이 페이지 내용
침입 탐지 및 방지(IDP) 서명 데이터베이스 개요
침입 탐지 및 방지(IDP) 서명은 주니퍼 네트웍스 보안 프레임워크의 중요한 구성 요소로서, 서명으로 알려진 사전 정의된 공격 패턴을 활용하여 알려진 위협으로부터 네트워크를 보호하도록 설계되었습니다.
서명 기반 침입 탐지 및 방지(IDP)는 네트워크의 패킷을 모니터링하여 서명으로 알려진 사전 구성 및 사전 결정된 공격 패턴과 비교합니다.
자세한 내용은 다음 항목을 참조하세요.
침입 탐지 및 방지(IDP) 서명 데이터베이스 이해하기
서명 데이터베이스는 침입 탐지 및 방지(IDP) 시스템의 주요 구성 요소 중 하나입니다. 여기에는 침입 탐지 및 방지(IDP) 정책 규칙을 정의하는 데 사용되는 공격 객체, 애플리케이션 시그니처 객체, 서비스 객체 등 다양한 객체의 정의가 포함되어 있습니다. 주니퍼 네트웍스는 새로운 취약점에 대한 대응책으로 공격 데이터베이스 업데이트가 포함된 파일을 주니퍼 웹 사이트에 주기적으로 제공합니다. 이 파일을 다운로드하여 새로운 위협으로부터 네트워크를 보호할 수 있습니다.
침입 탐지 및 방지(IDP) 기능은 기본적으로 활성화되어 있으며 라이선스가 필요하지 않습니다. 침입 탐지 및 방지(IDP) 정책의 사용자 지정 공격 및 사용자 지정 공격 그룹은 유효한 라이선스 및 서명 데이터베이스가 디바이스에 설치되어 있지 않아도 구성 및 설치할 수 있습니다.
침입 탐지 및 방지(IDP) 서명 데이터베이스는 침입 탐지 및 방지(IDP) 활성화 디바이스에 저장되며 사전 정의된 공격 객체 및 그룹의 정의를 포함합니다. 이러한 공격 개체 및 그룹은 네트워크 트래픽 내에서 알려진 공격 패턴과 프로토콜 이상을 탐지하도록 설계되었습니다. 침입 탐지 및 방지(IDP) 정책 규칙에서 공격 객체 및 그룹을 일치 조건으로 구성할 수 있습니다.
주니퍼 네트웍스에서 제공하는 일일 서명 데이터베이스 업데이트를 다운로드하고 설치하려면 디바이스에 IDP signature-database-update 라이선스 키를 설치해야 합니다. 침입 탐지 및 방지(IDP) 서명 라이선스 키는 유예 기간 지원을 제공하지 않습니다. 라이선스 세부 사항은 Junos OS 기능 라이선스 키를 참조하십시오.
명시적 프록시 서버를 통해 침입 탐지 및 방지(IDP) 보안 패키지를 다운로드할 수 있습니다. 외부 서버에서 호스팅하는 침입 탐지 및 방지(IDP) 보안 패키지를 다운로드하려면 프록시 프로파일을 구성하고 프록시 프로파일에 구성된 프록시 호스트 및 포트 세부 정보를 사용해야 합니다. 이 기능을 사용하면 전체 보안 솔루션에 대한 HTTP(S) 아웃바운드 세션에 대한 액세스 및 인증을 위해 장치에 배포된 웹 프록시 서버를 사용할 수 있습니다.
IDP 서명 데이터베이스를 관리하기 위해 다음 작업을 수행할 수 있습니다.
서명 데이터베이스 업데이트 - 주니퍼 네트웍스 웹 사이트에서 제공되는 공격 데이터베이스 업데이트를 다운로드합니다. 매일 새로운 공격이 발견되므로 서명 데이터베이스를 최신 상태로 유지하는 것이 중요합니다.
서명 데이터베이스 버전 확인 - 각 서명 데이터베이스에는 서로 다른 버전 번호가 있으며 최신 데이터베이스의 버전 번호가 가장 높습니다. CLI를 사용하여 서명 데이터베이스 버전 번호를 표시할 수 있습니다.
Update the Protocol Detector engine(프로토콜 탐지기 엔진 업데이트) - 서명 데이터베이스 다운로드와 함께 프로토콜 탐지기 엔진 업데이트를 다운로드할 수 있습니다. 침입 탐지 및 방지(IDP) 프로토콜 검출기에는 애플리케이션 레이어 프로토콜 디코더가 포함되어 있습니다. 탐지기는 침입 탐지 및 방지(IDP) 정책과 결합되어 함께 업데이트됩니다. 탐지기에 변경 사항이 없더라도 정책 업데이트 시 항상 필요합니다.
서명 데이터베이스 업데이트 예약 - 일정 간격 후에 서명 데이터베이스를 자동으로 업데이트하도록 침입 탐지 및 방지(IDP) 활성화 디바이스를 구성할 수 있습니다.
침입 탐지 및 방지(IDP) 서명 데이터베이스 업데이트 개요
주니퍼 네트웍스는 사전 정의된 공격 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 사용할 수 있도록 합니다. 이 데이터베이스에는 침입 탐지 및 방지(IDP) 정책에서 알려진 공격과 트래픽을 일치시키는 데 사용할 수 있는 공격 객체 그룹이 포함되어 있습니다. 사전 정의된 공격 객체를 생성, 편집 또는 삭제할 수는 없지만 CLI를 사용하여 침입 탐지 및 방지(IDP) 정책에서 사용할 수 있는 공격 객체 목록을 업데이트할 수 있습니다.
서명 데이터베이스를 업데이트하려면 주니퍼 네트웍스 웹 사이트 또는 명시적 웹 프록시 서버에서 보안 패키지를 다운로드해야 합니다. 보안 패키지는 다음과 같은 침입 탐지 및 방지(IDP) 구성 요소로 구성됩니다.
공격 객체
공격 객체 그룹
Application 객체
IDP 탐지기 엔진 업데이트
침입 탐지 및 방지(IDP) 정책 템플릿. 정책 템플릿은 독립적으로 다운로드됩니다. 사전 정의된 침입 탐지 및 방지(IDP) 정책 템플릿 이해를 참조하십시오.)
