Captura de paquetes de seguridad de IDP
En este tema se describe cómo capturar paquetes antes y después de un ataque para determinar los detalles del ataque y crear firmas. Cubre la habilitación de la captura de paquetes para reglas específicas, la configuración de la asignación de memoria y la transmisión de paquetes capturados a un dispositivo host para su análisis.
Una configuración de sensor IDP define las especificaciones del dispositivo para la captura de paquetes.
Para obtener más información, consulte los temas siguientes:
Descripción de la captura de paquetes de seguridad
Ver los paquetes que preceden y siguen a un ataque le ayuda a determinar el propósito y el alcance de un intento de ataque, si un ataque tuvo éxito y si un ataque causó algún daño a la red. El análisis de paquetes también ayuda a definir las firmas de ataque para minimizar los falsos positivos.
Si la captura de paquetes está habilitada cuando se registra un ataque, se puede capturar un número especificado de paquetes antes y después del ataque para la sesión. Cuando se han recopilado todos los paquetes, se transmiten en la interfaz de administración de dispositivos (DMI) a un dispositivo host para su análisis sin conexión.
Una opción de notificación en la regla de política de IDP habilita la captura de paquetes cuando se produce una coincidencia de regla. La opción define además el número de paquetes que se capturarán y la duración de la captura de paquetes para la sesión asociada.
Una configuración de sensor IDP define las especificaciones del dispositivo para la captura de paquetes. Las opciones de este comando determinan la memoria que se asignará para la captura de paquetes, así como los dispositivos host y de origen entre los que se transmitirá el objeto de captura de paquetes.
Un show comando muestra contadores de captura de paquetes que proporcionan detalles sobre el progreso, el éxito y el error de la actividad de captura de paquetes en el dispositivo.
La compatibilidad con la captura de paquetes solo está disponible una vez en cada sesión.
Cuando la captura de paquetes se configura con un valor de parámetro de configuración previo al ataque mejorado, el uso de recursos aumenta proporcionalmente y puede afectar al rendimiento del dispositivo.
- Compatibilidad de cifrado para la captura de paquetes IDP
- Compatibilidad con la captura de paquetes internos en el cuadro
Compatibilidad de cifrado para la captura de paquetes IDP
A partir de Junos OS versión 22.1R1, puede habilitar una conexión SSL o TLS segura y enviar un registro cifrado de captura de paquetes IDP al receptor de captura de paquetes. Para establecer la conexión SSL o TLS, debe especificar el nombre del perfil de iniciación SSL que desea utilizar en la configuración del registro de paquetes IDP. El firewall de la serie SRX es el cliente SSL o TLS y el receptor de captura de paquetes es el servidor SSL o TLS.
El IDP usa una conexión SSL o TLS segura para enviar los registros de paquetes IDP al host configurado para todas las sesiones (cifradas y no cifradas) dentro de un sistema lógico o un sistema de inquilinos, si la compatibilidad con el cifrado está habilitada en la configuración del registro de paquetes. Una vez que los registros de paquetes se envían al receptor de captura de paquetes, la conexión SSL se cierra.
Anteriormente, cuando se enviaba tráfico cifrado para su inspección, el IDP recibía el tráfico descifrado mediante el proxy SSL e inspeccionaba este tráfico para detectar ataques. Si se detectaba un ataque y se configuraba el registro de paquetes, los paquetes descifrados se enviaban como parte del registro de paquetes al host configurado a través del tráfico UDP. Esta transmisión de registro de paquetes sin cifrado no está protegida, especialmente cuando el registro de paquetes capturado es para tráfico cifrado.
Cuando la compatibilidad con el cifrado está habilitada, el perfil SSL debe configurarse en cada sistema lógico por separado. La configuración del sensor IDP realizada en el sistema lógico raíz para los parámetros de transporte no se puede utilizar para los otros sistemas lógicos o sistemas inquilinos.
