격 객체를 그룹화할 수 있습니다. 공격 객체 그룹에는 여러 유형의 공격 객체가 하나 이상 포함될 수 있습니다. Junos OS는 다음과 같은 세 가지 유형의 공격 그룹을 지원합니다.
사전 정의된 공격 객체 그룹 - 서명 데이터베이스에 있는 객체를 포함합니다. 사전 정의된 공격 객체 그룹은 본질적으로 동적입니다. 예를 들어, FTP: Minor group은 응용 프로그램(FTP) 및 심각도(Minor)의 모든 공격을 선택합니다. 보안 데이터베이스에 심각도가 경미한 새 FTP 공격이 도입되면 기본적으로 FTP: Minor 그룹에 추가됩니다.
동적 공격 그룹—특정 일치 기준에 따라 공격 객체를 포함합니다. 예를 들어 동적 그룹에는 애플리케이션과 관련된 모든 공격이 포함될 수 있습니다. 서명을 업데이트하는 동안 동적 그룹 구성원 자격은 해당 그룹의 일치 기준에 따라 자동으로 업데이트됩니다.
방향 필터를 사용하는 동적 공격 그룹의 경우 제외 값에 표현식
and을 사용해야 합니다. 모든 필터의 경우와 마찬가지로 기본 표현식은 입니다or. 다만, 방향 필터의 경우의 선택and이 있습니다.예를 들어, 클라이언트-서버 방향으로 모든 공격을 선택하려면 명령을 사용하여
set security idp dynamic-attack-group dyn1 filters direction values client-to-server방향 필터를 구성합니다연쇄 공격의 경우 여러 구성원 각각에는 고유한 방향이 있습니다. 정책에 체인 공격이 포함된 경우 클라이언트-서버 필터는 클라이언트-서버 간 멤버가 있는 모든 체인 공격을 선택합니다. 즉, 체인에 클라이언트-서버 간 방향이 있는 멤버가 하나 이상 있는 경우 서버-클라이언트 또는 방향이 ANY인 멤버를 포함하는 체인 공격이 선택됩니다.
다음 명령을 사용하여 특정 공격 객체 그룹(사전 정의, 동적 및 사용자 지정 공격 그룹)에 존재하는 공격 객체와 사전 정의된 공격 객체가 속한 그룹을 볼 수 있습니다.
show security idp attack attack-list attack-group group-nameshow security idp attack group-list attack-name
show security idp attack attack-list attack-group group-name명령을 사용하여 다음을 수행할 수 있습니다.지정된 공격 그룹에 존재하는 모든 공격 목록(예: 사용자 지정, 동적, 사전 정의된 그룹)을 봅니다.
predefined-group<predefined-group-name> 또는 dynamic-group<dynamic-group-name> 또는 custom-group<custom-group-name> 등의 그룹 이름을 지정하여 해당 그룹의 공격 목록을 표시합니다.
show security idp attack group-list명령을 사용하여 사전 정의된 공격이 속한 공격 그룹 목록을 볼 수 있습니다.메모:사전 정의된 공격 그룹이 정의된 필터를 갖지 않은 경우, 이러한 그룹은 공격의 구성원으로 표시되지 않습니다.
show security idp attack attack-list policy policy-name명령을 사용하여 구성된 침입 탐지 및 방지(IDP) 정책에서 사용 가능한 공격을 확인할 수 있습니다. 침입 탐지 및 방지(IDP) 정책이 다양한 공격 그룹에 속하는 특정 공격을 포함하도록 구성된 경우, 침입 탐지 및 방지(IDP) 정책 명령 출력에서 공격의 일부로 중복 공격 이름이 표시됩니다.이전에는 침입 탐지 및 방지(IDP) 서명 업데이트 시 필터에서 9개의 태그만 지원했습니다. 7가지 태그는 범주, 방향, 오탐, 성능, 제품, 권장, 서비스, 심각도 및 공급업체입니다. 침입 탐지 및 방지(IDP) 서명 업데이트는 이제 기존 9개의 태그 외에도 더욱 정교한 동적 그룹을 생성하기 위해 필터에서 4개의 새로운 추가 태그를 지원합니다.
추가 태그는 다음과 같습니다.
CVSS(Common Vulnerability Scoring System)(0에서 10 사이의 숫자로 측정됨. 값은 10진수 값을 포함하는 실수입니다. 따라서 5.5와 같은 숫자 값도 유효한 CVSS 점수입니다.)
공격 연령(연도 및 분노 범위(0년에서 100년 사이). 예: 연도 기간보다 크거나 작음)
파일 형식(예: MPEG, MP4, PPT, *.doc 등)
취약성 유형(예: 버퍼 오버플로, 삽입, 해제 후 사용, XSS(교차 사이트 스크립팅), RCE(원격 코드 실행) 등)
또한 기존 제품 및 공급업체 태그를 구성하기 위한 CLI 인터페이스가 더욱 사용자 친화적으로 개선되어 가능한 완료 작업을 구성할 수 있습니다.