기본적으로 보안 패키지를 다운로드할 때 전체 공격 개체 그룹 테이블의 최신 버전 테이블, 애플리케이션 개체 테이블 및 IDP 탐지기 엔진에 대한 업데이트와 같은 구성 요소를 디바이스의 Staging 폴더에 다운로드합니다. 공격 객체 테이블의 크기는 일반적으로 크기 때문에 기본적으로 시스템은 공격 객체 테이블에 대한 업데이트만 다운로드합니다. 그러나 구성 옵션을 사용하여 full-update 전체 공격 객체 테이블을 다운로드할 수 있습니다.
보안 패키지를 다운로드한 후 패키지를 설치하여 장치의 스테이징 폴더에서 새로 다운로드한 업데이트로 보안 데이터베이스를 업데이트해야 합니다.
보안 패키지를 설치한 후 구성을 커밋하면 (활성 정책뿐만 아니라) 모든 정책의 구문이 확인됩니다. 이 검사는 커밋 검사와 동일합니다. 기존 정책에서 구성된 공격이 다운로드한 새 서명 데이터베이스에서 제거되면 커밋 확인이 실패합니다.
침입 탐지 및 방지(IDP) 서명 데이터베이스를 업데이트할 때 정책에 구성된 공격은 자동으로 업데이트되지 않습니다. 예를 들어 시스템의 서명 데이터베이스 버전 1200에서 사용할 수 있는 공격을 FTP:USER:ROOT 포함하도록 정책을 구성한다고 가정합니다. 그런 다음 더 이상 공격을 FTP:USER:ROOT포함하지 않는 서명 데이터베이스 버전 1201을 다운로드합니다. 정책에 구성된 공격이 새로 다운로드한 데이터베이스에서 누락되었기 때문에 CLI의 커밋 확인이 실패합니다. 구성을 성공적으로 커밋하려면 정책 구성에서 공격(FTP:USER:ROOT)을 제거해야 합니다.
어떤 이유로든 새로운 침입 탐지 및 방지(IDP) 정책 로드가 실패하면 침입 탐지 및 방지(IDP) 서명 업데이트가 실패할 수 있습니다. 새로운 침입 탐지 및 방지(IDP) 정책 로드가 실패하면 마지막으로 알려진 양호한 침입 탐지 및 방지(IDP) 정책이 로드됩니다. 새 정책 로드 문제가 해결되고 유효한 새 정책이 활성화되면 서명 업데이트가 제대로 작동합니다.
침입 탐지 및 방지(IDP) 서명 패키지 개선 사항
중단 위험을 줄이고 보안 패키지 업데이트 중에 무결성 문제의 영향을 제어하기 위해 개선되었습니다.
침입 탐지 및 방지(IDP)는 보안 패키지가 설치될 때 애플리케이션 패키지를 설치하도록 AppID에 신호를 보냅니다. AppID 패키지가 설치된 후 IDP 보안 패키지는 다음 순서로 설치됩니다.
공격 데이터베이스는 다운로드된 서명을 사용하여 생성됩니다.
구성된 정책은 새로 설치된 데이터베이스의 정보로 업데이트됩니다.
업데이트된 정책이 패킷 포워딩 엔진에 로드됩니다.
트래픽은 패킷 포워딩 엔진에 새로 로드된 정책을 사용하여 검사됩니다.
1-3단계에서 문제 또는 코어 덤프가 발생하는 경우 서비스 중단이 발생하지 않습니다. 트래픽을 검사하는 동안 코어 덤프가 발생하면 서비스 중단이 발생합니다.
마찬가지로, 공격 데이터베이스가 생성되거나 구성된 정책이 업데이트되는 동안 문제가 발생하는 경우 보안 패키지를 롤백할 필요가 없습니다. 그러나 업데이트된 정책을 로드하는 동안 또는 트래픽을 검사하는 동안 문제가 발생하면 롤백 프로세스가 트리거됩니다. 사전 정의된 기준에 따라 패킷 포워딩 엔진 또는 플로우 프로세스(flowd)와의 연결이 끊어지면 서명 패키지가 무결성 검사에 실패합니다.
향상된 기능을 통해 보안 패키지 설치에 실패하면 서명 패키지가 자동으로 롤백됩니다. 이는 무결성 검사에 실패한 패키지가 검색되거나 메모리 부족으로 인해 발생할 수 있습니다.
메모리가 부족할 때 서명 패키지가 설치되지 않으면 서명 패키지가 무결성 검사에 실패한 것으로 표시되지 않고 IDP에 대해서만 롤백이 트리거됩니다.
새 서명 팩 설치가 실패한 후 자동 롤백이 트리거되면 설치된 버전과 수동 롤백 버전은 변경되지 않습니다.
다음은 보안 패키지 설치가 실패하는 경우의 롤백 시나리오입니다.
| 보안 패키지 설치 |
묘사 |
|---|---|
| 공장 상태 장치에 보안 패키지 설치Security package installation on a factory state device |
롤백 데이터베이스가 없습니다. 설치가 실패하거나 무결성 검사에 실패한 패키지가 발견되면 롤백이 없습니다. 설치에 성공하면 새 롤백 데이터베이스가 만들어집니다. |
| 공장 상태가 아닌 장치에 보안 패키지 설치Security package installation on a non-factory-state device |
라우팅 엔진에서 설치가 실패하면 롤백이 수행되지 않습니다. 패킷 포워딩 엔진은 이미 로드된 정책을 사용하여 트래픽을 검사합니다. 서명 패키지가 패킷 포워딩 엔진에 로드된 후 무결성 검사에 실패한 패키지로 확인되면 롤백 프로세스가 트리거되고 패킷 포워딩 엔진에는 이전에 설치된 보안 패키지가 있습니다. |
자동 롤백이 트리거되면 새 상태 메시지가 표시됩니다. 다음 명령을 사용하여 메시지를 확인할 수 있습니다.
root@host> request security idp security-package install status
Security-package validation failed, triggered auto rollback of the security-package.
