IPS 시그니처 생성

이름

영숫자, 콜론, 마침표, 대시 및 밑줄로 구성된 고유한 문자열을 입력합니다. 공백은 허용되지 않으며 최대 길이는 63자입니다.

묘사

IPS 서명에 대한 설명을 입력합니다. 최대 길이는 1024자입니다.

범주

미리 정의된 범주 또는 새 범주를 입력합니다. 이 범주를 사용하여 공격 객체를 그룹화합니다. 각 범주 내에서 공격 객체는 심각도에 따라 그룹화됩니다. 예: FTP, TROJAN, SNMP.

행동

모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 IPS 서명이 수행할 작업을 선택합니다.

• 없음 - 아무 작업도 수행되지 않습니다. 이 작업을 사용하여 일부 트래픽에 대한 로그만 생성합니다.

• Close Client & Server(클라이언트 및 서버 닫기) - 연결을 닫고 클라이언트와 서버 모두에 RST 패킷을 전송합니다.

• Close Client(클라이언트 닫기) - 연결을 닫고 RST 패킷을 클라이언트로 전송하지만 서버에는 전송하지 않습니다.

• Close Server(서버 닫기) - 연결을 닫고 클라이언트가 아닌 서버에는 RST 패킷을 보냅니다.

• Ignore(무시) - 공격 일치가 발견되면 나머지 연결에 대한 트래픽 스캔을 중단합니다. IPS는 특정 연결에 대한 규칙 기반을 비활성화합니다.

• Drop—연결과 관련된 모든 패킷을 삭제하여 연결에 대한 트래픽이 대상에 도달하지 못하도록 합니다. 스푸핑이 발생하지 않는 트래픽에 대한 연결을 끊으려면 이 작업을 사용합니다.

• Drop Packet(패킷 삭제) - 목적지에 도달하기 전에 일치하는 패킷을 삭제하지만 연결을 닫지는 않습니다. 이 작업을 사용하면 UDP 트래픽과 같이 스푸핑이 발생하기 쉬운 트래픽의 공격에 대한 패킷을 드롭할 수 있습니다. 이러한 트래픽에 대한 연결을 끊으면 서비스 거부가 발생하여 합법적인 소스 IP 주소에서 트래픽을 수신하지 못할 수 있습니다.

키워드

로그 레코드를 검색하고 정렬하는 데 사용할 수 있는 고유 식별자를 입력합니다. 키워드는 공격 및 공격 대상과 관련이 있어야 합니다. 예를 들어 Amanda Amindexd Remote Overflow가 있습니다.

심각도

서명이 보고할 공격의 심각도 수준을 선택합니다.

• Critical(치명적) - 탐지를 회피하거나, 네트워크 디바이스 충돌을 유발하거나, 시스템 수준 권한을 얻으려는 시도와 일치하는 공격 개체를 포함합니다.

• Info(정보) - URL, DNS 조회 실패, SNMP 공용 커뮤니티 문자열 및 P2P(Peer-to-Peer) 매개 변수를 포함하는 일반적이고 무해한 트래픽과 일치하는 공격 객체를 포함합니다. 정보 공격 객체를 사용하여 네트워크에 대한 정보를 얻을 수 있습니다.

• Major—서비스를 중단하거나, 네트워크 디바이스에 대한 사용자 수준 액세스 권한을 얻거나, 이전에 디바이스에 로드된 트로이 목마를 활성화하려는 시도와 일치하는 공격 개체를 포함합니다.

• Minor—디렉터리 통과 또는 정보 유출을 통해 중요한 정보에 액세스하려는 정찰 시도를 탐지하는 익스플로잇과 일치하는 공격 개체를 포함합니다.

• 경고 - 중요하지 않은 정보를 얻거나 검사 도구를 사용하여 네트워크를 검사하려는 시도와 일치하는 공격 개체를 포함합니다.

가장 위험한 수준은 서버를 충돌시키거나 네트워크를 제어하려고 시도하는 위험입니다. 정보 제공은 가장 위험도가 낮은 수준으로, 네트워크 관리자가 보안 시스템의 허점을 발견하는 데 사용합니다.

서명 세부 정보

제본

공격이 네트워크에 진입하는 데 사용하는 서비스 또는 프로토콜을 탐지하는 옵션을 선택합니다.

• IP—IPS가 지정된 IP 프로토콜 유형에 대한 서명과 일치하도록 허용합니다.

• ICMP—IPS가 지정된 ICMP ID에 대한 서명을 일치시킬 수 있습니다.

• TCP - IPS가 지정된 TCP 포트의 서명과 일치하도록 허용합니다.

