Captura de paquetes de seguridad DPI
En este tema se describe cómo capturar paquetes antes y después de un ataque para determinar los detalles del ataque y crear firmas. Abarca la habilitación de la captura de paquetes para reglas específicas, la configuración de la asignación de memoria y la transmisión de paquetes capturados a un dispositivo host para su análisis. Se introduce el soporte de cifrado mediante SSL/TLS para los registros de paquetes, junto con la capacidad de almacenar registros localmente.
Una configuración de sensor DPI define las especificaciones del dispositivo para la captura de paquetes.
Descripción de la captura de paquetes
La visualización de paquetes que preceden y siguen a un ataque lo ayuda a determinar el propósito y el alcance de un intento de ataque, si un ataque se realizó correctamente y si un ataque causó algún daño a la red. El análisis de paquetes también ayuda a definir las firmas de ataque para minimizar los falsos positivos.
Si la captura de paquetes está habilitada cuando se registra un ataque, se puede capturar un número especificado de paquetes antes y después del ataque para la sesión. Cuando se han recopilado todos los paquetes, se transmiten en la interfaz de administración de dispositivos (DMI) a un dispositivo host para su análisis sin conexión.
Una opción de notificación en la regla de política de DPI habilita la captura de paquetes cuando se produce una coincidencia de regla. La opción define con más detalle el número de paquetes que se van a capturar y la duración de la captura de paquetes para la sesión asociada.
Una configuración de sensor DPI define las especificaciones del dispositivo para la captura de paquetes. Las opciones de este comando determinan la memoria que se asignará para la captura de paquetes y los dispositivos de origen y host entre los que se transmitirá el objeto de captura de paquetes.
Un comando muestra contadores show de captura de paquetes que proporcionan detalles sobre el progreso, el éxito y el fracaso de la actividad de captura de paquetes en el dispositivo.
La compatibilidad con la captura de paquetes solo está disponible una vez en cada sesión.
Cuando la captura de paquetes se configura con un valor de parámetro de configuración previo al ataque mejorado, el uso de recursos aumenta proporcionalmente y puede afectar al rendimiento del dispositivo.
Soporte de cifrado para captura de paquetes DPI
Puede habilitar una conexión de capa de sockets seguros (SSL) o de seguridad de capa de transporte (TLS) y enviar un registro de captura de paquetes DPI cifrado al receptor de captura de paquetes. Para establecer la conexión SSL o TLS, debe especificar el nombre de perfil de inicio SSL que desea utilizar en la configuración del registro de paquetes DPI. El dispositivo de seguridad es el cliente SSL o TLS y el receptor de captura de paquetes es el servidor SSL o TLS.
El DPI utiliza una conexión SSL o TLS segura para enviar los registros del paquete DPI al host configurado para todas las sesiones (cifradas y no cifradas) dentro de un sistema lógico o un sistema inquilino, si la compatibilidad con cifrado está habilitada en la configuración del registro de paquetes. Una vez que los registros de paquetes se envían al receptor de captura de paquetes, se cierra la conexión SSL.
Anteriormente, cuando se enviaba tráfico cifrado para su inspección, el DPI recibía el tráfico descifrado mediante un proxy SSL y lo inspeccionaba para detectar ataques. Si se detectaba un ataque y se configuraba el registro de paquetes, los paquetes descifrados se enviaban como parte del registro de paquetes al host configurado a través del tráfico UDP. Esta transmisión de registro de paquetes sin cifrado no está protegida, especialmente cuando el registro de paquetes capturado es para tráfico cifrado.
Cuando se habilita la compatibilidad con cifrado, el perfil SSL se debe configurar en cada sistema lógico por separado. La configuración del sensor DPI realizada en el sistema lógico raíz para los parámetros de transporte no se puede utilizar para los demás sistemas lógicos o sistemas inquilinos.