서명 패키지가 무결성 검사에 실패한 패키지로 확인되면 IDP가 롤백됩니다. 침입 탐지 및 방지(IDP)는 AppID에 롤백하라는 신호를 보내지만 침입 탐지 및 방지(IDP)는 AppID 롤백 상태를 기다리지 않습니다.
다음 명령을 사용하여 롤백 상태를 확인할 수 있습니다.
root@host> request security idp security-package rollback status
롤백 상태는 자동 롤백 실패 또는 성공적으로 완료됨으로 표시됩니다. 롤백 버전이 표시됩니다.
다음 명령을 사용하여 데이터 플레인 유효성 검사 중에 실패한 서명 팩의 세부 정보를 확인할 수 있습니다.
root@host> show security idp security-package-version detail
Attack database version:3550(Thu Dec 1 14:20:50 2022 UTC) Detector version :12.6.180220128 Policy template version :3598 Rollback Attack database version :3550(Thu Dec 1 14:20:50 2022 UTC) Rollback Detector version: 12.6.180220128 Last known security-package-version which failed in data plane validation: 3650(Thu Nov 9 14:08:04 2023 UTC) Last known security-package- detector-version which failed in data plane validation : 12.6.180230313
다중 SPC/PIC SRX 시리즈 방화벽에서 롤백
현재 SRX5000 시리즈 방화벽과 같은 멀티 SPC 또는 멀티 PIC 디바이스에 보안 패키지를 설치하면 보안 패키지가 모든 PIC에 동시에 설치 및 로드됩니다. 하나의 PIC에서 데이터 플레인이 다운되면 섀시 프로세스(섀시)는 다른 모든 PIC가 오프라인 상태가 되도록 보장합니다. 한 번에 하나의 PIC에 서명 팩을 설치하는 것은 작동하지 않습니다. 또한 PIC가 다시 온라인 상태가 되면 동일한 트래픽 및 데이터 플레인 문제에 직면하게 되며, 이는 반복적인 중단으로 이어질 수 있습니다.
시그니처 팩을 설치한 후 코어 덤프가 발생하면 PIC가 다시 온라인 상태가 되면 보안 패키지가 롤백되므로 잠재적인 손상이 제한됩니다.
서명 패키지의 무결성 검사를 검증하는 동안 보안 패키지가 설치되고 정책이 패킷 포워딩 엔진에 로드된 후 status 명령 출력에 새로운 상태 메시지가 추가됩니다.
root@host> request security idp security-package install status
Security-package validation is in progress…
고가용성 환경에서의 보안 패키지 설치
고가용성 시나리오에서는 보안 패키지 설치가 기본 노드와 보조 노드에서 동시에 트리거됩니다. 보안 패키지의 문제로 인해 srxpfe 프로세스가 실패하면 페일오버가 발생하고 보조 노드가 인계됩니다.
2차 노드에 동일한 보안 패키지가 설치될 때 루프에서 발생하는 장애 복구를 방지하기 위해 무결성 검사 유효성 검증은 1차 노드 설치 단계에서 수행됩니다. 보안 패키지는 패키지가 무결성 검사를 통과한 후에만 보조 노드에 설치됩니다. 보조 노드에서의 설치는 다른 버전의 서명 패키지를 다운로드할 때까지 허용되지 않습니다.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- In progress:performing DB update for an xml (groups.xml) node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the security-package.
서명 패키지 설치 중에 설치 명령이 실행된 후 무결성 검사 유효성 검사가 완료되면 장애 조치 또는 전환이 발생하면 이전 기본 노드에서 자동 롤백이 트리거되고 이전 보조 노드에서 설치가 중단됩니다.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation aborted due to node failover node1: -------------------------------------------------------------------------- Done;Security-package installation failed due to node failover;Successfully Rolled back to 3656
기본 노드에서 설치가 실패하면 기본 노드에서 롤백이 발생하고 보조 노드에서 설치가 중단됩니다.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation failed;Successfully Rolled back to 3550 node1: -------------------------------------------------------------------------- Done;Security-package installation aborted due to failure in the primary node installation
다음 변경 사항은 개선 사항 이후 고가용성 장치에 보안 패키지가 설치될 때 관찰됩니다.
| 보안 패키지 설치 |
묘사 |
|---|---|
| 두 노드에 보안 패키지 설치(기본값) |
보안 패키지 설치는 기본 노드에서 시작됩니다. 보조 노드에 서명 팩의 설치는 기본 노드에서 서명 패키지 무결성 유효성 검사 검사를 통과한 후에만 시작됩니다. 서명 패키지의 롤백은 패키지가 무결성 검사에 실패하는 경우 기본 노드에서 트리거됩니다. 패키지가 보조 노드에 설치되어 있지 않습니다. 보조 노드에서 보안 패키지 설치가 실패하면 보조 노드에서만 롤백이 트리거되고 보안 패키지 버전이 일치하지 않으므로 사소한 경보가 발생합니다. |
| 기본 노드에만 보안 패키지 설치 |
설치에 실패하면 기본 노드에서만 롤백이 발생합니다. |
서명 패키지 무결성 유효성 검증 검사는 보조 노드에서 수행되지 않습니다. 기본 노드에서 무결성 검사에 실패한 서명 패키지는 보조 노드에서도 실패한 것으로 표시됩니다. 기본 노드와 보조 노드에 서로 다른 서명 패키지 버전이 설치된 경우 사소한 알람이 발생합니다.
무결성 검사에 실패한 패키지의 다운로드 또는 설치 허용 안 함
독립 실행형 또는 고가용성 설정에서 무결성 검사에 실패한 서명 패키지를 다운로드하거나 설치할 수 없습니다. 경고가 표시됩니다. 무결성 검사에 실패한 서명 패키지는 재부팅 후에도 존재합니다.
서명 패키지가 AppID에 대한 무결성 검사에 실패하면 IDP에 대해서도 실패한 것으로 간주됩니다.
다음 명령을 사용하여 상태를 확인할 수 있습니다.
root@host> request security idp security-package install status
Done;AI installation failed (failed in data plane validation)
기본 노드에서 무결성 검사에 실패한 것으로 표시된 서명 패키지는 보조 노드에서도 무결성 검사에 실패한 것으로 표시됩니다. 무결성 검사에 실패한 보안 패키지를 다운로드하고 상태를 확인하려고 하면 다음 상태 메시지가 표시됩니다.
root@host> request security idp security-package download status
Requested security-package 3501 failed data plane validation. Please download another version.
