이 페이지의 내용
IDP 센서 구성
IDP 센서 구성을 통해 관리자는 보안 디바이스에서 IDP 성능을 최적화하기 위한 설정을 구성할 수 있습니다. 메모리 및 세션 사용량을 제한하고, 리소스 초과 시 트래픽 드롭을 제어하고, 높은 CPU 사용률을 관리하기 위해 IDP 지능형 바이패스를 구성하는 방법을 설명합니다. 또한 페일오버 중 처리 조건도 다룹니다.
IDP 서명 데이터베이스를 사용하여 애플리케이션 서명을 만들 수 없습니다. 그러나 AppID(애플리케이션 식별)에 대한 세션 및 메모리 사용을 제한하도록 센서 설정을 구성할 수 있습니다.
IDP 센서 구성 개요
센서 구성 옵션은 다음과 같은 용도로 사용됩니다.
IDP 세션 용량 및 메모리 제한에 근접할 때 실행 조건을 기록합니다.
제한을 초과할 때 IDP와 애플리케이션 식별에 의해 손실된 트래픽을 분석합니다.
하나의 TCP 또는 UDP 세션에 대한 애플리케이션 식별을 위한 패킷을 저장하는 데 사용할 수 있는 최대 메모리 바이트를 구성할 수 있습니다. 애플리케이션 식별을 위해 전역 메모리 사용량에 대한 제한을 구성할 수도 있습니다. AppID는 시스템이 세션에 대해 지정된 메모리 제한에 도달한 후 세션에 대해 비활성화됩니다. 그러나 IDP는 패턴을 계속 일치시킵니다. 일치하는 애플리케이션은 다음 세션에서 사용할 수 있도록 캐시에 저장됩니다. 이는 의도적으로 대용량 클라이언트-서버 패킷을 전송하여 AppID를 우회하려는 공격자로부터 시스템을 보호합니다.
IDP 서명 데이터베이스로 애플리케이션 서명을 생성할 수는 없지만 다음 센서 설정을 구성하여 애플리케이션 식별을 실행하는 세션 수를 제한하고 애플리케이션 식별을 위한 메모리 사용량을 제한할 수 있습니다.
max-tcp-session-packet-memory- IDP AppID 서비스에 대한 메모리 및 세션 제한을 구성하려면 명령을 실행합니다 set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 .
memory-limit-percent- IDP 할당에 사용할 수 있는 시스템에서 사용 가능한 데이터 평면의 메모리 제한 백분율을 설정하려면 명령을 실행합니다 set security idp sensor-configuration global memory-limit-percent . 지원되는 백분율 값은 10에서 90까지입니다.
drop-if-no-policy-loaded- IDP 정책이 아직 로드되지 않은 경우 시작 시 IDP는 기본적으로 트래픽을 무시합니다.
drop-if-no-policy-loaded이 옵션은 IDP 정책이 로드되기 전에 모든 세션이 삭제되도록 이 동작을 변경합니다.명령 출력에 대한
show security idp counters flow다음 카운터는 옵션으로 인해 손실된 트래픽을 분석합니다.drop-if-no-policy-loadedSessions dropped due to no policy 0
drop-on-failover- 기본적으로 IDP는 섀시 클러스터 구축에서 장애 조치 세션을 무시합니다. 이
drop-on-failover옵션은 이 동작을 변경하고 보조 노드에 대한 장애 조치가 발생할 때 기본 노드에서 검사 중인 세션을 자동으로 삭제합니다.명령 출력에 대한
show security idp counters flow다음 카운터는 옵션으로 인해 손실된 장애 조치 트래픽을 분석합니다.drop-on-failoverFail-over sessions dropped 0
drop-on-limit—기본적으로 IDP 세션 제한 또는 리소스 제한을 초과해도 세션이 삭제되지 않습니다. 이 경우 디바이스의 세션 용량 또는 리소스가 고갈된 경우에만 IDP 및 기타 세션이 삭제됩니다. 이
drop-on-limit옵션은 이 동작을 변경하고 리소스 제한을 초과할 때 세션을 삭제합니다.명령 출력에 대한
show security idp counters flow다음 카운터는 옵션으로 인해 손실된 IDP 트래픽을 분석합니다.drop-on-limitSM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 SM Sessions dropped 0 Both directions flows ignored 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0
명령 출력에 대한
show security idp counters application-identification다음 카운터는 옵션으로 인해 손실된 AppID 트래픽을 분석합니다.drop-on-limitAI-session dropped due to malloc failure before session create 0 AI-Sessions dropped due to malloc failure after create 0 AI-Packets received on sessions marked for drop due to malloc failure 0