La conexión SSL o TLS para los registros de paquetes DPI se establece de la siguiente manera:
-
Cuando se inicia el proceso de registro de paquetes, si no hay ninguna conexión SSL o TLS con el host, se establece una nueva conexión SSL para enviar los registros de paquetes.
-
Durante la transmisión del registro de paquetes, si existe una conexión SSL o TLS, se reutiliza la misma conexión.
-
Cuando se detiene el registro de paquetes, los paquetes capturados se transmiten a través de la conexión SSL o TLS establecida.
-
Si una sesión de transmisión de paquetes SSL o TLS está ocupada y llega una nueva solicitud de registro de paquetes del host, los nuevos registros de paquetes se ponen en cola y se envían solo después de que se complete la sesión SSL existente.
La configuración de registro de paquetes de DPI ahora admite la configuración de nombre de perfil SSL. Puede utilizar esta configuración de registro de paquetes actualizada para establecer una conexión SSL segura para los registros de paquetes DPI.
Los comandos de registro de paquetes DPI actualizados con configuración SSL son:
set security idp sensor-configuration packet-log ssl-profile-name < profile-name>- Para sesiones dentro de un sistema lógico:
set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name> -
Para sesiones dentro de un sistema de inquilinos-
set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
El nombre de perfil mencionado en estos comandos debe configurarse en la configuración del perfil de inicio SSL. La configuración del perfil de inicio SSL realiza los certificados SSL necesarios y las operaciones de apretón de manos SSL para establecer una conexión segura. Las versiones de SSL se eligen en función de la configuración de inicio de SSL.
Si el nombre del perfil SSL no está configurado en la configuración del perfil de inicio SSL, se mostrará el siguiente mensaje: El perfil de inicio SSL al que se hace referencia no está definido.
Para ver los nuevos contadores de registro de paquetes, utilice el show security idp counters packet-log comando.
Beneficios
-
Garantiza la privacidad y seguridad de los datos mediante claves SSL y TLS junto con cifrado basado en certificados.
-
Permite la compatibilidad con la transmisión por secuencias de información privada potencial a entidades compartidas en una red.
Soporte para captura de paquetes DPI en caja
Cuando se produce un ataque, los paquetes se capturan mediante la característica de registro de paquetes DPI y el comportamiento del ataque se analiza sin conexión. A veces, un dispositivo de recopilación de registros, como Security Director, no está disponible para la recopilación sin conexión de los paquetes capturados. En tales casos, los paquetes capturados se pueden almacenar localmente y los detalles se pueden ver en J-Web.
Las configuraciones de registro de paquetes de DPI existentes se utilizan como de costumbre y puede utilizar los comandos para establecer el registro de paquetes para la regla de DPI. Puede usar el set security idp sensor-configuration packet-log local-storage comando para almacenar los paquetes capturados en el dispositivo.
Si usa esta configuración, no hay ningún cambio en el envío del registro de paquetes al host o recopilador externo si los detalles están configurados para el host.
El tráfico capturado se almacena en /var/log/pcap/idp/. El nombre del archivo PCAP se basa en la marca de hora, el ID del registro de ataque y el número de paquete desencadenante.
Puede restringir el número de archivos PCAP que se crean mediante el recurso de rotación de registros que se proporciona. Utilice la siguiente configuración para limitar el número de archivos PCAP que se deben crear en /var/log/pcap/idp:
set security idp sensor-configuration packet-log local-storage max-files <1..5000>
El valor predeterminado es 500.
La siguiente configuración se utiliza para establecer el límite del espacio máximo en disco que se utilizará para almacenar los archivos PCAP.
set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>
El valor predeterminado es 100M y el mínimo es 1M.