무결성 검사에 실패한 보안 패키지를 설치하려고 시도하고 상태를 확인하면 다음 메시지가 표시됩니다.
Requested security-package 3501 failed data plane validation. Please install another version.
무결성 검사에 실패한 보안 패키지를 오프라인으로 다운로드하려고 시도하면 동일한 메시지가 표시됩니다.
설치 후 마지막 정상 정책 로딩 시 서명 패키지 롤백
침입 탐지 및 방지(IDP) 정책 프로세스가 다시 시작되거나, 컴파일이 필요한 구성이 변경되거나, 서명 팩이 설치된 경우 침입 탐지 및 방지(IDP) 정책을 컴파일해야 합니다. 정책이 컴파일된 후 라우팅 엔진은 현재 로드된 정책을 백업한 후 정책 로드를 시도합니다. 이 정책의 이름은 last-good-policy입니다. 메모리 제한과 같은 이유로 방금 컴파일된 정책이 로드되지 않으면 라우팅 엔진은 마지막으로 성공한 정책을 로드하려고 시도합니다.
따라서 서명 팩을 설치한 후 정책이 컴파일되고 정책 로드에 실패하면 라우팅 엔진은 마지막 양호한 정책을 로드하려고 시도합니다. 그러나 마지막 좋은 정책이 로드된 후에는 라우팅 엔진과 패킷 포워딩 엔진의 서명 패키지 버전이 다릅니다. 일관성을 유지하기 위해 라우팅 엔진의 시그니처 패키지가 롤백됩니다.
IDP 서버 측 서명 패키지 개선 사항
이전에는 침입 탐지 및 방지(IDP) 서명 패키지를 SRX 시리즈 방화벽에 설치하고 서명 패키지가 무결성 검사를 통과하지 못한 경우, 발생이 디바이스에 기록되었지만 서버에는 보고되지 않았습니다.
이제 침입 탐지 및 방지 시스템이 설치 상태를 서버에 보고합니다. 시그팩을 전체적으로 무결성 검사에 실패한 것으로 표시하는 결정은 여러 장치에서 서명 서버로 전송되는 정보를 기반으로 합니다. sigpack이 전역적으로 무결성 검사를 통과하지 못한 것으로 표시되면 나중에 다운로드할 수 없습니다.
서명 패키지는 IDP 서명, IDP 탐지기 및 AppID protobundle로 구성됩니다. 현재 서버 쪽에는 두 가지 유형의 서명 패키지 업데이트가 있습니다.
| 서명 패키지 업데이트 유형 | 설명 |
|---|---|
| 사소한 |
일반 시그팩 IDP Detector 및 AppID Protobundle의 변경 없이 수요일과 금요일에 IDP 서명 업데이트
비상사태 sigpack
릴리스된 AppID Protobundle에서 핫픽스로 릴리스된 업데이트 |
| 전공 |
IDP 탐지기 또는 AppID Protobundle 릴리스
|
IDP Detector 릴리스는 항상 IDP의 경우 major로 분류되며, Detector의 변경 또는 Protobundle의 변경 사항이 있는 경우 IDP의 경우 보안 패키지가 주요 릴리스입니다. 보안 패키지는 Protobundle에 변경 사항이 있는 경우에만 AppID에 대한 주요 패키지입니다.
IDP 또는 AppID 릴리스 직후의 서명 패키지는 주로 간주됩니다. 최신 sigpack이 무결성 검사를 통과하지 못한 것으로 식별되면 이전 sigpack도 실패로 표시됩니다.
Sigpack 서버에 설치 상태 보내기SRX 시리즈 방화벽에 sigpack을 설치하면 설치 상태도 sigpack 서버로 전송됩니다. 설치 상태에는 무결성 문제 검사에 대한 정보가 포함됩니다.
고가용성 설정의 설치 상태는 기본 노드에 대해서만 전송됩니다.
무결성 검사 문제로 인해 보안 패키지 설치가 실패할 경우, 자동 롤백이 수행된 후 설치 상태가 서버로 전송됩니다.
무결성 검사 실패 식별디바이스는 주요 보안 패키지 유형에 대해서만 무결성 검사 실패를 검증합니다. 디바이스는 주 유형 sigpack이 설치된 후 HTTPS 요청을 통해 sigpack 서버로 설치 상태를 보냅니다.
sigpack은 특정 계산에 따라 무결성 검사에 실패하는 것으로 결정됩니다. sigpack이 무결성 검사에 실패하면 이전의 안정적인 sigpack이 최신 sigpack으로 표시됩니다.
sigpack이 무결성 검사를 통과하고 sigpack 릴리스 이후 6시간이 경과하면 sigpack이 Security Director 및 오프라인 다운로드를 위해 릴리스됩니다.
다양한 모드를 통해 sigpack을 릴리스한 후 무결성 검사를 통과하지 못한 것으로 식별되면 CLI에서만 이러한 sigpack을 다운로드하지 못하도록 합니다.
다음 명령을 사용하여 자동 다운로드에 대한 사소한 업데이트만 다운로드할 수 있습니다.
set services application-identification download automatic minor-only
수동 sigpack 업데이트의 경우 필요한 경우 다음을 사용하여 부 전용 업데이트를 요청할 수 있습니다.
request security idp security-package download minor-only
download status 명령 출력은 sigpack이 성공적으로 다운로드된 후 다운로드된 버전이 주 버전인지 부 버전인지를 나타냅니다.
시그팩 유형 정보는 manifest.xml 파일에서 사용할 수 있습니다. 디바이스는 이 정보를 가져와 출력에 표시합니다. 다음은 XML 매니페스트 파일의 예입니다.
<manifest> <version>3655</version> <ExportDate>Tue Nov 28 15:29:28 2023 UTC</ExportDate> <SigpackType>Major</SigpackType> <entry> <id>application_groups.xml.gz</id> <type>systable</type> <version>3655</version> <location>application_groups.xml</location> <checksum>4483d9d4c63fe2fb99725e8218494b44</checksum> <url>https://signatures.juniper.net/xmlupdate/282/ApplicationGroups/3655/application_groups.xml.gz</url> </entry> </manifest>
다음은 출력의 예입니다.