다음 옵션은 현재 실행 조건에 대한 정보 로그 메시지를 트리거하는 데 사용됩니다. 설정하면 옵션이 설정되었는지 여부에 관계없이
drop-on-limit로그 메시지가 트리거됩니다.max-sessions-offset-
max-sessions-offset이 옵션은 최대 IDP 세션 제한에 대한 오프셋을 설정합니다. IDP 세션 수가 최대 세션 제한을 초과하면 IDP 세션이 삭제될 수 있는 조건이 존재한다는 경고가 기록됩니다. IDP 세션 수가 최대 IDP 세션 제한에서 오프셋 값을 뺀 값 아래로 떨어지면 상태가 정상으로 돌아왔다는 메시지가 기록됩니다.Jul 19 04:38:13 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374233893, FPC 4 PIC 1 IDP total sessions pass through high mark 100000. IDP may drop new sessions. Total sessions dropped 0. Jul 19 04:38:21 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374233901, FPC 4 PIC 1 IDP total sessions drop below low mark 99000. IDP working in normal mode. Total sessions dropped 24373.
min-objcache-limit-lt-
min-objcache-limit-lt이 옵션은 사용 가능한 캐시 메모리에 대해 더 낮은 임계값을 설정합니다. 임계값은 사용 가능한 IDP 캐시 메모리의 백분율로 표시됩니다. 사용 가능한 캐시 메모리가 하한 임계값 수준 아래로 떨어지면 메모리 할당 실패로 인해 IDP 세션이 삭제될 수 있는 조건이 존재한다는 메시지가 기록됩니다. 예를 들어, 다음 메시지는 IDP 캐시 메모리가 하한 임계값 아래로 떨어졌으며 여러 세션이 손실되었음을 보여줍니다.Jul 19 04:07:33 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374232053, FPC 4 PIC 1 IDP total available objcache(used 4253368304, limit 7247757312) drops below low mark 3986266515. IDP may drop new sessions. Total sessions dropped 1002593.
min-objcache-limit-ut-
min-objcache-limit-ut이 옵션은 사용 가능한 캐시 메모리의 상한 임계값을 설정합니다. 임계값은 사용 가능한 IDP 캐시 메모리의 백분율로 표시됩니다. 사용 가능한 IDP 캐시 메모리가 상한 임계값 수준으로 돌아오면 사용 가능한 캐시 메모리가 정상으로 돌아왔다는 메시지가 기록됩니다. 예를 들어, 다음 메시지는 사용 가능한 IDP 캐시 메모리가 상한 임계값 이상으로 증가했으며 정상적으로 작동하고 있음을 보여줍니다.Jul 19 04:13:47 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374232428, FPC 4 PIC 1 IDP total available objcache(used 2782950560, limit 7247757312) increases above high mark 4348654380. IDP working in normal mode. Total sessions dropped 13424632.
이 메시지는 사용 가능한 메모리가 하한 임계값 아래로 떨어진 다음 상한 임계값 이상으로 올라갈 때만 트리거됩니다. 하한 임계값을 초과하는 메모리 변동은 메시지를 트리거하지 않습니다.
IDP 지능형 바이패스 기본 구성에서 IDP는 CPU 사용률에 관계없이 신규 및 기존 세션 검사를 시도합니다. 이로 인해 CPU 사용률이 높은 이벤트 중에 패킷 손실, 지연 시간 및 시스템 전체의 불안정성이 발생할 수 있습니다. 예측할 수 없는 IDP 패킷 처리 동작을 극복하기 위해 IDP 지능형 바이패스 기능을 활성화할 수 있습니다. 이 기능은 시스템 CPU 사용률이 높은 수준에 도달할 때 IDP를 우회하거나 패킷을 삭제할 수 있는 유연성을 제공합니다. 이는 "Failing Open"(패킷 허용) 또는 "Failing Closed"(패킷 드롭)라고도 합니다. 기본적으로 IDP 지능형 바이패스 기능은 활성화되지 않습니다. 다음 옵션은 IDP 지능형 바이패스 기능을 구성하는 데 사용됩니다.
