PCAP용 IDP 유틸리티
패킷 캡처 이해하기
SRX300, SRX320, SRX340, SRX345, SRX550 SRX550HM 디바이스에서는 침입 탐지 및 방지(IDP) 확인 프로세스를 개선하기 위해 패킷 캡처(PCAP) 트래픽에 대해서만 컨텍스트 및 관련 데이터를 표시하고 지우기 위해 CLI 명령이 도입되었습니다.
inet 모드 또는 투명 모드에서 패킷 캡처 유틸리티를 실행하여 프로토콜 컨텍스트를 생성할 수 있습니다. UNIX 셸 프롬프트(%)에서 명령줄 PCAP 피더 유틸리티 도구를 실행해야 합니다.
PCAP 피더 유틸리티는 트래픽에서 사용할 수 있는 소스 및 대상 IPv4 주소 쌍, 패킷이 공급될 인터페이스 및 이러한 PCAP가 삽입되는 인터페이스에 대해 구성된 IPV4 주소를 사용합니다. PCAP가 이러한 인터페이스에 공급되면 PCAP 및 데이터와 연결된 컨텍스트 목록이 컨텍스트와 일치합니다. 컨텍스트, 히트 및 관련 데이터는 PCAP 피더에서 생성된 트래픽에 대해서만 표시됩니다. 실시간 트래픽 통계는 캡처되지 않습니다. 패킷을 공급하는 동안 인터페이스의 서브넷 IP에 패킷을 공급해야 합니다. 인터페이스 IP에 패킷을 공급하는 경우, 침입 탐지 및 방지(IDP) 보안 처리가 컨텍스트를 감지하지 못할 수 있습니다. 인터페이스 IP를 제외하고 다른 모든 서브넷 IP를 사용할 수 있습니다.
PCAP 피더 유틸리티 도구를 통해 새 PCAP를 실행하기 전에 다음 clear contexts 명령을 사용하여 기존 컨텍스트 및 데이터를 지웁니다.
[edit security] user@host> clear security idp attack context user@host> clear security flow session interface <intf1> user@host> clear security flow session interface <intf2> user@host> clear security flow session idp user@host> clear security idp attack table
Inet 모드 PCAP 피더에 사용되는 샘플 명령:
% pcapfeed –verbose --interface-ip1 5.0.0.13 --interface-ip2 15.0.0.14 --pcap-ip1 6.0.0.1 --pcap-ip2 7.0.0.1 --interface1 ge-0/0/6 --interface2 ge-0/0/7 --pcap /var/tmp/http.pcap
또는
% pcapfeed –quiet --interface-ip1 5.0.0.13 --interface-ip2 15.0.0.14 --pcap-ip1 6.0.0.1 --pcap-ip2 7.0.0.1 --interface1 ge-0/0/6 --interface2 ge-0/0/7 --pcap /var/tmp/http.pcap
투명 모드 PCAP 피더에 사용되는 샘플 명령:
% pcapfeed –verbose –transparent --pcap-ip1 6.0.0.1 --pcap-ip2 7.0.0.1 --interface1 ge-0/0/6 --interface2 ge-0/0/7 --pcap /var/tmp/http.pcap
또는
% pcapfeed –quiet –transparent --pcap-ip1 6.0.0.1 --pcap-ip2 7.0.0.1 --interface1 ge-0/0/6 --interface2 ge-0/0/7 --pcap /var/tmp/http.pcap
표 1 은 위에 제공된 샘플 출력에서 PCAP 피더 도구 필드를 정의합니다.
Fields |
Description |
pcap --조용한 |
로그에 로그가 표시되지 않도록 합니다 |
pcap --verbose |
콘솔에 로그가 표시되도록 합니다. |
인터페이스-ip1 |
PCAP 패킷을 공급하기 위한 첫 번째 인터페이스의 IP 주소 |
인터페이스-ip2 |
PCAP 패킷을 공급하기 위한 다른 인터페이스의 IP 주소 |
PCAP-IP1 |
PCAP에 표시되는 IP 주소 |
PCAP-IP2〈블랙〉 |
PCAP에 표시되는 다른 IP 주소 |
인터페이스1 |
SRX 디바이스의 인터페이스 1 |
인터페이스2 |
SRX 디바이스의 인터페이스 1 |
PCAP 피더는 다음을 지원하지 않습니다.