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3653(Major, Tue Nov 21 14:09:20 2023 UTC, Detector=12.6.180230313)
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi. Version info:3654(Minor, Tue Nov 21 14:09:20 2023 UTC, Detector=12.6.180230313)
sigpack이 성공적으로 설치되면 install status 명령 출력은 설치된 버전이 마이너인지 메이저인지를 나타냅니다.
Done;Attack DB update : successful - [UpdateNumber=3653, Major, ExportDate=Tue Nov 21 14:09:20 2023 UTC,Detector=12.6.180230313] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Done;Attack DB update : successful - [UpdateNumber=3654, Minor, ExportDate=Tue Nov 21 14:09:20 2023 UTC,Detector=12.6.180230313] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
sigpack이 성공적으로 설치되면 installation status 명령 출력은 설치된 버전이 부 버전인지 주 버전인지를 표시합니다. 이는 security-package-version, recent-security-package-versions 및 check-server 출력에도 표시됩니다.
주요 sigpack이 무결성 검사를 통과하지 못한 것으로 식별되면 명령 출력에 security-package-version 표시되지 않습니다.
예를 들어, 주요 시그팩 3653은 무결성 검사를 통과하지 못했으며 출력에 표시되지 않습니다.
user@host>show security idp security-package-versions
Attack database version: 3652 (Minor) Attack database version: 3651 (Minor) Attack database version: 3650 (Minor) Attack database version: 3649 (Minor) Attack database version: 3648 (Minor) Attack database version: 3647 (Minor) Attack database version: 3646 (Minor) Attack database version: 3645 (Minor)
참조
명시적 프록시 서버를 통한 Junos OS IDP 서명 패키지 다운로드 개요
명시적 프록시 서버를 통해 침입 탐지 및 방지(IDP) 보안 패키지를 다운로드할 수 있습니다. 외부 서버에서 호스팅하는 침입 탐지 및 방지(IDP) 보안 패키지를 다운로드하려면 프록시 프로파일을 구성하고 프록시 프로파일에 구성된 프록시 호스트 및 포트 세부 정보를 사용해야 합니다. 이 기능을 사용하면 HTTP(S) 아웃바운드 세션에 대한 액세스 및 인증을 위해 장치에 배포된 웹 프록시 서버를 사용할 수 있습니다.
지정된 프록시 서버를 통해 외부 서버에 연결하려면 보안 패키지 다운로드의 프록시 프로파일 옵션을 구성해야 합니다. 프록시 프로필은 계층에서 [edit services proxy] 구성됩니다.
계층 아래에 [edit services proxy] 두 개 이상의 프록시 프로필을 구성할 수 있습니다. 침입 탐지 및 방지(IDP)는 하나의 프록시 프로필만 활용할 수 있습니다. 침입 탐지 및 방지(IDP)에서 여러 프록시 프로필을 동시에 사용할 수 없습니다. 프록시 프로필이 계층 구조에서 [security idp security-package] 구성되면 idpd 프로세스는 서명 팩 다운로드 서버 대신 프록시 호스트에 연결됩니다. 그런 다음 프록시 호스트는 다운로드 서버와 통신하고 idpd 프로세스에 응답을 다시 제공합니다. idpd 프로세스는 계층에서 변경이 있을 [edit services proxy] 때마다 알림을 받습니다.
필요하지 않은 경우 IDP 서명 패키지를 다운로드하기 위해 프록시 서버를 비활성화할 수 있습니다.
침입 탐지 및 방지(IDP) 서명 다운로드를 위해 프록시 서버를 비활성화하려면 delete security idp security-package proxy-profile proxy-profile
침입 탐지 및 방지(IDP) 웹 프록시 지원은 시스템 수준에서 구성된 프록시 프로파일에 따라 달라집니다. 다운로드에 웹 프록시 서버를 사용하려면 프록시 서버의 호스트 및 포트 세부 정보를 사용하여 프록시 프로파일을 구성하고 계층에서 프록시 프로파일을 [security idp security-package] 적용해야 합니다.
예: 서명 데이터베이스 자동 업데이트
이 예제에서는 서명 데이터베이스 업데이트를 자동으로 다운로드하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 네트워크 인터페이스를 구성합니다.
개요
주니퍼 네트웍스는 사전 정의된 공격 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 보안 패키지로 제공합니다. 이 데이터베이스에는 침입 탐지 및 방지(IDP) 정책에서 알려진 공격과 트래픽을 일치시키는 데 사용할 수 있는 공격 객체 및 공격 객체 그룹이 포함되어 있습니다. 지정된 간격으로 서명 데이터베이스 업데이트를 자동으로 다운로드하도록 디바이스를 구성할 수 있습니다.
이 예시에서는 12월 10일 오후 11시 59분부터 48시간마다 공격 객체 및 공격 객체 그룹의 전체 테이블이 포함된 보안 패키지를 다운로드합니다. 또한 보안 패키지를 자동으로 다운로드하고 업데이트할 수 있습니다.
구성
절차
단계별 절차
사전 정의된 공격 객체를 다운로드하고 업데이트하려면 다음을 수행합니다.
보안 패키지의 URL을 지정합니다.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
기본적으로 URL은 https://signatures.juniper.net/cgi-bin/index.cgi 로 간주됩니다
다운로드할 시간 및 간격 값을 지정합니다.
[edit] user@host# set security idp security-package automatic interval 48 start-time 2009-12-10.23:59:00
보안 패키지의 자동 다운로드 및 업데이트를 활성화합니다.
[edit] user@host# set security idp security-package automatic enable
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
IDP 서명 데이터베이스 수동 업데이트 개요
주니퍼 네트웍스는 사전 정의된 공격 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 사용할 수 있도록 합니다. 이 데이터베이스에는 침입 탐지 및 방지(IDP) 정책에서 알려진 공격과 트래픽을 일치시키는 데 사용할 수 있는 공격 개체 그룹이 포함되어 있습니다. 사전 정의된 공격 객체를 생성, 편집 또는 삭제할 수는 없지만 CLI를 사용하여 침입 탐지 및 방지(IDP) 정책에서 사용할 수 있는 공격 객체 목록을 업데이트할 수 있습니다. 보안 패키지를 다운로드한 후 패키지를 설치하여 장치의 스테이징 폴더에서 새로 다운로드한 업데이트로 보안 데이터베이스를 업데이트해야 합니다.