idp-bypass-cpu-usage-overload- 기본적으로 IDP는 사용 가능한 CPU의 100%를 사용할 수 있으며 실수로 모든 세션에 대한 패킷을 삭제하기 시작할 수 있습니다. 시스템 CPU 사용률이 높은 임계값에 도달할 때 IDP 패킷 처리 동작을 처리하기 위해 IDP 지능형 바이패스 기능을 활성화할 수 있습니다. IDP 지능형 바이패스 기능을 활성화하려면 명령을 실행합니다.
set security idp sensor-configuration flow idp-bypass-cpu-overload기본적으로 IDP 지능형 바이패스 기능은 활성화되지 않습니다.idp-bypass-cpu-threshold- CPU 사용률이 정의된 임계값에 도달하면 IDP는 새 세션 검사를 중단합니다. 기본 임계값 CPU 사용률 값은 85%입니다. CPU 사용률이 임계값에 도달하면 IDP는 CPU 사용률이 하한 임계값 아래로 떨어질 때까지 새 세션을 계속 우회합니다. 또는 를 설정하는
drop-on-limit경우 CPU 사용률이 하한 임계값 아래로 떨어질 때까지 IDP가 새 세션을 삭제합니다. 임계값을 구성하려면 명령을 실행set security idp sensor-configuration flow idp-bypass-cpu-threshold합니다. 0에서 99까지의 범위에서 임계값을 설정할 수 있습니다. 이 임계값은 백분율로 표시됩니다.idp-bypass-cpu-tolerance- 공차 값을 구성하려면 명령을 실행합니다.
set security idp sensor-configuration flow idp-bypass-cpu-tolerance1에서 99까지의 범위에서 공차 값을 설정할 수 있습니다. 기본 공차 값은 5입니다. 이 공차 값은 백분율로 표시됩니다.
다음 방정식을 사용하여 CPU 상한 및 하한 임계값을 계산할 수 있습니다.
CPU 상한 임계값 = CPU 임계값 + CPU 허용 오차 값.
CPU 하한 임계값 = CPU 임계값 - CPU 허용 오차 값.
시스템 CPU 사용률이 임계값을 초과하면 IDP는 새 세션 검사를 중단하지만 기존 세션은 계속 검사합니다. 이 상태 drop-on-limit 에서 설정되면 IDP는 새 세션을 삭제하기 시작합니다. 새 세션이 삭제되었음을 나타내기 위해 로그 메시지가 트리거됩니다. 예를 들어, 다음 메시지는 IDP CPU 사용률이 임계값을 초과했으며 IDP가 새 세션을 삭제할 수 있음을 나타냅니다.
FPC 0 PIC 1 IDP CPU usage 86 crossed threshold value 85. IDP may drop new sessions. Total sessions dropped 2
시스템 CPU 사용률이 상한 임계값을 초과하면 IDP는 기존 세션 및 새 세션의 패킷 검사를 중단합니다. 이 상태에서는 어떤 패킷도 IDP 검사를 통과할 수 없습니다. 이 설정되면 drop-on-limit IDP는 모든 세션을 삭제합니다. 모든 세션이 삭제되었음을 나타내기 위해 로그 메시지가 트리거됩니다. 예를 들어, 다음 메시지는 IDP CPU 사용률이 상한 임계값을 초과했으며 IDP가 기존 세션과 새 세션의 패킷 검사를 중단함을 나타냅니다.
FPC 0 PIC 1 IDP CPU usage 92 crossed upper threshold value 90. IDP may drop packets of existing sessions as well as new sessions. Total sessions dropped 21
시스템 CPU 사용률이 하한 임계값 아래로 떨어지면 IDP는 새 세션 검사를 시작하고 정상 모드로 돌아갑니다. IDP는 기존 삭제된 세션을 검사하지 않습니다. IDP가 새 세션 검사를 시작하고 정상 모드로 돌아왔음을 나타내기 위해 로그 메시지가 트리거됩니다. 예를 들어, 다음 메시지는 IDP CPU 사용률이 하한 임계값 아래로 떨어지고 IDP가 정상 모드로 돌아간다는 것을 나타냅니다.