• UDP—IPS가 지정된 UDP 포트의 서명과 일치하도록 허용합니다.

• RPC—IPS가 지정된 RPC(원격 프로시저 호출) 프로그램 번호에 대한 서명을 일치시킬 수 있습니다. RPC 프로토콜은 분산 처리 애플리케이션에서 프로세스 간의 상호 작용을 원격으로 처리하는 데 사용됩니다.

• Service(서비스) - IPS가 지정된 서비스에 대한 서명을 일치시킬 수 있습니다.

• IPv6 또는 ICMPv6 - 서명 공격에 대한 헤더 일치 정보를 지정합니다. IPS가 IPv6 및 ICMPv6 헤더 정보에 대한 패턴 일치를 위해 패킷을 검색하도록 지정할 수 있습니다.

프로토콜

네트워크 프로토콜의 이름을 입력합니다. 예: IGMP, IP-IP.

다음 머리글

IPv6 헤더 바로 뒤에 오는 헤더의 IP 프로토콜 유형을 입력합니다.

예를 들어 디바이스가 교환된 패킷에서 IPsec을 수행하는 경우 다음 헤더 값은 아마도 50(ESP 확장 헤더) 또는 51(AH 확장 헤더)일 것입니다.

포트 범위

TCP 및 UDP 프로토콜 유형에 대한 포트 범위를 입력합니다.

프로그램 번호

RPC 프로토콜의 프로그램 ID를 입력합니다.

서비스

공격이 네트워크에 진입하는 데 사용하는 서비스를 지정합니다. 공격을 수행하는 데 사용되는 특정 서비스를 서비스 바인딩으로 선택할 수 있습니다.

예를 들어 DISCARD 서비스를 선택한다고 가정합니다. 폐기 프로토콜은 TCP/9, UDP/9가 포트 9로 전송된 TCP 또는 UDP 데이터를 폐기하는 프로세스를 설명하는 애플리케이션 레이어 프로토콜입니다.

시간 범위

공격이 발생하는 범위를 선택합니다.

• 소스 IP—대상 주소에 관계없이 지정된 횟수만큼 소스 주소에서 공격을 탐지합니다.

• 대상 IP—소스 주소에 관계없이 지정된 횟수만큼 대상 주소로 전송된 공격을 탐지합니다.

• Peer—지정된 횟수만큼 세션의 소스 및 대상 IP 주소 간의 공격을 탐지합니다.

시간 카운트

디바이스가 공격 객체를 공격과 일치하는 것으로 간주하기 전에 공격 객체가 지정된 범위 내에서 공격을 탐지해야 하는 횟수를 지정합니다.

범위는 0에서 4,294,967,295까지입니다.

매치 보장(Match Assurance)

이 필터를 지정하여 공격이 네트워크에서 오탐을 생성하는 빈도를 기준으로 공격 객체를 추적합니다.

다음 옵션 중 하나를 선택합니다.

• 높음 - 자주 추적되는 오탐 발생에 대한 정보를 제공합니다.

• Medium(중간) - 가끔 추적되는 오탐 발생에 대한 정보를 제공합니다.

• 낮음 - 드물게 추적되는 오탐 발생에 대한 정보를 제공합니다.

성능 영향

이 필터를 지정하면 성능이 느린 공격 객체를 필터링할 수 있습니다. 이 필터를 사용하여 성능 영향에 따라 적절한 공격만 선택할 수 있습니다.

다음 옵션 중 하나를 선택합니다.

• 높음 - 공격에 취약한 고성능 충격 공격 객체를 추가합니다. 서명이 성능에 미치는 영향은 높음7에서 높음9 사이이며, 이 경우 애플리케이션 식별이 느립니다.

• 중간—공격에 취약한 중간 성능의 영향 공격 객체를 추가합니다. 서명이 성능에 미치는 영향은 중간4에서 중간6 사이이며, 애플리케이션 식별은 보통입니다.

• 낮음 - 공격에 취약한 저성능 영향 공격 객체를 추가합니다. 서명이 성능에 미치는 영향은 low1에서 low3 사이이며, 여기서 애플리케이션 식별이 더 빠릅니다.

• Unknown(알 수 없음) - 기본적으로 모든 공격 객체를 알 수 없음으로 설정합니다. 네트워크 트래픽에 대한 IPS를 미세 조정할 때 이 설정을 변경하여 성능에 미치는 영향을 추적할 수 있습니다. 서명의 성능 영향은 0 = 알 수 없음이며, 이 경우 응용 프로그램 ID도 알 수 없습니다.

식

공격 멤버가 일치해야 하는 방법을 식별하는 데 사용되는 공격 멤버의 부울 표현식을 입력합니다.

