Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Políticas de IDP

La política de detección y prevención de intrusiones (IDP) de Junos OS le permite aplicar selectivamente varias técnicas de detección y prevención de ataques en el tráfico de red que pasa a través de un dispositivo habilitado para IDP. Le permite definir reglas de política que coincidan con una sección del tráfico basada en una zona, red y aplicación, y, luego, tomar medidas preventivas activas o pasivas en ese tráfico.

Para obtener más información, consulte los temas siguientes:

Descripción general de las políticas de IDP

Una política de IDP define cómo su dispositivo maneja el tráfico de red. Le permite aplicar varias técnicas de detección y prevención de ataques en el tráfico que atraviesa su red.

Una política se compone de , y cada base de rule basesreglas contiene un conjunto de rules. Define parámetros de regla, como condiciones de coincidencia de tráfico, acción y requisitos de registro, y, a continuación, agrega las reglas a las bases de reglas. Después de crear una política de IDP agregando reglas en una o más bases de reglas, puede seleccionar esa política para que sea la política activa en su dispositivo.

Junos OS le permite configurar y aplicar varias políticas de IDP. A partir de Junos OS versión 15.1X49-D20 y Junos OS versión 17.3R1, se valida la configuración para la política de IDP que se configura como una política activa. Puede instalar la misma política de IDP en varios dispositivos o puede instalar una política de IDP única en cada dispositivo de su red. Una sola política puede contener solo una instancia de cualquier tipo de base de reglas.

Nota:

La función IDP está habilitada de forma predeterminada. No se requiere licencia. Los ataques personalizados y los grupos de ataques personalizados en las políticas de IDP también se pueden configurar e instalar incluso cuando no se instala una base de datos de firmas y licencias válidas en el dispositivo.

A partir de Junos OS versión 18.4R1, cuando se carga una nueva política de IDP, las sesiones existentes se inspeccionan mediante la política recién cargada y las sesiones existentes no se ignoran para el procesamiento de IDP.

En la siguiente lista se describen los cambios de inspección de IDP para las sesiones existentes después de cargar una nueva política:

  • Firmas basadas en paquetes: la inspección de IDP continúa para los ataques basados en paquetes con la nueva política de IDP.

  • Firmas basadas en secuencias: la inspección de IDP continúa para los ataques basados en secuencias de la nueva política de IDP con el número de desplazamiento final menor que el número de bytes pasados por ese flujo.

  • Firmas basadas en contexto: la inspección de IDP continúa para los ataques basados en contextos creados por el detector después de cargar una nueva política de IDP, con la excepción de que la nueva política que se carga con el nuevo detector.

Se admiten las siguientes políticas de IDP:

  • DMZ_Services

  • DNS_Services

  • File_Server

  • Getting_Started

  • IDP_Default

  • Recomienda

  • Web_Server

Puede realizar las siguientes tareas para administrar políticas de IDP:

  • Cree nuevas políticas de IDP a partir de cero. Consulte Ejemplo: Definición de reglas para una base de reglas de SPI de IDP.

  • Cree una política de IDP a partir de una de las plantillas predefinidas proporcionadas por Juniper Networks (consulte Descripción de las plantillas de política de IDP predefinidas).

  • Agregue o elimine reglas dentro de una base de reglas. Puede usar cualquiera de los siguientes objetos IDP para crear reglas:

    • Zona

      Nota:

      Puede configurar direcciones de origen y excepto origen cuando desde la zona es cualquiera, y de manera similar para tener direcciones de destino y excepto destino cuando la zona de destino es cualquiera.

    • Objetos de red disponibles en el sistema base

    • Objetos de servicio predefinidos proporcionados por Juniper Networks

    • Objetos de aplicación personalizados

    • Objetos de ataque predefinidos proporcionados por Juniper Networks

  • Crear objetos de ataque personalizados (consulte Ejemplo: Configuración de ataques basados en firmas de IDP ).

  • Actualice la base de datos de firmas proporcionada por Juniper Networks. Esta base de datos contiene todos los objetos predefinidos.

  • Mantenga varias políticas de IDP. Cualquiera de las políticas se puede aplicar al dispositivo.

Las políticas de IDP para cada sistema lógico de usuario se compilan juntos y se almacenan en la memoria del plano de datos. Para estimar una memoria de plano de datos adecuada para una configuración, tenga en cuenta estos dos factores:

  • Las políticas de IDP aplicadas a cada sistema lógico de usuario se consideran instancias únicas, ya que el ID y las zonas para cada sistema lógico de usuario son diferentes. Las estimaciones deben considerar los requisitos de memoria combinados para todos los sistemas lógicos de usuario.

  • A medida que aumenta la base de datos de aplicaciones, las políticas compiladas requieren más memoria. El uso de memoria debe mantenerse por debajo de la memoria del plano de datos disponible para permitir aumentos en la base de datos.