공급업체(예: Microsoft, Apple, Red Hat, Google, Juniper, Cisco, Oracle 등)
제품(예: Office, 데이터베이스, Firefox, Chrome, Flash, DirectX, Java, Kerberos 등)
이러한 체인 공격이 정책에 추가되지 않도록 하려면 다음과 같이 동적 그룹을 구성하십시오.
set security idp dynamic-attack-group dyn1 filters direction expression andset security idp dynamic-attack-group dyn1 filters direction values client-to-serverset security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-clientset security idp dynamic-attack-group dyn1 filters direction values exclude-any
사용자 지정 공격 그룹—고객이 정의한 공격 그룹을 포함하며 CLI를 통해 구성할 수 있습니다. 여기에는 사전 정의된 특정 공격, 사용자 지정 공격, 사전 정의된 공격 그룹 또는 동적 공격 그룹이 포함될 수 있습니다. 공격이 그룹에 지정되기 때문에 본질적으로 정적입니다. 따라서 보안 데이터베이스가 업데이트될 때 공격 그룹은 변경되지 않습니다.
테넌트 및 논리적 시스템 모드의 IPS/Exempt 규칙 아래에 있는 사전 정의된 공격 및 공격 그룹의 IPS 정책을 볼 수 있습니다. , 및 show security idp attack group-list 명령을 show security idp attack attack-group-entriesshow security idp attack attack-list사용하여 논리적 시스템 및 테넌트 모드에서 IPS 정책을 확인합니다.
침입 탐지 및 방지(IDP) 규칙 작업 이해
Actions 모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 침입 탐지 및 방지(IDP)가 수행할 작업을 지정합니다.
표 2 에는 침입 탐지 및 방지(IDP) 규칙에 대해 지정할 수 있는 작업이 나와 있습니다.
학기 |
정의 |
|---|---|
No Action |
아무 작업도 수행되지 않습니다. 일부 트래픽에 대한 로그만 생성하려는 경우 이 작업을 사용합니다. |
Ignore Connection |
공격 일치가 발견되면 나머지 연결에 대한 트래픽 검색을 중지합니다. 침입 탐지 및 방지(IDP)는 특정 연결에 대한 규칙 기반을 비활성화합니다.
메모:
이 작업은 공격을 무시하는 것을 의미하지 않습니다. |
Diffserv Marking |
표시된 DSCP(Differentiated Services Code Point) 값을 공격의 패킷에 할당한 다음 패킷을 정상적으로 전달합니다. DSCP 값은 공격으로 탐지된 첫 번째 패킷에 적용되지 않지만 후속 패킷에 적용됩니다. |
Drop Packet |
일치하는 패킷이 대상에 도달하기 전에 드롭하지만 연결을 닫지는 않습니다. 이 작업을 사용하면 UDP 트래픽과 같이 스푸핑이 발생하기 쉬운 트래픽의 공격에 대한 패킷을 드롭할 수 있습니다. 이러한 트래픽에 대한 연결을 끊으면 서비스 거부가 발생하여 합법적인 소스 IP 주소에서 트래픽을 수신하지 못할 수 있습니다.
메모:
침입 탐지 및 방지(IDP) 정책이 모든 애플리케이션에 대한 사용자 지정 서명에 정의된 비패킷 컨텍스트를 사용하여 구성되고 패킷 삭제 작업이 있는 경우, 침입 탐지 및 방지(IDP)가 공격을 식별하면 디코더가 drop_packet drop_connection로 승격시킵니다. DNS 프로토콜 공격에서는 그렇지 않습니다. DNS 디코더는 공격이 식별될 때 drop_packet drop_connection로 승격시키지 않습니다. 이렇게 하면 DNS 공격 트래픽만 삭제되고 유효한 DNS 요청이 계속 처리됩니다. 이렇게 하면 유효한 TCP DNS 요청에 대한 TCP 재전송도 방지됩니다. |
Drop Connection |
연결과 관련된 모든 패킷을 삭제하여 연결에 대한 트래픽이 대상에 도달하지 않도록 합니다. 스푸핑이 발생하지 않는 트래픽에 대한 연결을 끊으려면 이 작업을 사용합니다. |
Close Client |
연결을 닫고 RST 패킷을 클라이언트로 보내지만 서버에는 보내지 않습니다. |
Close Server |
연결을 닫고 RST 패킷을 클라이언트가 아닌 서버로 보냅니다. |
Close Client and Server |
연결을 닫고 클라이언트와 서버 모두에 RST 패킷을 보냅니다. |
Recommended |
사전 정의된 모든 공격 객체에는 기본 행동이 연관되어 있습니다. 이는 주니퍼 네트웍스가 해당 공격이 탐지될 때 권장하는 조치입니다.