Los contadores indican las estadísticas de captura en caja. Se agregan nuevos contadores a los contadores de registro de paquetes existentes. Puede ver detalles de los contadores de registro de paquetes mediante el siguiente comando:
user@host> show security idp counters packet-log
IDP counters: Total packets sent for local packet capture 0 Total sessions enabled for local packet capture 0 Sessions currently enabled for local packet capture 0 Packets currently captured for local enabled sessions 0 Packet clone failures for local capture 0 Total failures sending packets captured to RE 0
Ahora se establece una marca en el syslog de cierre de sesión existente cuando se genera un archivo de captura de paquetes integrado para esta sesión. El penúltimo parámetro del ejemplo siguiente (128 - estadísticas de características de la sesión) indica esto. El siguiente es un ejemplo:
RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A
Los siguientes son los otros comandos útiles:
-
Use
delete security idp sensor-configuration packet-log local-storagey confirme para eliminar la configuración y confirmar para deshabilitar el registro en caja. -
Utilice el comando
clear security idp counters packet-logclear counter para eliminar los detalles de captura en caja. -
Úselo
request security idp storage-cleanup packet-capturepara borrar todos los archivos capturados.
Ver también
Ejemplo: Configurar captura de paquetes de seguridad
En este ejemplo, se muestra cómo configurar la captura de paquetes de seguridad.
Requisitos
Antes de comenzar, configure las interfaces de red.
Descripción general
En este ejemplo, se configura una captura de paquetes para la regla 1 de la política pol0. La regla especifica que, si se produce un ataque, se capturará 1 paquete antes del ataque y 3 paquetes después del ataque, y que se debe agotar el tiempo de espera de la captura posterior al ataque después de 60 segundos. La configuración del sensor se modifica para asignar el 5 por ciento de la memoria disponible y el 15 por ciento de las sesiones de DPI a la captura de paquetes. Cuando el objeto de captura de paquetes está preparado, se transmite desde el dispositivo 10.56.97.3 al puerto 5 en el dispositivo 10.24.45.7.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security idp idp-policy pol0 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60 set security idp sensor-configuration packet-log total-memory 5 max-sessions 15 source-address 10.56.97.3 host 10.24.45.7 port 5 set security idp sensor-configuration log suppression disable set security idp idp-policy pol0 rulebase-ips rule 1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy pol0 rulebase-ips rule 1 then action drop-packet
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar la captura de paquetes de seguridad:
-
Cree una política de DPI.
[edit] user@host# edit security idp idp-policy pol0
-
Asocie una base de reglas con la política.
[edit edit security idp idp-policy pol0] user@host# edit rulebase-ips
-
Agregue reglas a la base de reglas.
[edit edit security idp idp-policy pol0 rulebase-ips] user@host# edit rule 1
-
Especifique la notificación, defina el tamaño y las restricciones de tiempo para cada captura de paquete.
[edit security idp idp-policy pol0 rulebase-ips rule 1 ] user@host# set then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60
-
Defina un ataque como criterios de coincidencia.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
-
Especifique una acción para la regla.
[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host#set then action drop-packet
-
Habilite la configuración del sensor IDP de seguridad.
[edit] user@host# edit security idp sensor-configuration
-
(Opcional) Deshabilite la supresión del registro de configuración del sensor del IDP de seguridad.
[edit] user@host# set security idp sensor-configuration log suppression disable
Cuando la supresión de registros de DPI está habilitada (que es el comportamiento predeterminado), durante incidentes de ataques repetitivos o de gran volumen que coincidan con una sola firma, el firewall de la serie SRX no puede generar una captura de paquete (PCAP) y reenviarla al recopilador. Se recomienda deshabilitar la supresión de registros de DPI si necesita registros PCAP para cada ataque.
-
Asigne los recursos del dispositivo que se utilizarán para la captura de paquetes.
[edit security idp sensor-configuration] user@host# set packet-log total-memory 5 max-sessions 15
-
Identificar los dispositivos de origen y host para transmitir el objeto de captura de paquetes.