La conexión SSL o TLS para los registros de paquetes IDP se establece de la siguiente manera:
-
Cuando se inicia el proceso de registro de paquetes, si no hay conexión SSL o TLS con el host, se establece una nueva conexión SSL para enviar los registros de paquetes.
-
Durante la transmisión del registro de paquetes, si existe una conexión SSL o TLS, se reutiliza la misma conexión.
-
Cuando se detiene el registro de paquetes, los paquetes capturados se envían a través de la conexión SSL o TLS establecida.
- Cuando hay una sesión de transmisión de paquetes SSL o TLS ocupada y si hay una nueva solicitud de registro de paquetes del host, esos registros de paquetes se devuelven y se envían solo cuando se completa la sesión SSL existente.
La configuración de registro de paquetes de IDP ahora admite la configuración de nombre de perfil SSL. Puede utilizar esta configuración actualizada de registros de paquetes para establecer una conexión SSL segura para los registros de paquetes de IDP.
Los comandos de registro de paquetes IDP actualizados con la configuración SSL son:
set security idp sensor-configuration packet-log ssl-profile-name < profile-name>- Para sesiones dentro de un sistema lógico-
set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name> -
Para sesiones dentro de un sistema de inquilinos-
set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
El nombre de perfil mencionado en estos comandos debe configurarse en la configuración del perfil de iniciación SSL. La configuración del perfil de iniciación SSL realiza los certificados SSL necesarios y las operaciones de protocolo de enlace SSL para establecer una conexión segura. Las versiones de SSL se eligen en función de la configuración de inicio de SSL.
Si el nombre del perfil SSL no está configurado en la configuración del perfil de inicio SSL, se muestra el siguiente mensaje El perfil de inicio SSL referenciado no está definido.
Para ver los nuevos contadores de registro de paquetes, use el show security idp counters packet-log comando.
Beneficios
-
Proporciona privacidad y seguridad de los datos mediante claves SSL y TLS y un mecanismo de cifrado de certificados.
-
Permite la transmisión de información privada potencial a entidades compartidas en una red.
Compatibilidad con la captura de paquetes internos en el cuadro
Cuando se produce un ataque, los paquetes se capturan mediante la característica de registro de paquetes IDP y el comportamiento del ataque se analiza sin conexión. A veces, un dispositivo recopilador de registros, como Security Director, no está disponible para la recopilación sin conexión de los paquetes capturados. En tales casos, a partir de Junos OS versión 23.1R1, los paquetes capturados ahora se pueden almacenar localmente en el firewall de la serie SRX y los detalles se pueden ver en la interfaz de usuario o J-Web.
Las configuraciones de registro de paquetes IDP existentes se usan como de costumbre y puede usar los comandos para establecer el registro de paquetes para la regla de IDP. Puede usar el set security idp sensor-configuration packet-log local-storage comando para almacenar los paquetes capturados en el dispositivo.
Si usa esta configuración, no hay ningún cambio en el envío del registro de paquetes al host o recopilador externo si los detalles están configurados para el host.
El tráfico capturado se almacena en /var/log/pcap/idp/. El nombre del archivo PCAP se basa en la marca de tiempo, el ID del registro de ataques y el número del paquete desencadenante.
Puede restringir el número de archivos PCAP que se crean mediante la función de rotación de registros que se proporciona. Utilice la siguiente configuración para limitar el número de archivos PCAP que deben crearse en /var/log/pcap/idp:
set security idp sensor-configuration packet-log local-storage max-files <1..5000>
El valor predeterminado es 500.
La siguiente configuración se utiliza para establecer el límite del espacio máximo en disco que se utilizará para almacenar los archivos PCAP.
set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>
El valor predeterminado es 100M y el mínimo es 1M.