메모:
이 작업은 IPS 규칙 베이스에서만 지원됩니다. 권장 - 주니퍼 네트웍스가 심각한 위협으로 간주하는 모든 공격 객체 목록을 범주별로 정리한 것입니다.
|
침입 탐지 및 방지(IDP) 규칙 IP 작업 이해
IP 작업은 동일한 IP 작업 속성을 사용하는 향후 연결에 적용되는 작업입니다. 예를 들어 호스트 간의 세션에서 공격이 감지되면 두 호스트 간의 향후 모든 HTTP 세션을 차단하도록 규칙에서 IP 작업을 구성할 수 있습니다. 또는 지정된 제한시간 값 내에서 새 세션이 시작되는 경우에만 작업이 적용되도록 정의하는 제한시간 값을 지정할 수 있습니다. IP 작업의 기본 시간 제한 값은 0이며, 이는 IP 작업이 시간 초과되지 않음을 의미합니다.
IP 작업은 다른 작업과 유사합니다. 연결을 끊거나 닫도록 IDP에 지시합니다. 그러나 이제 공격자의 IP 주소도 있으므로 지정된 시간 동안 공격자를 차단하도록 선택할 수 있습니다. 공격자가 네트워크에 즉시 다시 연결할 수 없는 경우 더 쉬운 대상을 공격하려고 할 수 있습니다. IP 작업을 작업 및 로깅과 함께 사용하여 네트워크를 보호합니다.
IP 작업 속성은 다음 필드의 조합입니다.
소스 IP 주소
대상 IP 주소
목적지 포트
From-zone
프로토콜
표 3 에는 침입 탐지 및 방지(IDP) 규칙에서 지원하는 IP 작업 유형이 요약되어 있습니다.
학기 |
정의 |
|---|---|
Notify |
향후 트래픽에 대해 어떠한 조치도 취하지 않고 이벤트를 기록합니다. 이는 기본 설정입니다. |
Drop/Block Session |
IP 작업 규칙과 일치하는 모든 세션의 모든 패킷은 자동으로 삭제됩니다. |
Close Session |
이 IP 동작 규칙과 일치하는 모든 새 세션은 클라이언트 및 서버에 RST 패킷을 전송하여 닫힙니다. |
트래픽이 여러 규칙과 일치하는 경우, 일치하는 모든 규칙 중 가장 심각한 IP 작업이 적용됩니다. 가장 심각한 IP 작업은 세션 닫기 작업이고, 그 다음 심각도는 세션 삭제/차단 작업, 알림 작업입니다.
중앙 지점으로 개선된 후 시스템에는 다음과 같은 제한 사항이 있습니다.
각 SPU의 최대 활성 모드
ip-action수는 600,000개 항목으로 제한됩니다. 이 제한에 도달하면 SPU에서 새 활성 모드ip-action항목을 생성할 수 없습니다.각 SPU에 대한 최대 모든 모드(액티브 모드 및 패시브 모드)
ip-action수는 1200000 엔트리로 제한됩니다. 이 제한에 도달하면 SPU에서 새 활성 모드ip-action항목을 생성할 수 없습니다.명령을
ip-action실행clear ip-action하면 링 메시지를 통해 항목이 삭제됩니다. CPU 사용량이 많으면 삭제된 벨소리 메시지가 삭제되고 활성 모드에서ip-action다시 전송됩니다. 삭제 프로세스에 시간이 걸리므로 명령을 실행할show ip-action때 몇 가지ip-action항목을 볼 수 있습니다.
중앙 지점 개선이 수행되지 않은 디바이스에서는 활성 모드 ip-action 만 존재하며 최대 ip-action 수는 600000으로 제한됩니다. 이 제한에 도달하면 새 활성 모드 ip-action 항목을 생성할 수 없습니다.
침입 탐지 및 방지(IDP) 규칙 알림 이해하기
Notification은 작업이 수행될 때 정보를 기록하는 방법을 정의합니다. 공격이 탐지되면 공격을 기록하고 공격 정보가 포함된 로그 레코드를 생성하여 해당 정보를 로그 서버로 전송하도록 선택할 수 있습니다.
알림을 사용하여 각 규칙에 대해 생성된 로그에 대해 특정 작업을 수행하도록 로그 서버에 지시하는 다음 옵션을 구성할 수도 있습니다.
Set Alerts- 침입 탐지 및 방지(IDP) 정책의 규칙에 대한 경고 옵션을 지정합니다. 규칙이 일치하면 해당 로그 레코드는 로그 뷰어의 경고 열에 경고를 표시합니다. 보안 관리자는 경고를 사용하여 중요한 보안 이벤트를 인식하고 대응할 수 있습니다.Set Severity Level- 로그 서버에서 로그 레코드를 더 잘 구성하고 표시할 수 있도록 로깅의 심각도 수준을 설정합니다. 선택한 공격 객체의 기본 심각도 설정을 사용하거나 규칙에 대한 특정 심각도를 선택할 수 있습니다. 규칙에서 구성하는 심각도는 상속된 공격 심각도를 재정의합니다. 심각도 수준을 다음 수준으로 설정할 수 있습니다.정보—2
경고—3
마이너—4
주요—5
위험—7
예: IDP 규칙 베이스에 규칙 삽입
이 예는 침입 탐지 및 방지(IDP) 규칙 베이스에 규칙을 삽입하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
규칙 베이스에서 규칙을 정의합니다. 예: 침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙 정의를 참조하십시오.