FPC 0 PIC 1 IDP CPU usage 75 dropped below lower threshold value 80. IDP working in normal mode. Total sessions dropped 25
IDP 보호 모드
IDP 보호 모드는 디바이스의 트래픽을 효율적으로 검사할 수 있도록 검사 매개 변수를 조정합니다. IDP 보호 모드를 활성화하려면 계층 수준에서 명령을 실행 security-configuration protection-mode mode 합니다 [edit security idp sensor-configuration] .
user@host#set security-configuration protection-mode mode
IDP 보호 모드에는 네 가지가 있습니다.
모든 IDP 보호 모드는 CTS(클라이언트-서버) 트래픽을 검사합니다.
모드 |
설명 |
|---|---|
Perimeter-Full |
모든 STC(Server To Client) 트래픽을 검사합니다. 최적화 없이 TCP 오류를 처리합니다. 이것이 기본 모드입니다. |
경계 |
모든 STC 트래픽을 검사합니다. 최적화를 통해 TCP 오류를 처리합니다. TCP 패킷의 경우, SYN이 창에 수신되고 TCP 오류 플래그가 설정된 경우 TCP 오류를 처리하고 적절한 조치를 취합니다. 현재 패킷을 삭제하고 전체 세션에 대한 검사를 무시합니다. |
데이터센터 전체 |
모든 STC 트래픽 검사를 비활성화합니다. 최적화 없이 TCP 오류를 처리합니다. Datacenter-Full은 보안 디바이스가 응답 트래픽이 분석에 관심이 없는 것으로 간주되는 서버의 보호만 담당하는 상황에서 사용할 수 있습니다. 보안 디바이스가 클라이언트 보호를 담당하는 경우에는 Datacenter-Full을 사용하면 안 됩니다. |
데이터센터 |
모든 STC 트래픽 검사를 비활성화합니다. 최적화를 통해 TCP 오류를 처리합니다. TCP 패킷의 경우, SYN이 창에 수신되고 TCP 오류 플래그가 설정된 경우 TCP 오류를 처리하고 적절한 조치를 취합니다. 현재 패킷을 삭제하고 전체 세션에 대한 검사를 무시합니다. 데이터센터 구성은 균형 잡힌 보호와 성능을 제공하도록 최적화되었습니다. |
또한보십시오
예: IDP 센서 구성 옵션으로 로깅 및 트래픽 분석 개선
이 예는 IDP 센서 구성 옵션을 구성하여 로깅 및 트래픽 분석을 개선하는 방법을 보여줍니다. 또한 이러한 옵션을 사용하여 IDP 세션 용량 및 메모리 제한에 근접할 때 실행 조건을 기록하고 이러한 제한을 초과할 때 IDP 및 애플리케이션 식별에 의해 손실된 트래픽을 분석할 수 있습니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
서명 데이터베이스를 다운로드합니다. IDP 서명 데이터베이스 수동 업데이트를 참조하십시오. 애플리케이션 시그니처는 주니퍼 네트웍스에서 제공하는 보안 패키지의 일부로 제공됩니다. 보안 패키지 업데이트와 함께 사전 정의된 애플리케이션 서명을 다운로드합니다.
개요
IDP 센서는 네트워크를 모니터링하고 IDP 규칙 베이스에 정의된 특정 규칙에 따라 의심스럽고 비정상적인 네트워크 트래픽을 탐지합니다. 프로토콜 또는 애플리케이션을 기반으로 트래픽에 공격 객체를 적용합니다. 애플리케이션 시그니처를 통해 센서는 비표준 포트에서 실행되는 알려진 애플리케이션과 알려지지 않은 애플리케이션을 식별하고 올바른 공격 개체를 적용할 수 있습니다.
IDP의 기본 동작은 다음과 같은 경우 세션을 무시하는 것입니다.
디바이스에서 IDP 정책이 구성되지 않았습니다.