[edit security idp sensor-configuration] user@host# set packet-log source-address 10.56.97.3 host 10.24.45.7 port 5
- Habilite una conexión SSL o TLS segura para cifrar el registro de paquetes DPI enviado al host configurado (receptor PCAP).
[edit security idp sensor-configuration] user@host# set packet-log ssl-profile-name ssl3
[edit](Logical Systems) user@host# set logical system LS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
[edit(Tenant Systems) user@host# set tenants TS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
Configure el nombre de perfil SSL mencionado anteriormente en la configuración del perfil de inicio de SSL. Todas las versiones de SSL y TLS compatibles con la configuración de inicio de SSL son compatibles con esta conexión SSL o TLS de registro de paquetes DPI. Solo puede elegir la versión de SSL o TLS configurada en la configuración de inicio de SSL.
Ejecute el user@host# show services ssl initiation | display set para ver el nombre de perfil SSL configurado en la iniciación de SSL y utilice la versión de SSL o TLS requerida.
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security idp configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit] user@host# show security idp
idp-policy pol0 {
rulebase-ips {
rule 1 {
match {
attacks {
predefined-attack-groups TELNET-Critical;
}
}
then {
action {
drop-packet;
}
notification {
packet-log {
pre-attack 1;
post-attack 3;
post-attack-timeout 60;
}
}
}
}
}
}
sensor-configuration {
log {
suppression {
disable;
}
}
packet-log {
total-memory {
5;
}
max-sessions {
15;
}
source-address 10.56.97.3;
host {
10.24.45.7;
port 5;
}
##
## Warning: Referenced SSL initiation profile is not defined
##
ssl-profile-name ssl3;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Verificar la captura de paquetes de seguridad
Propósito
Compruebe la captura de paquetes de seguridad.
Acción
Desde el modo operativo, introduzca el show security idp counters packet-log comando.
user@host> show security idp counters packet-log
IDP counters: Value Total packets captured since packet capture was activated 0 Total sessions enabled since packet capture was activated 0 Sessions currently enabled for packet capture 0 Packets currently captured for enabled sessions 0 Packet clone failures 0 Session log object failures 0 Session packet log object failures 0 Sessions skipped because session limit exceeded 0 Packets skipped because packet limit exceeded 0 Packets skipped because total memory limit exceeded 0
Ejemplo: Configurar la captura de paquetes para la depuración de ruta de datos
En este ejemplo, se muestra cómo configurar la captura de paquetes para supervisar el tráfico que pasa por el dispositivo. A continuación, la captura de paquetes los vuelca en un formato de archivo PCAP que puede ser examinado posteriormente por la utilidad tcpdump.
Requisitos
Antes de comenzar, consulte Establecer depuración de ruta de datos (procedimiento de la CLI).
Descripción general
Un filtro se define para filtrar el tráfico; A continuación, se aplica un perfil de acción al tráfico filtrado. El perfil de acciones especifica una variedad de acciones en la unidad de procesamiento. Una de las acciones admitidas es el volcado de paquetes, el cual envía el paquete al motor de enrutamiento y lo almacena en formato propietario para ser leído mediante el show security datapath-debug capture comando.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar la captura de paquetes:
Edite la opción de depuración de ruta de datos de seguridad para las varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes:
[edit] user@host# edit security datapath-debug
Active el archivo de captura, el formato de archivo, el tamaño de archivo y el número de archivos. El número de tamaño limita el tamaño del archivo de captura. Una vez alcanzado el tamaño límite, si se especifica el número de archivo, el archivo de captura se rotará a filename x, donde x se incrementa automáticamente hasta que alcanza el índice especificado y luego vuelve a cero. Si no se especifica ningún índice de archivos, los paquetes se descartan después de alcanzar el límite de tamaño. El tamaño predeterminado es de 512 kilobytes.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Habilite el perfil de acción y establezca el evento. Establezca el perfil de acción como do-capture y el tipo de evento como np-ingress:
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Habilite el volcado de paquetes para el perfil de acción:
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Habilite las opciones de filtro, acción y filtro de paquetes. El filtro de paquetes se establece en my-filter, el perfil de acción se establece en do-capture y la opción de filtro se establece en source-prefix 10.2.3.4/32.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security datapath-debug configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 10.2.3.4/32
action-profile do-capture
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificar captura de paquetes
- Verificar la captura de depuración de ruta de datos
- Comprobar el contador de depuración de ruta de datos
Verificar captura de paquetes
Propósito
Compruebe si la captura de paquetes funciona.