개요
침입 탐지 및 방지(IDP) 규칙 일치 알고리즘은 규칙 베이스의 상단에서 시작하여 지정된 일치 조건과 일치하는 규칙 베이스의 모든 규칙에 대해 트래픽을 확인합니다. 규칙을 원하는 순서로 배치하여 네트워크 트래픽에 적용되는 순서를 결정합니다. 규칙베이스에 규칙을 추가하면 기존 규칙 목록의 끝에 배치됩니다. 규칙 베이스의 끝이 아닌 다른 위치에 규칙을 배치하려면 규칙 베이스의 원하는 위치에 규칙을 배치해야 insert 합니다. 이 예에서는 base-policy라는 정책에서 침입 탐지 및 방지(IDP) IPS 규칙 베이스에서 규칙 R1 앞에 규칙 R2를 배치합니다.
구성
절차
단계별 절차
규칙 베이스에 규칙을 삽입하려면:
규칙을 평가할 순서에 따라 규칙 베이스에서 규칙의 위치를 정의합니다.
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security idp status .
예: IDP 규칙 베이스에서 규칙 비활성화 및 활성화
이 예에서는 규칙 베이스에서 규칙을 비활성화 및 활성화하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
규칙 베이스에서 규칙을 정의합니다. 예: 침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙 정의를 참조하십시오.
개요
규칙 베이스에서 및 activate 명령을 사용하여 deactivate 규칙을 비활성화하거나 활성화할 수 있습니다. deactivate 명령은 구성에서 지정된 명령문을 주석 처리합니다. 비활성화된 규칙은 명령을 실행할 commit 때 적용되지 않습니다. activate 명령은 지정된 명령문을 구성에 다시 추가합니다. 활성화된 규칙은 다음에 명령을 실행할 commit 때 적용됩니다. 이 예에서는 base-policy라는 정책과 연결된 침입 탐지 및 방지(IDP) IPS 규칙 베이스에서 규칙 R2를 비활성화 및 재활성화하는 방법을 보여 줍니다.
구성
절차
단계별 절차
규칙 베이스에서 규칙을 비활성화하고 활성화하려면:
비활성화할 규칙을 지정합니다.
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
규칙을 활성화합니다.
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security idp status .
침입 탐지 및 방지(IDP) 애플리케이션 수준 디도스(DDoS) 규칙 기반 이해
애플리케이션 수준 디도스(DDoS) 규칙 베이스는 DNS 또는 HTTP와 같은 서버를 애플리케이션 수준의 분산 서비스 거부(DDoS) 공격으로부터 보호하는 데 사용되는 매개 변수를 정의합니다. 일반적인 서버 활동 요청을 기반으로 사용자 지정 애플리케이션 메트릭을 설정하여 클라이언트가 공격 클라이언트로 간주되어야 하는 경우를 결정할 수 있습니다. 그런 다음 애플리케이션 수준 디도스(DDoS) 규칙 베이스를 사용하여 모니터링해야 하는 트래픽에 대한 소스 일치 조건을 정의한 다음 정의된 작업(서버 닫기, 연결 삭제, 패킷 삭제, 작업 없음)을 수행합니다. 또한 ip-block, ip-close, ip-notify, ip-connection-rate-limit 또는 timeout과 같은 IP 작업을 수행할 수 있습니다. 표 4 에는 애플리케이션 수준 DDoS 규칙 기반 규칙에서 구성할 수 있는 옵션이 요약되어 있습니다.
학기 |
정의 |
|---|---|
Match condition |
디바이스에서 공격을 모니터링할 네트워크 트래픽을 지정합니다. |
Action |
모니터링되는 트래픽이 application-level DDoS 규칙에 지정된 application-ddos 개체와 일치할 때 침입 탐지 및 방지(IDP)가 수행할 작업을 지정합니다. |
IP Action |
소스 주소를 암시적으로 차단하여 합법적인 트래픽을 허용하면서 향후 침입으로부터 네트워크를 보호할 수 있습니다. 애플리케이션 수준 디도스(DDoS)에서 구성할 수 있는 IP 작업 옵션은 ip-block, ip-close, ip-notify, ip-connection-rate-limit입니다. |
침입 탐지 및 방지(IDP) IPS 규칙 베이스 이해하기
IPS(침입 방지 시스템) 규칙은 공격 객체를 사용하여 알려진 공격과 알려지지 않은 공격을 탐지함으로써 네트워크를 공격으로부터 보호합니다. 스테이트풀 시그니처 및 프로토콜 이상을 기반으로 공격을 탐지합니다. 표 5 에는 IPS 규칙 기반 규칙에서 구성할 수 있는 옵션이 요약되어 있습니다.