예: IDP 서명 데이터베이스 수동 업데이트
이 예에서는 IDP 서명 데이터베이스를 수동으로 업데이트하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 네트워크 인터페이스를 구성합니다.
개요
주니퍼 네트웍스는 사전 정의된 공격 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 보안 패키지로 제공합니다. 이 데이터베이스에는 침입 탐지 및 방지(IDP) 정책에서 알려진 공격과 트래픽을 일치시키는 데 사용할 수 있는 공격 개체 및 공격 개체 그룹이 포함되어 있습니다.
이 예시에서는 공격 객체 및 공격 객체 그룹의 전체 테이블이 포함된 보안 패키지를 다운로드합니다. 설치가 완료되면 계층 수준의 predefined-attack-groups 및 predefined-attacks 구성 문 아래 CLI에서 공격 객체 및 공격 객체 그룹을 [edit security idp idp-policy] 사용할 수 있습니다. 정책을 생성하고 새 정책을 활성 정책으로 지정합니다. 또한 주니퍼 네트웍스에서 최근에 업로드한 업데이트만 다운로드한 다음 공격 데이터베이스, 실행 정책 및 이러한 새 업데이트로 탐지기를 업데이트합니다.
구성
절차
CLI 빠른 구성
구성 중에 수동 개입이 필요하기 때문에 이 예에서는 CLI 빠른 구성을 사용할 수 없습니다.
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
서명 데이터베이스를 수동으로 다운로드하고 업데이트하려면:
보안 패키지의 URL을 지정합니다.
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
메모:기본적으로 URL을 https://signatures.juniper.net/cgi-bin/index.cgi 로 사용합니다.
구성을 커밋합니다.
[edit] user@host# commit
작동 모드로 전환합니다.
[edit] user@host# exit
보안 패키지를 다운로드합니다.
user@host>request security idp security-package download full-update
장치에서 오프라인 서명 패키지 다운로드를 수행할 수 있습니다. 서명 패키지를 다운로드하여 디바이스의 공통 위치에 패키지를 복사하고 명령을 사용하여
request security idp security-package offline-download패키지를 오프라인으로 다운로드할 수 있습니다.서명 패키지 설치는 동일하게 유지되며 항상 전체 업데이트입니다.
보안 패키지 다운로드 상태를 확인합니다.
user@host>request security idp security-package download status
install 명령을 사용하여 공격 데이터베이스를 업데이트합니다.
user@host>request security idp security-package install
다음 명령을 사용하여 공격 데이터베이스 업데이트 상태를 확인합니다(명령 출력에는 공격 데이터베이스 버전의 다운로드 및 설치된 버전에 대한 정보가 표시됨).
user@host>request security idp security-package install status
구성 모드로 전환합니다.
user@host>configure
침입 탐지 및 방지(IDP) 정책을 생성합니다.
[edit ] user@host#edit security idp idp-policy policy1
공격 개체 또는 공격 개체 그룹을 정책과 연결합니다.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
동작을 설정합니다.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
정책을 활성화합니다.
[edit] user@host#set security idp active-policy policy1
구성을 커밋합니다.
[edit] user@host# commit
일주일 후에는 주니퍼 네트웍스에서 최근에 업로드한 업데이트만 다운로드합니다.
user@host>request security idp security-package download
보안 패키지 다운로드 상태를 확인합니다.
user@host>request security idp security-package download status
공격 데이터베이스, 활성 정책 및 탐지기를 새로운 변경 사항으로 업데이트합니다.
user@host>request security idp security-package install
공격 데이터베이스, 활성 정책 및 설치 상태를 사용하는 탐지기를 확인합니다.
user@host>request security idp security-package install status
메모:새 버전의 공격 데이터베이스에서 공격이 제거될 수 있습니다. 이 공격이 디바이스의 기존 정책에서 사용되는 경우 새 데이터베이스 설치가 실패합니다. 설치 상태 메시지는 더 이상 유효하지 않은 공격을 식별합니다. 데이터베이스를 성공적으로 업데이트하려면 기존 정책 및 그룹에서 삭제된 공격에 대한 모든 참조를 제거하고 install 명령을 다시 실행합니다.
결과
구성 모드에서 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
예: 섀시 클러스터 모드에서 침입 탐지 및 방지(IDP) 보안 패키지 다운로드 및 설치
이 예는 섀시 클러스터 모드에서 작동하는 디바이스에 침입 탐지 및 방지(IDP) 서명 데이터베이스를 다운로드하고 설치하는 방법을 보여줍니다.
요구 사항
시작하기 전에 섀시 클러스터 노드 ID 및 클러스터 ID를 설정합니다. 예: 섀시 클러스터의 보안 디바이스에 대한 노드 ID 및 클러스터 ID 설정을 참조하십시오.
개요
침입 탐지 및 방지(IDP)용 보안 패키지에는 IDP 정책에서 알려진 공격과 알려지지 않은 공격에 대한 트래픽을 일치시키는 데 사용할 수 있는 사전 정의된 IDP 공격 개체 및 IDP 공격 개체 그룹의 데이터베이스가 포함되어 있습니다. 주니퍼 네트웍스는 새롭게 발견된 공격 패턴으로 사전 정의된 공격 객체와 그룹을 정기적으로 업데이트합니다.
서명 데이터베이스를 업데이트하려면 주니퍼 네트웍스 웹 사이트에서 보안 패키지를 다운로드해야 합니다. 보안 패키지를 다운로드한 후 패키지를 설치하여 장치의 스테이징 폴더에서 새로 다운로드한 업데이트로 보안 데이터베이스를 업데이트해야 합니다.