IPv6 (영어)
FTP와 같은 다중 채널 프로토콜
예: inet 모드에서 패킷 캡처 피더 구성
이 예에서는 inet 모드에서 패킷 캡처(PCAP) 피더를 실행하여 프로토콜 컨텍스트를 생성하는 방법을 설명합니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
개요
관련 침입 탐지 및 방지(IDP) 정책과 함께 PCAP 피더를 실행하여 관련 프로토콜 컨텍스트를 가져옵니다. 이 예에서 PCAP는 자동 모드에서 pcap-ip1 6.0.0.1 및 pcap-ip2 7.0.0.1을 사용하여 공급됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit]
CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security idp idp-policy idppolicy rulebase-ips rule 1 match from-zone any set security idp idp-policy idppolicy rulebase-ips rule 1 match source-address any set security idp idp-policy idppolicy rulebase-ips rule 1 match to-zone any set security idp idp-policy idppolicy rulebase-ips rule 1 match destination-address any set security idp idp-policy idppolicy rulebase-ips rule 1 match application default set security idp idp-policy idppolicy rulebase-ips rule 1 match attacks predefined-attack-groups “HTTP - All” set security idp idp-policy idppolicy rulebase-ips rule 1 then action close-client-and-server set security idp idp-policy idppolicy rulebase-ips rule 1 then notification log-attacks set security forwarding-options family inet6 mode flow-based set security policies from-zone trust to-zone untrust policy 1 match source-address any set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit application-services idp-policy idppolicy set security policies from-zone untrust to-zone trust policy 1 match source-address any set security policies from-zone untrust to-zone trust policy 1 match destination-address any set security policies from-zone untrust to-zone trust policy 1 match application any set security policies from-zone untrust to-zone trust policy 1 then permit application-services idp-policy idppolicy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust application-tracking set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set interfaces ge-0/0/0 unit 0 family inet address 5.0.0.15/24 set interfaces ge-0/0/2 unit 0 family inet address 15.0.0.16/24
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
애플리케이션을 생성하여 침입 탐지 및 방지(IDP) 정책과 연결하려면 다음을 수행합니다.
의미 있는 이름을 할당하여 정책을 만들고, 규칙 베이스를 정책과 연결하고, 규칙 베이스에 규칙을 추가하고, 규칙에 대한 일치 기준을 정의합니다.
[edit security] user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match from-zone any user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match source-address any user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match to-zone any user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match destination-address any user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match application default user@host#set idp idp-policy idppolicy rulebase-ips rule 1 match attacks predefined-attack-groups “HTTP - All” user@host#set idp idp-policy idppolicy rulebase-ips rule 1 then action close-client-and-server user@host#set idp idp-policy idppolicy rulebase-ips rule 1 then notification log-attacks user@host#set forwarding-options family inet6 mode flow-based
정책을 구성합니다.
[edit security] user@host#set policies from-zone trust to-zone untrust policy 1 match source-address any user@host#set policies from-zone trust to-zone untrust policy 1 match destination-address any user@host#set policies from-zone trust to-zone untrust policy 1 match application any user@host#set policies from-zone trust to-zone untrust policy 1 then permit application-services idp-policy idppolicy user@host#set policies from-zone untrust to-zone trust policy 1 match source-address any user@host#set policies from-zone untrust to-zone trust policy 1 match destination-address any user@host#set policies from-zone untrust to-zone trust policy 1 match application any user@host#set policies from-zone untrust to-zone trust policy 1 then permit application-services idp-policy idppolicy
영역을 구성하고 인터페이스를 할당합니다.
[edit security] user@host# set zones security-zone untrust host-inbound-traffic system-services all user@host# set zones security-zone untrust host-inbound-traffic protocols all user@host# set zones security-zone untrust interfaces ge-0/0/0.0 user@host# set zones security-zone untrust application-tracking user@host# set zones security-zone trust host-inbound-traffic system-services all user@host# set zones security-zone trust host-inbound-traffic protocols all user@host# set zones security-zone trust interfaces ge-0/0/2.0
포워딩 인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 5.0.0.15/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 15.0.0.16/24
결과
구성 모드에서 및 show applications
명령을 입력하여 show security idp
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security idp idp-policy idppolicy { rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; application default; } then { action { close-client-and-server; } notification { log-attacks; } } } } }
[edit] user@host# show security policies from-zone trust to-zone untrust { policy 1 { match { source-address any; destination-address any; application any; } then { permit { application-services { idp-policy idppolicy; } } } }
[edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } application-tracking; }
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 5.0.0.15/24; } } } ge-0/0/2 { unit 0 { family inet { address 15.0.0.16/24; } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
구성 확인
목적
PCAP 피더 도구를 사용하여 PCAP를 실행한 후 침입 탐지 및 방지(IDP) 공격 컨텍스트를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security idp attack context
.