학기 |
정의 |
|---|---|
Match condition |
디바이스가 공격을 모니터링할 네트워크 트래픽 유형을 지정합니다. 일치 조건에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오. |
Attack objects/groups |
모니터링되는 네트워크 트래픽에서 디바이스가 일치시킬 공격을 지정합니다. 각 공격은 알려진 공격 패턴을 나타내는 공격 객체로 정의됩니다. 공격 객체에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오. |
Terminal flag |
터미널 규칙을 지정합니다. 터미널 규칙이 일치하면 디바이스가 세션에 대한 규칙 일치를 중단합니다. 터미널 규칙에 대한 자세한 내용은 IDP 터미널 규칙 이해를 참조하십시오 . |
Action |
모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 시스템이 수행할 작업을 지정합니다. 공격이 여러 규칙 작업을 트리거하면 해당 규칙 중 가장 심각한 작업이 실행됩니다. 작업에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오. |
IP Action |
적법한 트래픽을 허용하면서 향후 침입으로부터 네트워크를 보호할 수 있습니다. IPS 규칙 베이스에서 다음 IP 작업 옵션(알림, 삭제 또는 닫기) 중 하나를 구성할 수 있습니다. IP 작업에 대한 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오. |
Notification |
작업이 수행될 때 정보가 기록되는 방법을 정의합니다. 공격을 기록하고, 공격 정보가 포함된 로그 레코드를 생성하고, 로그 서버에 정보를 전송하도록 선택할 수 있습니다. 자세한 내용은 침입 탐지 및 방지(IDP) 정책 규칙 이해를 참조하십시오. |
예: 침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙 정의
이 예에서는 침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙을 정의하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
보안 영역을 생성합니다. 예: 보안 영역 생성을 참조하십시오.
사전 정의된 공격과 함께 침입 탐지 및 방지(IDP) 사용자 지정 정책을 사용하려면 디바이스에 서명 데이터베이스를 다운로드해야 합니다.
자세한 내용은 예: IDP 서명 데이터베이스 수동 업데이트를 참조하십시오.
개요
각 규칙은 일치 조건, 객체, 작업 및 알림으로 구성됩니다. 침입 탐지 및 방지(IDP) 규칙을 정의할 때 원본 영역, 대상 영역, 원본 IP 주소, 대상 IP 주소 및 대상 IP 주소가 지원하는 애플리케이션 레이어 프로토콜과 같은 특성을 사용하여 침입 탐지 및 방지(IDP)가 공격을 모니터링할 네트워크 트래픽 유형을 지정해야 합니다. 규칙은 규칙 베이스에 정의되며, 규칙 베이스는 정책과 연결됩니다.
이 예제에서는 base-policy라는 정책을 만들고, 이 정책에 대한 규칙 기반을 지정한 다음, 이 규칙 베이스에 규칙 R1을 추가하는 방법을 설명합니다. 이 예에서 규칙 R1은 다음과 같습니다.
라고 trust 불리는 이전에 구성된 영역에서 라는 untrust이전에 구성된 다른 영역으로의 트래픽을 포함하는 일치 조건을 지정합니다. 일치 조건에는 사전 정의된 공격 그룹인 Critical-TELNET도 포함됩니다. 일치 조건의 애플리케이션 설정은 와(과) 이며 default 공격 객체에서 구성된 모든 애플리케이션과 일치합니다.
규칙 R1의 기준과 일치하는 모든 트래픽에 대한 연결을 삭제하는 작업을 지정합니다.
공격 로깅을 활성화하고 공격 로그에 경고 플래그가 추가되도록 지정합니다.
심각도 수준을 (으)로 critical지정합니다.
규칙을 정의한 후 base-policy를 디바이스의 활성 정책으로 지정합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙을 정의하려면 다음을 수행합니다.
의미 있는 이름을 할당하여 정책을 만듭니다.
[edit] user@host# edit security idp idp-policy base-policy
규칙 베이스를 정책과 연결합니다.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
규칙 베이스에 규칙을 추가합니다.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
규칙에 대한 일치 기준을 정의합니다.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
공격을 일치 기준으로 정의합니다.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
규칙에 대한 작업을 지정합니다.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
규칙에 대한 알림 및 로깅 옵션을 지정합니다.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
규칙의 심각도 수준을 설정합니다.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
정책을 활성화합니다.