Descripción del soporte de políticas de IDP para políticas unificadas

Con el apoyo de la política de IDP dentro de una política de seguridad unificada:

  • La política de IDP se activa mediante el set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy <idp-policy-name> comando.

  • Con la política de IDP disponible en la política de seguridad unificada, todas las coincidencias de IDP se manejarán dentro de la política unificada, a menos que se defina el origen, el destino o la aplicación explícitos (política tradicional).

  • Además, puede configurar condiciones de coincidencia en IDP para lograr una granularidad de inspección adicional.

  • No es necesario configurar la dirección de origen o destino, excepto el origen y el destino, desde y hacia la zona o la aplicación con una política unificada, ya que la coincidencia ocurre en la propia política de seguridad.

  • Es posible que la aplicación de capa 7 cambie durante la vida útil de la sesión y este cambio de aplicación podría dar lugar a la deshabilitación del servicio de IDP para la sesión.

  • La coincidencia inicial de políticas de seguridad puede dar lugar a una o varias coincidencias de políticas. Como parte de la verificación de interés de la sesión, se habilitará el IDP si la política de IDP está presente en cualquiera de las reglas coincidedas.

Si ha configurado una política de seguridad tradicional (con 5 tuplas que coinciden con una condición o una aplicación dinámica configurada como ninguna) y una política unificada (con una condición de coincidencia de 6 tuplas), la política de seguridad tradicional coincide con el tráfico primero, antes de la política unificada.

Cuando configura una política unificada con una aplicación dinámica como una de las condiciones correspondientes, la configuración elimina los pasos adicionales que intervienen en la configuración de la política de IDP. Todas las configuraciones de la política de IDP se manejan dentro de la política de seguridad unificada y simplifica la tarea de configurar la política de IDP para detectar cualquier ataque o intrusiones en una sesión determinada.

Descripción de varias políticas de IDP para políticas unificadas

Cuando los dispositivos de seguridad se configuran con políticas unificadas, puede configurar varias políticas de IDP y establecer una de esas políticas como la política de IDP predeterminada

Si se configuran varias políticas de IDP para una sesión y cuando se produce un conflicto de políticas, el dispositivo aplica la política de IDP predeterminada para esa sesión y, por lo tanto, resuelve cualquier conflicto de política.

Nota:

Si ha configurado dos o más políticas IDP en una política de seguridad unificada, debe configurar la política de IDP predeterminada.

Para configurar la política de IDP como la política predeterminada, utilice el set security idp default-policy policy-name comando.

La fase inicial de búsqueda de políticas de seguridad, que se produce antes de identificar una aplicación dinámica, puede dar lugar a varias coincidencias potenciales de políticas. El IDP está habilitado en la sesión si al menos una de las políticas de seguridad coincide con una política de IDP configurada.

Si solo se configura una política de IDP en la lista de políticas potenciales, esa política de IDP se aplica a la sesión.

Si hay varias políticas de IDP configuradas para una sesión en la lista de políticas potenciales, el dispositivo aplica la política IDP que está configurada como predeterminada, la política IDP.

Después de identificar aplicaciones dinámicas para una sesión, si la política final coincidente tiene políticas de IDP configuradas que son diferentes a la política de IDP predeterminada, se realiza el relookup de políticas y se aplica la política IDP configurada para la política final coincidente.

Si la política de seguridad final coincide con la misma política de IDP que se configuró durante la búsqueda inicial de políticas de seguridad, esa política de IDP se aplica a la sesión.

Si la política de seguridad final coincidente no tiene configurada una política de IDP, el procesamiento de IDP está deshabilitado para la sesión.

Beneficios de varias políticas de IDP y configuración predeterminada de la política de IDP para políticas unificadas

  • Ofrece la flexibilidad para mantener y usar varias políticas de IDP.

  • Controla los conflictos de políticas mediante la configuración predeterminada de la política de IDP.

Selección de políticas de IDP para políticas unificadas

En este tema, se proporcionan detalles sobre la selección de políticas de IDP para políticas unificadas.

Selección de políticas de IDP con una sola política de IDP

Cuando se procesa una política de seguridad para una sesión, la coincidencia inicial de la política de seguridad puede dar lugar a una o varias coincidencias de políticas. Si la caché de la aplicación está presente, la coincidencia de políticas dará como resultado una sola coincidencia de política.

Como parte de la comprobación de interés de la sesión, el IDP está habilitado si una política de IDP está presente en cualquiera de las reglas coincidedas.