Los contadores indican las estadísticas de captura en caja. Se agregan nuevos contadores a los contadores de registro de paquetes existentes. Puede ver los detalles de los contadores de registro de paquetes mediante el siguiente comando:
user@host> show security idp counters packet-log
IDP counters: Total packets sent for local packet capture 0 Total sessions enabled for local packet capture 0 Sessions currently enabled for local packet capture 0 Packets currently captured for local enabled sessions 0 Packet clone failures for local capture 0 Total failures sending packets captured to RE 0
Ahora se establece un indicador en el syslog de cierre de sesión existente cuando se genera un archivo de captura de paquetes en caja para esta sesión. El penúltimo parámetro del siguiente ejemplo (128 - estadísticas de características para la sesión) lo indica. El siguiente es un ejemplo:
RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A
Los siguientes son los otros comandos útiles:
-
Use
delete security idp sensor-configuration packet-log local-storagey confirme para eliminar la configuración y comprometerse a deshabilitar el registro en caja. -
Utilice el comando
clear security idp counters packet-logclear counter para eliminar los detalles de captura en caja. -
Utilícelo
request security idp storage-cleanup packet-capturepara borrar todos los archivos capturados.
Ver también
Ejemplo: configuración de la captura de paquetes de seguridad
En este ejemplo se muestra cómo configurar la captura de paquetes de seguridad.
Requisitos
Antes de comenzar, configure las interfaces de red.
Visión general
En este ejemplo, se configura una captura de paquetes para la regla 1 de la directiva pol0. La regla especifica que, si se produce un ataque, se capturará 1 paquete antes del ataque y 3 paquetes después del ataque, y que la captura posterior al ataque debe agotar el tiempo de espera después de 60 segundos. La configuración del sensor se modifica para asignar el 5 por ciento de la memoria disponible y el 15 por ciento de las sesiones de IDP a la captura de paquetes. Cuando el objeto de captura de paquetes está preparado, se transmite desde el dispositivo 10.56.97.3 al puerto 5 en el dispositivo 10.24.45.7.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security idp idp-policy pol0 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60 set security idp sensor-configuration packet-log total-memory 5 max-sessions 15 source-address 10.56.97.3 host 10.24.45.7 port 5 set security idp sensor-configuration log suppression disable set security idp idp-policy pol0 rulebase-ips rule 1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy pol0 rulebase-ips rule 1 then action drop-packet
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar la captura de paquetes de seguridad:
-
Cree una política de desplazados internos.
[edit] user@host# edit security idp idp-policy pol0
-
Asocie una base de reglas a la directiva.
[edit edit security idp idp-policy pol0] user@host# edit rulebase-ips
-
Agregar reglas a la base de reglas.
[edit edit security idp idp-policy pol0 rulebase-ips] user@host# edit rule 1
-
Especifique la notificación, defina el tamaño y las restricciones de tiempo para cada captura de paquete.
[edit security idp idp-policy pol0 rulebase-ips rule 1 ] user@host# set then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60
-
Defina un ataque como criterio de coincidencia.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
-
Especifique una acción para la regla.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host#set then action drop-packet
-
Habilite la configuración del sensor idp de seguridad.
[edit] user@host# edit security idp sensor-configuration
-
(Opcional) Deshabilite la supresión del registro de configuración del sensor idp de seguridad.
[edit] user@host# set security idp sensor-configuration log suppression disable
Nota:Cuando la supresión de registros de IDP está habilitada (que es el comportamiento predeterminado), durante incidentes de alto volumen o ataques repetitivos que coinciden con una sola firma, es posible que el firewall de la serie SRX no genere una captura de paquetes (PCAP) y que no se reenvíe al recopilador. Se recomienda deshabilitar la supresión de registros de IDP si necesita registros PCAP para cada ataque.
-
Asigne los recursos del dispositivo que se utilizarán para la captura de paquetes.
[edit security idp sensor-configuration] user@host# set packet-log total-memory 5 max-sessions 15
-
Identifique los dispositivos de origen y host para transmitir el objeto de captura de paquetes.