[edit] user@host# set security idp active-policy base-policy
결과
구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups Critical-TELNET;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy base-policy;
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
침입 탐지 및 방지(IDP) 면제 규칙 베이스 이해하기
면제 규칙 베이스는 IPS(침입 방지 시스템) 규칙 베이스와 함께 작동하여 불필요한 알람이 생성되는 것을 방지합니다. 이 규칙 베이스에 알려진 오탐을 제외하거나 특정 소스, 대상 또는 소스/대상 쌍을 IPS 규칙과 일치하지 않도록 제외하도록 규칙을 구성합니다. 트래픽이 IPS 규칙 베이스의 규칙과 일치하는 경우, 시스템은 지정된 작업을 수행하기 전에 트래픽을 제외 규칙 베이스와 일치시키려고 시도합니다. 예외 규칙 베이스에 세심하게 작성된 규칙은 IPS 규칙 베이스에서 생성되는 오탐 수를 크게 줄일 수 있습니다.
다음 조건에서 면제 규칙 베이스를 구성합니다.
침입 탐지 및 방지(IDP) 규칙이 하나 이상의 공격 객체를 포함하는 공격 객체 그룹을 사용하여 오탐 또는 관련 없는 로그 레코드를 생성하는 경우.
특정 소스, 대상 또는 소스/대상 쌍을 IDP 규칙과 일치하지 않도록 제외하려는 경우. 이를 통해 IDP가 불필요한 경보를 생성하는 것을 방지합니다.
면제 규칙 베이스를 구성하기 전에 IPS 규칙 베이스를 구성해야 합니다.
표 6 exempt-rulebase 규칙에서 구성할 수 있는 옵션이 요약되어 있습니다.
학기 |
정의 |
|---|---|
Match condition |
IPS 규칙 베이스와 동일한 방식으로 디바이스에서 공격을 모니터링할 네트워크 트래픽 유형을 지정합니다. 그러나 면제 규칙 베이스에서는 응용 프로그램을 구성할 수 없습니다. 항상 로 설정되어 있습니다 |
Attack objects/groups |
모니터링되는 네트워크 트래픽에서 디바이스가 일치시킬 공격 객체를 not 지정합니다. |
면제 규칙 일치를 위한 지원 로깅
IDP의 예외 규칙은 잠재적인 위협인 인시던트를 대상으로 하는 데 초점을 맞추기 위해 특정 유형의 공격 또는 특정 유형의 트래픽이 기록되지 않도록 제외하는 데 사용됩니다. 그러나 예외 규칙의 존재로 인해 일부 유용한 정보가 손실될 수 있습니다.
주니퍼는 침입 탐지 및 방지(IDP) 시스템에 예외 규칙 로깅을 도입했으며, 이는 트래픽 패턴을 모니터링 및 분석하고, 잠재적 보안 위협을 탐지하고, 네트워크 문제를 해결하는 데 사용할 수 있습니다. 관리자는 로그를 검사하고 침입 탐지 및 방지(IDP) 규칙에서 제외되는 트래픽 유형에 대한 통찰력을 얻고 네트워크 정책에 대해 정보에 입각한 결정을 내릴 수 있습니다.
제외 규칙에 대한 로깅 기능은 규칙 수준에서 사용하도록 설정됩니다. 이를 통해 보안 이벤트를 세부적으로 모니터링하고 분석하여 시스템의 가시성을 높일 수 있습니다.
다음은 침입 탐지 및 방지(IDP) 정책 내에서 면제 규칙에 대한 로깅 지원의 예입니다.
user@host# set security idp idp-policy Sample-IPS-Policy rulebase-exempt rule Exempt-rule then notification log-attacks alert
어디
| 항목 | 이름 |
|---|---|
| 정책 이름 | 샘플 IPS 정책 |
| 규칙 이름 | 면제 규칙 |
다음은 샘플 로그 이벤트입니다.
IDP_RULEBASE_EXEMPT_LOG_EVENT
RT_IDP: IDP_RULEBASE_EXEMPT_LOG_EVENT: IDP: at 1687773425, ANOMALY Attack log <IP/50852->IP/80> for TCP protocol and service HTTP application GOOGLE-GEN by rule 4 of rulebase-exempt IPS in policy Space-IPS-Policy. attack: id=1555, repeat=0, action=NONE, threat-severity=HIGH, name=HTTP:INVALID:MSNG-HTTP-VER, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:untrust:xe-0/0/0.0->trust:xe-0/0/1.0, alert=yes, username=N/A, roles=N/A, xff-header=N/A, cve-id=2022-21907, session-id=42
예: 침입 탐지 및 방지(IDP) 면제 규칙 베이스에 대한 규칙 정의
이 예에서는 예외 IDP 규칙 베이스에 대한 규칙을 정의하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 침입 탐지 및 방지(IDP) IPS 규칙 베이스에서 규칙을 생성하십시오. 예: 침입 탐지 및 방지(IDP) IPS 규칙 베이스에 대한 규칙 정의를 참조하십시오.
개요
예외 규칙을 만들 때 다음을 지정해야 합니다.
