IPS 시그니처 생성
시작하기 전에
IPS 시그니처 이해 주제 읽기
공격과 패턴이 무엇인지에 대한 기본적인 이해가 있어야 합니다.
IPS 정책 서명 기본 페이지를 검토하여 현재 데이터 세트를 이해하십시오. 필드 설명은 IPS 정책 시그니처 메인 페이지 필드를 참조하십시오.
Create IPS Signature(IPS 서명 생성) 페이지를 사용하여 침입을 모니터링하고 방지할 수 있습니다. 침입 방지 시스템(IPS)은 알려진 위협의 시그니처와 트래픽을 비교하여 위협이 탐지되면 트래픽을 차단합니다.
서명 데이터베이스는 IPS의 주요 구성 요소 중 하나입니다. 여기에는 IPS 정책 규칙을 정의하는 데 사용되는 공격 객체, 애플리케이션 시그니처 객체, 서비스 객체 등 다양한 객체의 정의가 포함됩니다. 이상 현상, 공격, 스파이웨어 및 애플리케이션을 식별하기 위한 8,500개 이상의 시그니처 제공.
IPS 정책을 체계적이고 관리하기 쉽게 유지하기 위해 공격 객체를 그룹화할 수 있습니다. 공격 객체 그룹에는 하나 이상의 공격 객체 유형이 포함될 수 있습니다. Junos OS는 다음과 같은 세 가지 유형의 공격 그룹을 지원합니다.
IPS 시그니처 - 시그니처 데이터베이스에 있는 개체를 포함합니다.
동적—특정 일치 기준에 따른 공격 객체를 포함합니다.
정적 - 고객이 정의한 공격 그룹을 포함하며 CLI를 통해 구성할 수 있습니다.
IPS 시그니처 구성 방법:
- Configure > IPS Policy > Signatures(IPS 정책 서명 구성)를 선택합니다.
- 만들기를 클릭합니다.
- IPS Signature(IPS 시그니처)를 선택합니다.
- 표 1에 제공된 지침에 따라 구성을 완료합니다.
- 확인을 클릭합니다.
사전 정의된 구성의 새 IPS 시그니처가 생성됩니다. IPS 정책에서 이 서명을 사용할 수 있습니다.
설정 |
가이드 |
---|---|
이름 |
영숫자 문자, 콜론, 마침표, 대시 및 밑줄의 고유한 문자열을 입력합니다. 공백은 허용되지 않으며 최대 길이는 63자입니다. |
설명 |
IPS 서명에 대한 설명을 입력합니다. 최대 길이는 1024자입니다. |
범주 |
미리 정의된 범주 또는 새 범주를 입력합니다. 이 범주를 사용하여 공격 객체를 그룹화합니다. 각 범주 내에서 공격 객체는 심각도에 따라 그룹화됩니다. 예: FTP, 트로이 목마, SNMP. |
작업 |
모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 IPS 시그니처가 수행할 작업을 선택합니다.
|
키워드 |
로그 레코드를 검색하고 정렬하는 데 사용할 수 있는 고유 식별자를 입력합니다. 키워드는 공격 및 공격 대상과 관련되어야 합니다. 예를 들어 Amanda Amindexd Remote Overflow입니다. |
심각도 |
시그니처가 보고할 공격의 심각도 수준을 선택합니다.
가장 위험한 수준은 서버를 충돌시키거나 네트워크를 제어하려고 시도하는 위험입니다. 정보 제공은 가장 위험하지 않은 수준으로, 네트워크 관리자가 보안 시스템의 허점을 발견하는 데 사용합니다. |
서명 세부 정보 |
|
바인딩 |
공격이 네트워크에 침입하는 데 사용하는 서비스 또는 프로토콜을 탐지하는 옵션을 선택합니다.
|
프로토콜 |
네트워크 프로토콜의 이름을 입력합니다. 예: IGMP, IP-IP. |
다음 머리글 |
IPv6 헤더 바로 뒤에 오는 헤더의 IP 프로토콜 유형을 입력합니다. 예를 들어, 디바이스가 교환된 패킷에서 IPsec을 수행하는 경우 다음 헤더 값은 50(ESP 확장 헤더) 또는 51(AH 확장 헤더)일 수 있습니다. |
포트 범위 |
TCP 및 UDP 프로토콜 유형에 대한 포트 범위를 입력합니다. |
프로그램 번호 |
RPC 프로토콜의 프로그램 ID를 입력합니다. |
서비스 |
공격이 네트워크에 진입하는 데 사용하는 서비스를 지정합니다. 공격을 수행하는 데 사용되는 특정 서비스를 서비스 바인딩으로 선택할 수 있습니다. 예를 들어, DISCARD 서비스를 선택한다고 가정해 보겠습니다. 폐기 프로토콜은 TCP/9, UDP/9가 포트 9로 전송된 TCP 또는 UDP 데이터를 폐기하는 프로세스를 설명하는 애플리케이션 계층 프로토콜입니다. |
시간 범위 |
공격 횟수가 발생하는 범위를 선택합니다.