[edit security idp sensor-configuration] user@host# set packet-log source-address 10.56.97.3 host 10.24.45.7 port 5
- Habilite la conexión SSL o TLS segura para cifrar el registro de paquetes IDP enviado al host configurado (receptor PCAP).
[edit security idp sensor-configuration] user@host# set packet-log ssl-profile-name ssl3
[edit](Logical Systems) user@host# set logical system LS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
[edit(Tenant Systems) user@host# set tenants TS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
El nombre del perfil SSL mencionado anteriormente debe configurarse en la configuración del perfil de iniciación SSL. Todas las versiones de SSL y TLS compatibles con la configuración de iniciación SSL son compatibles con esta conexión SSL o TLS de registro de paquetes IDP. Solo puede elegir la versión de SSL o TLS configurada en la configuración de inicio de SSL.
Ejecute el user@host# show services ssl initiation | display set para ver el nombre de perfil SSL configurado en la iniciación de SSL y utilice la versión necesaria de SSL o TLS.
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security idp comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security idp
idp-policy pol0 {
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attack-groups TELNET-Critical;
}
}
then {
action {
drop-packet;
}
notification {
packet-log {
pre-attack 1;
post-attack 3;
post-attack-timeout 60;
}
}
}
}
}
}
sensor-configuration {
log {
suppression {
disable;
}
}
packet-log {
total-memory {
5;
}
max-sessions {
15;
}
source-address 10.56.97.3;
host {
10.24.45.7;
port 5;
}
##
## Warning: Referenced SSL initiation profile is not defined
##
ssl-profile-name ssl3;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificación de la captura de paquetes de seguridad
Propósito
Verifique la captura de paquetes de seguridad.
Acción
Desde el modo operativo, ingrese el show security idp counters packet-log comando.
user@host> show security idp counters packet-log
IDP counters: Value Total packets captured since packet capture was activated 0 Total sessions enabled since packet capture was activated 0 Sessions currently enabled for packet capture 0 Packets currently captured for enabled sessions 0 Packet clone failures 0 Session log object failures 0 Session packet log object failures 0 Sessions skipped because session limit exceeded 0 Packets skipped because packet limit exceeded 0 Packets skipped because total memory limit exceeded 0
Ejemplo: configurar la captura de paquetes para la depuración de rutas de datos
En este ejemplo se muestra cómo configurar la captura de paquetes para supervisar el tráfico que pasa por el dispositivo. La captura de paquetes luego vuelca los paquetes en un formato de archivo PCAP que puede ser examinado posteriormente por la utilidad tcpdump.
Requisitos
Antes de comenzar, consulte Depurar la ruta de datos (procedimiento de la CLI).
Visión general
Se define un filtro para filtrar el tráfico; A continuación, se aplica un perfil de acción al tráfico filtrado. El perfil de acciones especifica una variedad de acciones en la unidad de procesamiento. Una de las acciones admitidas es el volcado de paquetes, que envía el paquete al motor de enrutamiento y lo almacena en forma propietaria para leerlo con el show security datapath-debug capture comando.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración enla Guía del usuario de CLI de Junos OS.
Para configurar la captura de paquetes:
Edite la opción security datapath-debug para las varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes:
[edit] user@host# edit security datapath-debug
Habilite el archivo de captura, el formato de archivo, el tamaño del archivo y el número de archivos. El número de tamaño limita el tamaño del archivo de captura. Una vez alcanzado el tamaño límite, si se especifica el número de archivo, el archivo de captura se rotará a filename x, donde x se incrementará automáticamente hasta que alcance el índice especificado y, a continuación, vuelva a cero. Si no se especifica ningún índice de archivos, los paquetes se descartarán después de alcanzar el límite de tamaño. El tamaño predeterminado es 512 kilobytes.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Habilite el perfil de acción y establezca el evento. Establezca el perfil de acción como do-capture y el tipo de evento como np-ingress:
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Habilite el volcado de paquetes para el perfil de acción:
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Habilite las opciones de filtro, acción y filtro de paquetes. El filtro de paquetes se establece en mi-filtro, el perfil de acción se establece en do-capture y la opción de filtro se establece en source-prefix 1.2.3.4/32.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security datapath-debug comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 1.2.3.4/32
action-profile do-capture
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificación de la captura de paquetes
- Comprobación de la captura de depuración de rutas de datos
- Contador de depuración de comprobación de rutas de datos
Verificación de la captura de paquetes
Propósito
Compruebe si la captura de paquetes funciona.