제외할 트래픽의 소스 및 대상. 소스 또는 대상을 로
Any설정하여 모든 소스에서 시작되거나 모든 대상으로 전송되는 네트워크 트래픽을 제외할 수 있습니다. 또는source-exceptdestination-except을 설정하여 지정된 원본 또는 대상 주소를 제외한 모든 원본 또는 대상을 지정할 수도 있습니다.메모:이제 이(가) 인 경우
from-zone및source-except주소를 지정할source-address수 있습니다any. 마찬가지로, 이(가)any인 경우to-zone및destination-except주소를 지정할destination-address수 있습니다.지정된 소스/대상 주소에 대해 IDP가 제외할 공격. 예외 규칙에는 하나 이상의 공격 객체를 포함해야 합니다.
이 예는 침입 탐지 및 방지(IDP) 정책이 내부 네트워크에서 공격 FTP:USER:ROOT에 대해 오탐을 생성함을 보여줍니다. 소스 IP가 내부 네트워크에서 온 경우 이 공격에 대한 공격 탐지를 면제하도록 규칙을 구성합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
면제된 침입 탐지 및 방지(IDP) 규칙 베이스에 대한 규칙을 정의하려면,
규칙 기반을 정의하고 제외할 침입 탐지 및 방지(IDP) IPS 규칙 기반을 지정합니다.
[edit] user@host# edit security idp idp-policy base-policy
면제 규칙 베이스를 정책 및 영역과 연결하고 규칙 베이스에 규칙을 추가합니다.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
규칙 베이스의 소스 및 대상 주소를 지정합니다.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
공격 탐지에서 제외할 공격을 지정합니다.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
정책을 활성화합니다.
[edit] user@host# set security idp active-policy base-policy
결과
구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-exempt {
rule R1 {
match {
from-zone trust;
source-address internal-devices;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
}
}
active-policy base-policy;
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
침입 탐지 및 방지(IDP) 터미널 규칙 이해하기
침입 탐지 및 방지(IDP) 규칙 일치 알고리즘은 규칙 베이스의 상단에서 시작하여 소스, 대상 및 서비스와 일치하는 규칙 베이스의 모든 규칙에 대해 트래픽을 확인합니다. 그러나 규칙을 터미널로 구성할 수 있습니다. 터미널 규칙은 이 알고리즘의 예외입니다. 소스, 대상, 영역 및 애플리케이션에 대한 터미널 규칙에서 일치가 발견되면 IDP는 동일한 소스, 대상 및 애플리케이션에 대한 후속 규칙을 계속 확인하지 않습니다. 트래픽이 일치 규칙의 공격 객체와 일치하는지 여부는 중요하지 않습니다.
다음과 같은 목적으로 터미널 규칙을 사용할 수 있습니다.
동일한 소스 및 대상에 대한 다른 공격에 대해 다른 작업을 설정합니다.
알려진 신뢰할 수 있는 소스에서 발생하는 트래픽을 무시합니다. 일반적으로 이 유형의 터미널 규칙에 대한 작업입니다
None.특정 공격 집합에만 취약한 서버로 전송되는 트래픽을 무시합니다. 일반적으로 이 유형의 터미널 규칙에 대한 작업입니다
Drop Connection.
터미널 규칙을 정의할 때는 주의해야 합니다. 부적절한 터미널 규칙으로 인해 네트워크가 공격에 노출될 수 있습니다. 트래픽이 터미널 규칙의 공격 객체와 일치하지 않더라도 터미널 규칙의 소스, 대상 및 애플리케이션과 일치하는 트래픽은 후속 규칙과 비교되지 않습니다. 하나의 특정 공격 개체 집합에 대해 특정 유형의 트래픽을 검사하려는 경우에만 터미널 규칙을 사용합니다. 원본과 대상 모두에 대해 사용하는 any 터미널 규칙에 특히 주의해야 합니다. 터미널 규칙은 동일한 트래픽과 일치하는 다른 규칙보다 먼저 규칙 베이스의 맨 위에 표시되어야 합니다.
예: 규칙 베이스에서 터미널 규칙 설정
이 예에서는 터미널 규칙을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
보안 정책에서 침입 탐지 및 방지(IDP) 애플리케이션 서비스를 활성화합니다.
보안 영역을 생성합니다. 예: 보안 영역 생성을 참조하십시오.
규칙을 정의합니다. 예: 침입 탐지 및 방지(IDP) 규칙 베이스에 규칙 삽입을 참조하십시오.
개요
기본적으로 IDP 규칙 베이스의 규칙은 터미널이 아닙니다. 즉, IDP는 규칙 베이스의 모든 규칙을 검사하고 모든 일치 항목을 실행합니다. 규칙을 터미널로 지정할 수 있습니다. 즉, 침입 탐지 및 방지(IDP)가 터미널 규칙에 지정된 소스, 대상 및 서비스에 대한 일치 항목을 발견하면 해당 연결에 대한 후속 규칙을 검사하지 않습니다.