모든 브랜치 SRX 시리즈 방화벽에서, 컨트롤 플레인에서 디바이스 메모리 사용률이 높은 경우, 큰 침입 탐지 및 방지(IDP) 정책을 로드하면 디바이스의 메모리 부족이 발생할 수 있습니다. 이로 인해 IDP 보안 패키지 업데이트 중에 시스템 재부팅이 트리거될 수 있습니다.
자세한 내용은 침입 탐지 및 방지(IDP) 서명 데이터베이스 이해를 참조하십시오.
섀시 클러스터 모드에서 작동하는 디바이스에서 침입 탐지 및 방지(IDP) 보안 패키지를 다운로드하면 보안 패키지가 기본 노드로 다운로드된 다음 보조 노드로 동기화됩니다. 이 동기화는 기본 노드와 보조 노드 모두에서 동일한 버전의 보안 패키지를 유지하는 데 도움이 됩니다.
IDP 서명 데이터베이스 다운로드 및 설치
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 패키지의 URL을 지정합니다.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
작동 모드로 전환합니다.
[edit] user@host# exit
침입 탐지 및 방지(IDP) 보안 패키지를 기본 노드에 다운로드합니다(폴더에서 다운로드).var/db/idpd/sec-download
{primary:node0}[edit] user@host> request security idp security-package download다음 메시지가 표시됩니다.
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
보안 패키지 다운로드 상태를 확인합니다.
{primary:node0}[edit] user@host> request security idp security-package download status다운로드에 성공하면 다음 메시지가 표시됩니다.
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
명령을 사용하여 공격 데이터베이스를 업데이트합니다
install.user@host> request security idp security-package install
공격 데이터베이스 업데이트 상태를 확인합니다. 명령 출력에는 공격 데이터베이스의 다운로드 및 설치된 버전에 대한 정보가 표시됩니다.
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.침입 탐지 및 방지(IDP) 서명 패키지를 기본 노드에 다운로드해야 합니다. 이렇게 하면 보안 패키지가 보조 노드에서 동기화됩니다. 서명 패키지를 보조 노드로 다운로드하려는 시도가 실패합니다.
보안 패키지에 대해 예약된 다운로드를 구성한 경우 서명 패키지 파일이 기본 노드에서 백업 노드로 자동으로 동기화됩니다.
명시적 프록시 서버를 통해 Junos OS IDP 서명 패키지 다운로드
이 예는 프록시 프로필을 생성하고 명시적 프록시 서버를 통해 침입 탐지 및 방지(IDP) 서명 패키지를 다운로드하는 데 사용하는 방법을 보여줍니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층에서 edit 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
구성
단계별 절차
프록시 서버에 대한 프록시 프로파일이 생성되면 프록시 서버를 통해 IDP 서명 패키지를 다운로드하기 위해 idpd 프로세스에서 이 프로파일을 참조합니다.
-
프록시 호스트 IP 주소를 지정합니다.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 프록시 서버에서 사용하는 포트 번호를 지정합니다.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128보안 패키지 다운로드를 위해 참조해야 하는 프록시 프로파일을 지정하십시오.
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
구성을 커밋합니다.
[edit] user@host# commit
작동 모드로 전환합니다.
[edit] user@host# exit
침입 탐지 및 방지(IDP) 보안 패키지를 다운로드합니다.
user@host> request security idp security-package download full-update
주니퍼 웹 사이트에서 오프라인 침입 탐지 및 방지(IDP) 서명 패키지를 다운로드하여 설치하는 옵션은 계속 사용할 수 있습니다. 침입 탐지 및 방지(IDP) 서명 패키지를 오프라인으로 다운로드하고 설치하려면 CLI 명령을 실행합니다
request security idp security-package offline-download. 설치 프로세스는 두 다운로드 명령에 대해 동일하게 유지됩니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
이 구성 예는 Junos OS 릴리스 18.3R1 이상이 설치된 SRX 시리즈 방화벽에서 테스트되었습니다.
개요
주니퍼 네트웍스는 사전 정의된 공격 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 보안 패키지로 제공합니다. 이 데이터베이스에는 침입 탐지 및 방지(IDP) 정책에서 알려진 공격과 트래픽을 일치시키는 데 사용할 수 있는 공격 개체 및 공격 개체 그룹이 포함되어 있습니다.
프록시 서버를 사용하여 침입 탐지 및 방지(IDP) 서명 패키지를 다운로드할 수 있습니다. 프록시 프로파일 구성은 HTTP 연결에만 사용할 수 있습니다.
이 예에서 SRX 시리즈 방화벽은 구성된 프록시 프로필을 활용하여 외부 서버에서 사용할 수 있는 공격 개체 및 공격 개체 그룹의 전체 테이블이 포함된 IDP 보안 패키지를 다운로드하고 설치합니다.
설치가 완료되면 다운로드 및 설치된 모든 침입 탐지 및 방지(IDP) 공격 객체 및 공격 그룹을 침입 탐지 및 방지(IDP) 정책에서 구성할 수 있습니다. 이러한 공격 객체와 공격 객체는 계층의 보안 규칙에 활용됩니다 set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name . 정책을 생성하고 새 정책을 활성 정책으로 지정합니다. 주니퍼 네트웍스가 최근에 업로드한 업데이트만 다운로드한 다음 이러한 업데이트로 공격 데이터베이스, 실행 정책 및 탐지기를 업데이트할 수 있습니다.
명시적 프록시 서버를 통해 침입 탐지 및 방지(IDP) 서명 패키지를 다운로드하려면 다음을 수행합니다.
명령을 사용하여 프록시 서버의 호스트 및 포트 세부 정보로
set services proxy profile프로필을 구성합니다.set security idp security-package proxy-profile profile-name명령을 사용하여 프록시 서버에 연결하고 침입 탐지 및 방지(IDP) 서명 패키지를 다운로드합니다.
IDP 서명 패키지를 다운로드하면 요청이 프록시 호스트를 통해 서명 패키지를 호스팅하는 실제 서버로 전송됩니다. 그런 다음 프록시 호스트는 실제 호스트에서 응답을 다시 보냅니다. 그런 다음 침입 탐지 및 방지(IDP) 서명 패키지가 주니퍼 네트웍스 보안 웹 사이트 https://signatures.juniper.net/cgi-bin/index.cgi 에서 수신됩니다.