예: m01 AND m02, 여기서 m01, m02는 공격 멤버입니다.

범위

공격이 세션 내에서 일치하는지 아니면 세션의 트랜잭션 전체에서 일치하는지 지정합니다.

• session - 동일한 세션 내의 개체에 대해 여러 일치를 허용합니다.

• transaction - 동일한 세션 내에서 발생하는 여러 트랜잭션에서 개체를 일치시킵니다.

재설정

이 옵션을 사용하면 동일한 세션 내에서 공격이 탐지될 때마다 새 로그를 생성할 수 있습니다. 이 옵션을 선택하지 않으면 공격은 세션당 한 번만 기록됩니다.

주문

이 옵션을 활성화하면 지정한 순서대로 각 멤버, 서명 또는 프로토콜 이상과 일치해야 하는 복합 공격 객체를 생성할 수 있습니다. 순서를 지정하지 않으면 복합 공격 객체는 여전히 모든 구성원과 일치해야 하지만, 패턴 또는 프로토콜 이상은 어떤 순서로든 공격에서 나타날 수 있습니다.

복합 공격 객체는 취약성을 악용하기 위해 여러 방법을 사용하는 공격을 탐지합니다.

서명 추가

문맥

서명의 위치를 정의하는 옵션을 선택합니다.

서비스 및 특정 서비스 컨텍스트를 알고 있는 경우 해당 서비스를 지정한 다음 적절한 서비스 컨텍스트를 지정합니다.

서비스를 알고 있지만 특정 서비스 컨텍스트를 잘 모르는 경우 일반 컨텍스트 중 하나를 지정합니다.

예: line - 네트워크 트래픽 내의 특정 라인 내에서 패턴 일치를 탐지하려면 이 컨텍스트를 지정합니다.

방향

공격의 연결 방향을 지정합니다.

• 클라이언트에서 서버로—클라이언트에서 서버로의 트래픽에서만 공격을 탐지합니다.

• 서버 대 클라이언트—서버 대 클라이언트 트래픽에서만 공격을 탐지합니다.

• Any—어느 방향으로든 공격을 탐지합니다.

Any가 아닌 단일 방향을 사용하면 성능이 향상되고 오탐이 줄어들며 탐지 정확도가 높아집니다.

무늬

탐지할 공격의 시그니처 패턴을 입력합니다. 서명은 공격 내에 항상 존재하는 패턴입니다. 공격이 존재하면 서명도 존재합니다.

공격 패턴을 생성하려면 먼저 공격을 분석하여 패턴(예: 코드 세그먼트, URL 또는 패킷 헤더의 값)을 탐지한 다음 해당 패턴을 나타내는 구문 표현식을 생성해야 합니다.

예를 들어, 대소문자를 구분하지 않는 일치에는 \[<character-set>\]를 사용합니다.

정규식

네트워크에서 악의적이거나 원치 않는 동작과 일치하는 규칙을 정의하는 정규식을 입력합니다.

예를 들어, \[hello\] 구문의 경우 예상되는 패턴은 대/소문자를 구분하는 hello입니다.

일치하는 예는 hElLo, HEllO 및 heLLO일 수 있습니다.

부정

지정된 패턴을 매치에서 제외하려면 이 옵션을 선택합니다.

패턴을 부정한다는 것은 공격에 정의된 패턴이 지정된 패턴과 일치하지 않는 경우 공격이 일치하는 것으로 간주된다는 것을 의미합니다.

변칙 추가

변칙

사용 중인 특정 프로토콜에 대한 규칙 집합에 따라 연결 내에서 비정상적이거나 모호한 메시지를 감지하는 옵션을 선택합니다.

프로토콜 이상 징후 탐지는 RFC 및 일반적인 RFC 확장으로 정의되는 프로토콜 표준과의 편차를 찾아 작동합니다.

방향

공격의 연결 방향을 지정합니다.

• 클라이언트에서 서버로—클라이언트에서 서버로의 트래픽에서만 공격을 탐지합니다.

• 서버 대 클라이언트—서버 대 클라이언트 트래픽에서만 공격을 탐지합니다.

• Any—어느 방향으로든 공격을 탐지합니다.

Any가 아닌 단일 방향을 사용하면 성능이 향상되고 오탐이 줄어들며 탐지 정확도가 높아집니다.

지원되는 감지기

Supported Detectors(지원되는 탐지기) 링크를 클릭하여 장치 플랫폼 및 장치에서 현재 실행 중인 IPS 프로토콜 탐지기의 버전 번호를 보여 주는 테이블을 표시합니다.

예를 들어:

• 플랫폼 - SRX550

• 감지기 버전 - 9.1.140080400