샘플 출력
명령 이름
user@host> show security idp attack context IDP context statistics: Context name #Hits #Data http-url 1 / http-get-url 1 / http-header-host 1 7.0.0.1 http-header-user-agent 1 lwp-request/5.827 libwww-perl/5.833 http-header 2 te: deflate,gzip;q=0.3 && connection: TE, close http-request 1 GET / HTTP/1.1 http-request-method 1 GET / HTTP/1.1
예: 투명 모드에서 패킷 캡처 피더 구성
이 예에서는 투명 모드에서 패킷 캡처(PCAP) 피더를 실행하여 프로토콜 컨텍스트를 생성하는 방법을 설명합니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
개요
관련 침입 탐지 및 방지(IDP) 정책으로 일부 PCAP 피더를 실행하여 패킷 캡처에서 실행 중인 패킷에서 관련 프로토콜 컨텍스트를 가져옵니다. 이 예에서 PCAP 피더 pcap-ip 2 7.0.0.1
는 패킷을 공급하기 위해 자동 모드에서 사용됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit]
CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set groups global protocols l2-learning global-mode transparent-bridge set security idp idp-policy idppolicy rulebase-ips rule 1 match from-zone any set security idp idp-policy idppolicy rulebase-ips rule 1 match source-address any set security idp idp-policy idppolicy rulebase-ips rule 1 match to-zone any set security idp idp-policy idppolicy rulebase-ips rule 1 match destination-address any set security idp idp-policy idppolicy rulebase-ips rule 1 match application default set security idp idp-policy idppolicy rulebase-ips rule 1 match attacks predefined-attack-groups “HTTP - All” set security idp idp-policy idppolicy rulebase-ips rule 1 then action close-client-and-server set security idp idp-policy idppolicy rulebase-ips rule 1 then notification log-attacks set security policies from-zone trust to-zone untrust policy 1 match source-address any set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit application-services idp-policy idppolicy set security policies from-zone untrust to-zone trust policy 1 match source-address any set security policies from-zone untrust to-zone trust policy 1 match destination-address any set security policies from-zone untrust to-zone trust policy 1 match application any set security policies from-zone untrust to-zone trust policy 1 then permit application-services idp-policy idppolicy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust application-tracking set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 301 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 301 set interfaces irb unit 301 family inet address 1.1.1.11/8 set vlans bd-vlan-301 vlan-id 301 set vlans bd-vlan-301 l3-interface irb.301
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
애플리케이션을 생성하여 침입 탐지 및 방지(IDP) 정책과 연결하려면 다음을 수행합니다.
구성 그룹을 설정합니다.
[edit] user@host#set groups global protocols l2-learning global-mode transparent-bridge
의미 있는 이름을 할당하여 정책을 만들고, 규칙 베이스를 정책과 연결하고, 규칙 베이스에 규칙을 추가하고, 규칙에 대한 일치 기준을 정의합니다.
[edit security] user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match from-zone any user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match source-address any user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match to-zone any user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match destination-address any user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match application default user@host# set idp idp-policy idppolicy rulebase-ips rule 1 match attacks predefined-attack-groups “HTTP - All” user@host# set idp idp-policy idppolicy rulebase-ips rule 1 then action close-client-and-server user@host# set idp idp-policy idppolicy rulebase-ips rule 1 then notification log-attacks user@host# set forwarding-options family inet6 mode flow-based
정책을 구성합니다.
[edit security] user@host# set policies from-zone trust to-zone untrust policy 1 match source-address any user@host# set policies from-zone trust to-zone untrust policy 1 match destination-address any user@host# set policies from-zone trust to-zone untrust policy 1 match application any user@host# set policies from-zone trust to-zone untrust policy 1 then permit application-services idp-policy idppolicy user@host# set policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set policies from-zone untrust to-zone trust policy 1 match application any user@host# set policies from-zone untrust to-zone trust policy 1 then permit application-services idp-policy idppolicy
영역을 구성하고 인터페이스를 할당합니다.
[edit security] user@host# set zones security-zone untrust host-inbound-traffic system-services all user@host# set zones security-zone untrust host-inbound-traffic protocols all user@host# set zones security-zone untrust interfaces ge-0/0/0.0 user@host# set zones security-zone untrust application-tracking user@host# set zones security-zone trust host-inbound-traffic system-services all user@host# set zones security-zone trust host-inbound-traffic protocols all user@host# set zones security-zone trust interfaces ge-0/0/2.0
포워딩 인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 301 user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 301 user@host# set interfaces irb unit 301 family inet address 1.1.1.11/8
VLAN-ID를 구성합니다.
[edit] user@host# set vlans bd-vlan-301 vlan-id 301 user@host# set vlans bd-vlan-301 l3-interface irb.301
결과
구성 모드에서 및 show applications
명령을 입력하여 show security idp
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security idp idp-policy idppolicy { rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; application default; } then { action { close-client-and-server; } notification { log-attacks; } } } } }
[edit] user@host# show security policies from-zone untrust to-zone trust { policy 1 { match { source-address any; destination-address any; application any; } then { permit { application-services { idp-policy idppolicy; } } } } } default-policy { permit-all; }
[edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; ge-0/0/2.0; } advance-policy-based-routing-profile { p1; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; ge-0/0/2.0; ge-0/0/3.0; ge-0/0/0.0; } application-tracking; }
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 4.0.0.1/24; } family ethernet-switching { interface-mode access; vlan { members 301; } } } } ge-0/0/2 { unit 0 { family inet { address 192.0.3.1/24; } family ethernet-switching { interface-mode access; vlan { members 301; } } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
구성 확인
목적
PCAP 피더 도구를 사용하여 PCAP를 실행한 후 침입 탐지 및 방지(IDP) 공격 컨텍스트를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security idp attack context
.
샘플 출력
명령 이름
user@host> show security idp attack context IDP context statistics: Context name #Hits #Data http-url 1 / http-get-url 1 / http-header-host 1 7.0.0.1 http-header-user-agent 1 lwp-request/5.827 libwww-perl/5.833 http-header 2 te: deflate,gzip;q=0.3 && connection: TE, close http-request 1 GET / HTTP/1.1 http-request-method 1 GET / HTTP/1.1