Acción
Desde el modo operativo, escriba el comando para iniciar la request security datapath-debug capture start captura de paquetes y el comando para detener la request security datapath-debug capture stop captura de paquetes.
Para ver los resultados, desde el modo operativo de la CLI, acceda al shell de UNIX local y navegue hasta el directorio /var/log/my-capture. El resultado se puede leer utilizando la utilidad tcpdump.
Verificar la captura de depuración de ruta de datos
Propósito
Compruebe los detalles del archivo de captura de depuración de ruta de datos.
Acción
Desde el modo operativo, introduzca el show security datapath-debug capture comando.
user@host> show security datapath-debug capture
Cuando haya terminado de resolver problemas, asegúrese de quitar o desactivar todas las configuraciones de traceoptions (sin limitarse a las traceoptions de flujo) y la estrofa de configuración completa de depuración de ruta de datos de seguridad. Si alguna configuración de depuración permanece activa, continuará usando los recursos de CPU y memoria del dispositivo.
Comprobar el contador de depuración de ruta de datos
Propósito
Compruebe los detalles del contador de depuración de ruta de datos.
Acción
Desde el modo operativo, introduzca el show security datapath-debug counter comando.
Registro de paquetes de seguridad DPI para sistemas lógicos y sistemas de inquilinos
Puede capturar registros de paquetes de seguridad DPI para sistemas lógicos y sistemas de inquilinos. Con la captura de paquetes habilitada en su dispositivo de seguridad, también puede especificar una cantidad de paquetes posteriores o previos al ataque para capturar. Después de configurar la captura de paquetes en el dispositivo de seguridad, este recopila la información capturada y la almacena como un archivo de captura de paquetes (.pcap) en los niveles de sistemas lógicos y de sistemas inquilinos.
Cuando configure registros de paquetes de seguridad DPI para sistemas lógicos y sistemas inquilinos, la configuración tendrá el siguiente aspecto:
Configuración de ejemplo de registro de paquetes DPI
[edit logical-systems LSYS-1]
user@host# show
security {
idp {
sensor-configuration {
packet-log {
threshold-logging-interval 2;
source-address 192.168.0.0;
host {
172.16.0.0;
port 2050;
}
}
}
}
}
Ruta y accesibilidad
Puede especificar sensores de registro de paquetes en el nivel de sistemas lógicos y sistemas inquilinos para almacenar los paquetes capturados en un dispositivo de destino (receptor de captura de paquetes). Para enviar y almacenar los paquetes capturados, debe agregar la dirección IP del dispositivo de destino en la configuración de los sistemas lógicos y los sistemas de inquilinos. De lo contrario, el dispositivo utiliza la dirección IP del dispositivo configurado en los niveles de sistemas lógicos raíz y sistemas inquilinos para enviar el paquete capturado. En este caso, los paquetes capturados no se almacenan en el nivel de sistemas lógicos y sistemas inquilinos.
El dispositivo de seguridad no puede enviar el paquete capturado si los sistemas lógicos raíz y los sistemas inquilinos no tienen la dirección IP del dispositivo de destino.
Use el show security idp counters packet log logical-system logical-system-name comando. Marque la Packet log host route lookup failures opción. Determine la frecuencia con la que el dispositivo de seguridad no envió paquetes debido a la falta de detalles de la ruta.
Ver también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.