리소스 제한(메모리 또는 활성 세션)에 도달한 경우
섀시 클러스터의 경우, 페일오버 세션용
트래픽 가용성이 보안보다 더 중요하다고 생각되는 경우, 위에서 언급한 IDP의 기본 동작을 계속 사용하는 것이 좋습니다. 그러나 보안이 가용성보다 더 중요하다고 판단되는 경우에는 이 예에 제공된 구성으로 기본 동작을 변경하는 것이 좋습니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 set security idp sensor-configuration flow drop-if-no-policy-loaded set security idp sensor-configuration flow drop-on-failover set security idp sensor-configuration flow drop-on-limit set security idp sensor-configuration flow max-sessions-offset 5 set security idp sensor-configuration flow min-objcache-limit-lt 21 set security idp sensor-configuration flow min-objcache-limit-ut 56
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IDP 센서 구성 옵션을 설정하려면 다음을 수행합니다.
애플리케이션 식별을 위한 메모리 제한을 지정합니다.
[edit security idp sensor-configuration] user@host# set application-identification max-tcp-session-packet-memory 5000
IDP 정책이 로드되기 전에 트래픽이 삭제되도록 지정합니다.
[edit security idp sensor-configuration flow] user@host# set drop-if-no-policy-loaded
섀시 클러스터 구축에서 장애 조치 세션이 삭제되도록 지정합니다.
[edit security idp sensor-configuration flow] user@host# set drop-on-failover
리소스 제한을 초과할 때 세션이 삭제되도록 지정합니다.
[edit security idp sensor-configuration flow] user@host# set drop-on-limit
명령을 실행
delete drop-on-limit하여 리소스 제한을 초과할 때 세션이 손실되지 않도록 합니다.최대 IDP 세션 제한에 대한 오프셋 값을 구성합니다.
[edit ssecurity idp sensor-configuration flow] user@host# set max-sessions-offset 5
사용 가능한 캐시 메모리에 대해 더 낮은 임계값을 설정합니다.
[edit security idp sensor-configuration flow] user@host# set min-objcache-limit-lt 21
사용 가능한 캐시 메모리의 상한 임계값을 설정합니다.
[edit security idp sensor-configuration flow] user@host# set min-objcache-limit-ut 56
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show security idp 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security idp
sensor-configuration {
application-identification {
max-tcp-session-packet-memory 5000;
}
flow {
drop-on-limit;
drop-on-failover;
drop-if-no-policy-loaded;
max-sessions-offset 5;
min-objcache-limit-lt 21;
min-objcache-limit-ut 56;
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
IDP 센서 구성 설정 확인
목적
IDP 센서 구성 설정을 확인합니다.
작업
운영 모드에서 명령을 입력합니다.show security idp sensor-configuration
user@host> show security idp sensor-configuration
application-identification {
max-tcp-session-packet-memory 5000;
}
flow {
drop-on-limit;
drop-on-failover;
drop-if-no-policy-loaded;
max-sessions-offset 5;
min-objcache-limit-lt 21;
min-objcache-limit-ut 56;
}
}
의미
이 명령은 show security idp sensor-configuration 특정 값으로 설정된 모든 센서 구성 옵션을 표시합니다.
IDP 카운터 확인
목적
IDP 카운터를 확인합니다.
작업
운영 모드에서 명령을 입력합니다.show security idp counters flow
샘플 출력
IDP counters: IDP counter type Value Fast-path packets 0 Slow-path packets 0 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 0 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 0 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 0 Policy init failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 0 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 0 SM Sessions not interested 749 SM Sessions interest error 0 Sessions destructed 0 SM Session Create 0 SM Packet Process 0 SM ftp data session ignored by idp 0 SM Session close 0 SM Client-to-server packets 0 SM Server-to-client packets 0 SM Client-to-server L7 bytes 0 SM Server-to-client L7 bytes 0 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Both directions flows ignored 0 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 AI-session dropped due to malloc failure before session create 0 AI-Sessions dropped due to malloc failure after create 0 AI-Packets received on sessions marked for drop due to malloc failure 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 0 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0
의미
이 명령은 show security idp counters flow 손실된 장애 조치 트래픽, 손실된 IDP 트래픽 및 손실된 애플리케이션 식별 트래픽을 분석하는 데 사용되는 모든 카운터를 표시합니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.