|
시간 수 |
디바이스가 공격 객체가 공격과 일치하는 것으로 간주하기 전에 공격 객체가 지정된 범위 내에서 공격을 탐지해야 하는 횟수를 지정합니다. 범위는 0에서 4,294,967,295까지입니다. |
매치 어슈어런스(Match Assurance) |
이 필터를 지정하여 공격이 네트워크에서 오탐을 생성하는 빈도를 기반으로 공격 객체를 추적합니다. 다음 옵션 중 하나를 선택합니다.
|
성능 영향 |
이 필터를 지정하여 성능이 느린 공격 객체를 필터링합니다. 이 필터를 사용하여 성능에 미치는 영향에 따라 적절한 공격만 선택할 수 있습니다. 다음 옵션 중 하나를 선택합니다.
|
식 |
공격 멤버를 일치시켜야 하는 방식을 식별하는 데 사용되는 공격 멤버의 부울 표현식을 입력합니다. 예: m01 및 m02, 여기서 m01, m02는 공격 멤버입니다. |
범위 |
공격이 세션 내에서 일치하는지 또는 세션의 트랜잭션 간에 일치하는지 지정합니다.
|
재설정 |
이 옵션을 활성화하면 동일한 세션 내에서 공격이 탐지될 때마다 새 로그를 생성합니다. 이 옵션을 선택하지 않으면 공격이 세션당 한 번만 기록됩니다. |
주문 |
이 옵션을 활성화하면 지정한 순서대로 각 멤버 시그니처 또는 프로토콜 이상과 일치해야 하는 복합 공격 객체를 생성할 수 있습니다. 순서를 지정하지 않으면 복합 공격 객체는 여전히 모든 멤버와 일치해야 하지만, 패턴 또는 프로토콜 이상은 어떤 순서로든 공격에 나타날 수 있습니다. 복합 공격 객체는 여러 가지 방법을 사용하여 취약성을 악용하는 공격을 탐지합니다. |
서명 추가 |
|
컨텍스트 |
서명 위치를 정의하는 옵션을 선택합니다. 서비스 및 특정 서비스 컨텍스트를 알고 있는 경우 해당 서비스를 지정한 다음 적절한 서비스 컨텍스트를 지정합니다. 서비스를 알고 있지만 특정 서비스 컨텍스트를 잘 모르는 경우 일반 컨텍스트 중 하나를 지정합니다. 예: line - 네트워크 트래픽 내의 특정 라인 내에서 패턴 일치를 감지하려면 이 컨텍스트를 지정합니다. |
방향 |
공격의 연결 방향을 지정합니다.
Any 대신 단일 방향을 사용하면 성능이 향상되고, 오탐이 줄어들고, 탐지 정확도가 높아집니다. |
패턴 |
탐지하려는 공격의 시그니처 패턴을 입력합니다. 시그니처는 공격 내에 항상 존재하는 패턴입니다. 공격이 존재하면 시그니처도 존재합니다. 공격 패턴을 만들려면 먼저 공격을 분석하여 패턴(예: 코드 세그먼트, URL 또는 패킷 헤더의 값)을 감지한 다음 해당 패턴을 나타내는 구문 표현식을 만들어야 합니다. 예: 대소문자를 구분하지 않는 일치에는 \[<character-set>\]를 사용합니다. |
Regex |
정규식을 입력하여 네트워크를 통한 악의적 또는 원치 않는 동작과 일치하는 규칙을 정의합니다. 예: \[hello\] 구문의 경우 예상되는 패턴은 hello이며 대소문자를 구분합니다. 예를 들어 hElLo, HEllO 및 heLLO와 일치할 수 있습니다. |
부정 |
지정된 패턴이 일치하지 않도록 제외하려면 이 옵션을 선택합니다. 패턴을 부정한다는 것은 공격에 정의된 패턴이 지정된 패턴과 일치하지 않을 경우 공격이 일치하는 것으로 간주됨을 의미합니다. |
이상 징후 추가 |
|
변칙 |
사용 중인 특정 프로토콜에 대한 규칙 집합에 따라 연결 내에서 비정상적이거나 모호한 메시지를 감지하려면 옵션을 선택합니다. 프로토콜 이상 탐지는 대부분 RFC 및 일반적인 RFC 확장으로 정의되는 프로토콜 표준과의 편차를 찾는 방식으로 작동합니다. |
방향 |
공격의 연결 방향을 지정합니다.
Any 대신 단일 방향을 사용하면 성능이 향상되고, 오탐이 줄어들고, 탐지 정확도가 높아집니다. |
지원되는 감지기 |
Supported Detectors(지원되는 탐지기) 링크를 클릭하여 디바이스 플랫폼 및 디바이스에서 현재 실행 중인 IPS 프로토콜 탐지기의 버전 번호를 보여주는 테이블을 표시합니다. 예를 들어:
|