이 예에서는 터미널 규칙을 구성하는 방법을 보여 줍니다. 트래픽의 소스 IP가 회사의 알려진 신뢰할 수 있는 네트워크에서 유래한 경우 일치 알고리즘을 종료하도록 규칙 R2를 정의합니다. 이 규칙이 일치하면 IDP는 신뢰할 수 있는 네트워크의 트래픽을 무시하고 세션에서 악성 데이터를 모니터링하지 않습니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의구성 모드에서 CLI 편집기 사용을 참조하십시오.
터미널 규칙 구성하기:
침입 탐지 및 방지(IDP) 정책을 생성합니다.
[edit] user@host# set security idp idp-policy base-policy
규칙을 정의하고 일치 기준을 설정합니다.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
규칙에 대한 터미널 플래그를 설정합니다.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
공격 탐지에서 제외할 공격을 지정합니다.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
규칙에 대한 작업을 지정합니다.
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
결과
구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R2 {
match {
source-address internal;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
recommended;
}
}
terminal;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
침입 탐지 및 방지(IDP) 정책의 DSCP 규칙 이해
DSCP(Differentiated Services Code Point)는 IP 패킷 헤더에 정의된 6비트 필드에 인코딩된 정수 값입니다. CoS(class-of-service) 구분을 적용하는 데 사용됩니다. CoS를 사용하면 기본 패킷 전달 동작을 무시하고 특정 트래픽 흐름에 서비스 수준을 할당할 수 있습니다.
침입 탐지 및 방지(IDP) 정책 규칙에서 작업으로 DSCP 값을 구성할 수 있습니다. 먼저 침입 탐지 및 방지(IDP) 정책에서 일치 조건을 정의하여 트래픽을 정의한 다음 DiffServ 마킹 작업을 연결합니다. DSCP 값에 기반하여 행동 집계 분류자는 트래픽에 대한 포워딩 클래스와 손실 우선순위를 설정하여 트래픽이 수신할 포워딩 처리를 결정합니다.
침입 탐지 및 방지(IDP) 정책 규칙과 일치하는 모든 패킷의 IP 헤더에는 일치 정책에 지정된 DSCP 값으로 재작성된 CoS(class of service) 필드가 있습니다. 트래픽이 DSCP 값이 다른 여러 규칙과 일치하는 경우, 일치하는 첫 번째 침입 탐지 및 방지(IDP) 규칙이 적용되고 이 침입 탐지 및 방지(IDP) 규칙이 해당 세션의 모든 트래픽에 적용됩니다.
예: 침입 탐지 및 방지(IDP) 정책에서 DSCP 규칙 구성
이 예에서는 침입 탐지 및 방지(IDP) 정책에서 DSCP 값을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다
보안 정책에서 침입 탐지 및 방지(IDP) 애플리케이션 서비스 활성화
보안 영역 만들기
규칙 정의
개요
침입 탐지 및 방지(IDP) 정책에서 DSCP 값을 구성하면 네트워크의 여러 트래픽 유형에 대해 CoS 값을 연결하는 방법이 제공되므로 서로 다른 수준의 안정성을 얻을 수 있습니다.
이 예는 policy1이라는 정책을 만들고, 이 정책에 대한 규칙 베이스를 지정한 다음, 이 규칙 베이스에 규칙 R1을 추가하는 방법을 보여줍니다. 이 예에서 규칙 R1은 다음과 같습니다.
trust라고 하는 이전에 구성된 영역에서 untrust라고 하는 이전에 구성된 다른 영역으로의 모든 트래픽을 포함하는 일치 조건을 지정합니다. 일치 조건에는 HTTP - Critical이라는 사전 정의된 공격 그룹도 포함됩니다. 일치 조건의 애플리케이션 설정은 기본값으로 지정되며 공격 객체에서 구성된 모든 애플리케이션과 일치합니다.
규칙 R1의 기준과 일치하는 모든 트래픽에 대해 DSCP 값 50을 사용하여 IP 헤더의 CoS 필드를 다시 작성하는 작업을 지정합니다.
메모:명령을
show security idp attack attack-list recursive predefined-group "HTTP - Critical"사용하여 미리 정의된 그룹 "HTTP - Critical"에 포함된 항목에 대한 세부 정보를 확인합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
침입 탐지 및 방지(IDP) 정책에서 DSCP 값을 구성하려면 다음을 수행합니다.
의미 있는 이름을 할당하여 정책을 만듭니다.
[edit] user@host# edit security idp idp-policy base-policy
규칙 베이스를 정책과 연결합니다.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
규칙 베이스에 규칙을 추가합니다.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
규칙에 대한 일치 기준을 정의합니다.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
규칙에 대한 작업을 지정합니다.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
필요한 경우 규칙에 대한 알림 또는 로깅 옵션을 계속 지정합니다.
정책을 활성화합니다.
[edit] user@host# set security idp active-policy base-policy
결과
구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security idp
idp-policy base-policy{
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups HTTP-Critical;
}
}
then {
action {
mark-diffserv {
50;
}
}
}
}
}
active-policy base-policy;
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.