이 예시에서는 프록시 프로필을 생성하고, 외부 호스트로부터 침입 탐지 및 방지(IDP) 서명 패키지를 다운로드할 때 프로필을 참조합니다. 표 3 에는 이 예에서 사용된 매개 변수의 세부 정보가 나와 있습니다.
매개 변수 |
이름 |
|---|---|
프로필 이름 |
test_idp_proxy1 |
프록시 서버의 IP 주소 |
10.209.97.254 |
프록시 서버의 포트 번호입니다 |
3128 |
확인
프록시 서버를 통한 IDP 서명 다운로드 확인
목적
프록시 서버를 통해 IDP 서명 패키지 다운로드에 대한 세부 정보를 표시합니다.
행동
작동 모드에서 명령을 입력하여 show security idp security-package proxy-profile IDP 특정 프록시 세부 정보를 확인합니다.
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.209.97.254 Port of proxy server :3128
의미
출력의 및 Proxy Address 필드에서 Proxy Profile IDP 특정 프록시 프로필 세부 정보를 찾을 수 있습니다.
침입 탐지 및 방지(IDP) 서명 다운로드 상태 확인
목적
IDP 서명 패키지 다운로드 상태를 확인합니다.
행동
보안 패키지 다운로드 상태를 확인합니다.
운영 모드에서 명령을 입력합니다 request security idp security-package download status .
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
의미
출력에 IDP 서명 패키지 다운로드 상태가 표시됩니다.
침입 탐지 및 방지(IDP) 서명 데이터베이스 버전 이해하기
새로운 공격 객체가 서명 데이터베이스 서버에 자주 추가됩니다. 이러한 업데이트를 다운로드하여 관리 디바이스에 정기적으로 설치하면 최신 위협으로부터 네트워크를 효과적으로 보호할 수 있습니다. 새 공격 객체가 서명 데이터베이스 서버에 추가되면 데이터베이스의 버전 번호가 최신 데이터베이스 버전 번호로 업데이트됩니다. 각 서명 데이터베이스에는 서로 다른 버전 번호가 있으며 최신 데이터베이스의 버전 번호가 가장 높습니다.
서명 데이터베이스를 업데이트할 때 서명 데이터베이스 업데이트 클라이언트는 주니퍼 네트웍스 웹사이트에 연결하고 HTTPS 연결을 사용하여 업데이트를 가져옵니다. 이 업데이트(기존 서명 데이터베이스와 최신 서명 데이터베이스 간의 차이)는 각 서명 데이터베이스에 할당된 버전 번호를 기준으로 계산됩니다. 업데이트를 다운로드하면 업데이트된 정보가 기존 서명 데이터베이스와 병합되고 버전 번호가 최신 서명 데이터베이스의 버전 번호로 설정됩니다.
참조
침입 탐지 및 방지(IDP) 서명 데이터베이스 버전 확인
목적
서명 데이터베이스 버전을 표시합니다.
행동
CLI의 운영 모드에서 을(를) 입력합니다 show security idp security-package-version.
샘플 출력
명령 이름
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
의미
출력에는 IDP 지원 디바이스의 서명 데이터베이스, 프로토콜 감지기 및 정책 템플릿의 버전 번호가 표시됩니다. 다음 정보를 확인합니다:
Attack database version- 2008년 4월 16일, 디바이스에서 활성화된 서명 데이터베이스의 버전은 입니다31.Detector version- 디바이스에서 현재 실행 중인 침입 탐지 및 방지(IDP) 프로토콜 감지기의 버전 번호를 표시합니다.Policy template version- CLI에서 구성 문을 실행할request security idp security-package install policy-templates때 디렉터리에/var/db/scripts/commit설치되는 정책 템플릿의 버전을 표시합니다.
출력에 대한 전체 설명은 설명을 show security idp security-package-version 참조하십시오.
참조
Snort IPS 시그니처 이해하기
주니퍼 네트웍스 침입 탐지 및 방지(IDP)는 Snort IPS 서명을 지원합니다. Juniper Integration of Snort Tool(JIST)을 사용하여 Snort IPS 규칙을 Juniper IDP 사용자 지정 공격 서명으로 변환할 수 있습니다. 이러한 Snort IPS 규칙은 악의적인 공격을 탐지하는 데 도움이 됩니다.
침입 탐지 및 방지(IDP)는 공격 탐지에 도움이 되는 서명을 사용하여 네트워크를 보호합니다. Snort는 오픈 소스 침입 침입 방지 시스템(IPS)입니다.
IDP 시스템은 Snort IPS 서명을 지원합니다. Juniper Integration of Snort Tool(JIST)을 사용하여 Snort IPS 규칙을 Juniper IDP 사용자 지정 공격 서명으로 변환할 수 있습니다. 이러한 Snort IPS 규칙은 악의적인 공격을 탐지하는 데 도움이 됩니다.
- JIST는 기본적으로 Junos OS에 포함되어 있습니다. 이 툴은 Snort 버전 2 및 버전 3 규칙을 지원합니다.
- JIST는 snort-ids가 있는 Snort 규칙을 Junos OS에서 해당 snort-id를 사용자 지정 공격 이름으로 사용하는 동등한 사용자 지정 공격 서명으로 변환합니다.
- Snort IPS 규칙과
request함께 명령을 실행하면 JIST는 Snort IPS 규칙과 동일한 명령을 생성합니다set.request security idp jist-conversion명령을 사용하여 명령을 CLI 출력으로 생성합니다set. 명령을 로드set하려면 문을 사용하거나load set terminal구성 모드에서 명령을 복사하여 붙여넣은 다음 커밋합니다. 그런 다음 변환된 사용자 지정 공격 서명으로 기존 침입 탐지 및 방지(IDP) 정책을 구성할 수 있습니다. - 변환되지 않은 모든 Snort IPS 규칙 파일은 /tmp/jist-failed.rules에 기록됩니다. 변환 중에 생성된 오류 로그 파일은 /tmp/jist-error.log에 기록됩니다.
- jist-package 버전을 보려면 명령을 사용합니다
show security idp jist-package-version.
Snort IPS 시그니처의 이점
- 악의적인 공격을 탐지하는 데 도움이 됩니다.