Acción
Desde el modo operativo, escriba el comando para iniciar la request security datapath-debug capture start captura de paquetes y escriba el comando para detener la captura de request security datapath-debug capture stop paquetes.
Para ver los resultados, desde el modo operativo de la CLI, acceda al shell de UNIX local y navegue hasta el directorio /var/log/my-capture. El resultado se puede leer mediante la utilidad tcpdump.
Comprobación de la captura de depuración de rutas de datos
Propósito
Compruebe los detalles del archivo de captura de depuración de rutas de datos.
Acción
Desde el modo operativo, ingrese el show security datapath-debug capture comando.
user@host>show security datapath-debug capture
Cuando haya terminado de solucionar problemas, asegúrese de eliminar o desactivar todas las configuraciones de traceoptions (no limitadas a flow traceoptions) y la estrofa completa de configuración de datapath-debug de seguridad. Si alguna configuración de depuración permanece activa, seguirá utilizando los recursos de CPU y memoria del dispositivo.
Contador de depuración de comprobación de rutas de datos
Propósito
Compruebe los detalles del contador de depuración de rutas de datos.
Acción
Desde el modo operativo, ingrese el show security datapath-debug counter comando.
Registro de paquetes de seguridad IDP para sistemas lógicos y sistemas de inquilinos
A partir de Junos OS versión 21.3R1, puede capturar registros de paquetes de seguridad de IDP para sistemas lógicos y sistemas de inquilinos. Con la captura de paquetes habilitada en su dispositivo de seguridad, también puede especificar una serie de paquetes posteriores o posteriores al ataque que desea capturar. Después de configurar la captura de paquetes en el dispositivo de seguridad, el dispositivo recopila la información capturada y la almacena como un archivo de captura de paquetes (.pcap) en el nivel de sistemas lógicos y sistemas de inquilinos.
Al configurar registros de paquetes de seguridad de IDP para sistemas lógicos y sistemas de inquilinos, la configuración tiene el siguiente aspecto:
Configuración de ejemplo de registro de paquetes IDP
[edit logical-systems LSYS-1]
user@host# show
security {
idp {
sensor-configuration {
packet-log {
threshold-logging-interval 2;
source-address 192.168.0.0;
host {
172.16.0.0;
port 2050;
}
}
}
}
}
Ruta y accesibilidad
Puede especificar sensores de registro de paquetes en el nivel de sistemas lógicos y sistemas de inquilinos para almacenar los paquetes capturados en un dispositivo de destino (receptor PCAP). Para enviar y almacenar los paquetes capturados, debe agregar la dirección IP del dispositivo de destino en la configuración de sistemas lógicos y sistemas de inquilinos. De lo contrario, el dispositivo utiliza la dirección IP del dispositivo configurada en el nivel de sistemas lógicos raíz y sistemas inquilinos para enviar el paquete capturado. En este caso, los paquetes capturados no se almacenan en el nivel de sistemas lógicos y sistemas inquilinos.
Si los sistemas lógicos raíz y los sistemas inquilinos no incluyen la dirección IP del dispositivo de destino, el dispositivo de seguridad no podrá enviar el paquete capturado al destino.
Puede usar el show security idp counters packet log logical-system <logical-system-name> comando y marcar el campo de opción Packet log host route lookup failures para ver el número de veces que el dispositivo de seguridad no envió los paquetes capturados debido a la falta de detalles de la ruta.