Después de realizar la identificación dinámica de aplicaciones, la política de seguridad realiza el reomplep de políticas. Se informa a los servicios de aplicación (IDP) de capa 7 que se desactiven por sí mismos, si el IDP no está configurado en la política final coincidente. Con la política de IDP disponible dentro de la política de seguridad unificada, todas las coincidencias de IDP se manejan dentro de la política unificada, a menos que se defina un origen, destino o aplicación explícitos (política tradicional). No es necesario configurar la dirección de origen o destino, excepto el origen y el destino, desde y hacia la zona o la aplicación con una política unificada, ya que la coincidencia se produce en la propia política de seguridad. En la tabla 1, se muestra un ejemplo de la selección de políticas de IDP dentro de una política de seguridad.

La Figura 1 y la Figura 2 proporcionan los detalles del flujo de trabajo para la selección de políticas de un solo y varios IDP para políticas unificadas.

Tabla 1: Ejemplo de selección de política dentro de una política de seguridad
Política de seguridad Zona de origen Dirección de origen Zona de destino Dirección de destino Dirección dinámica de aplicación de servicio

P1

En

10.1.1.1

Fuera

Cualquier

HTTP

IDP

Recomienda

P2

En

10.1.1.1

Fuera

Cualquier

GMAIL

UTM

utm_policy_1

Figura 1: Procesamiento de IDP para la ruta IDP Processing for Flow First Path de flujo primero
Figura 2: Procesamiento del IDP después de la búsqueda final de políticas IDP Processing After Final Policy Lookup

Selección de políticas de IDP con varias políticas de IDP

Si hay varias políticas presentes en la lista de políticas potenciales con políticas de IDP diferentes, el dispositivo aplica la política IDP que está configurada como política de IDP predeterminada.

Después de identificar las aplicaciones dinámicas, si la política final coincidente tiene políticas de IDP configuradas que son diferentes a la política de IDP predeterminada, se realiza una nueva búsqueda de políticas y se aplica la política de IDP configurada para la política final coincidente.

Si la política de seguridad final coincidente no tiene configurada una política de IDP, el procesamiento de IDP está deshabilitado para la sesión.

Tabla 2: Ejemplo de selección de política dentro de una política de seguridad
Política Zona de origen Dirección de origen de la zona de destino Dirección dinámica de aplicación de servicio

P1

En

10.1.1.1

Fuera

Cualquier

HTTP

IDP

Recomienda

P2

En

10.1.1.1

Fuera

Cualquier

GMAIL

UTM

utm_policy_1

P3

En

Cualquier

Fuera

Cualquier

GMAIL

IDP

idpengine

Teniendo en cuenta el ejemplo de políticas de seguridad configuradas para una sesión:

  • If security policy P1 and policy P3 match for a session

    Se observa conflicto de política de IDP. Por lo tanto, la política de IDP que se configura como política de IDP predeterminada se aplica en este caso.

    Después de la coincidencia final de la política de seguridad, se realiza la re-búsqueda de la política de IDP según las políticas de IDP coincides. Si la política de seguridad final coincide con la política P1, se aplica la política de IDP denominada recomendada para la sesión.

  • If security policy P1 and policy P2 match for a session

    Dado que solo hay una política de IDP configurada en las políticas de seguridad coincidedas, la política de IDP que se denomina recomendada se aplica a la sesión.

    Si la política de seguridad final coincide con la política P1, la inspección de sesión seguirá aplicando la política de IDP denominada recomendada. Si la política de seguridad final coincide con la política P2, el IDP se deshabilita e ignora la sesión.

Ejemplo: Configuración de varias políticas de IDP y una política de IDP predeterminada para políticas de seguridad unificadas

Para que el tráfico de tránsito pase a través de la inspección de IDP, configure una política de seguridad y habilite los servicios de aplicación de IDP en todo el tráfico que desee inspeccionar.

En este ejemplo, se muestra cómo configurar una política de seguridad para habilitar servicios de IDP por primera vez en el tráfico que fluye en el dispositivo.

Requisitos

Antes de comenzar, instale o verifique una licencia de función IDP.

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo serie SRX.

  • Junos OS versión 18.3R1 y posteriores.

Nota:

Este ejemplo de configuración se probó con un dispositivo SRX1500 que ejecuta Junos OS versión 18.3R1. Sin embargo, puede usar la misma configuración en dispositivos de línea SRX300, SRX550M, SRX4100, SRX4200 y SRX5000 mediante las últimas versiones de Junos OS.

Visión general

En este ejemplo, configure dos políticas de seguridad para habilitar servicios IDP en un dispositivo SRX1500 para inspeccionar todo el tráfico desde la zona de confianza hasta la zona de no confianza.

Como primer paso, debe descargar e instalar la base de datos de firmas desde el sitio web de Juniper Networks. A continuación, descargue e instale las plantillas de política de IDP predefinidas y active la política predefinida "Recomendado" como política activa.

En la versión siguiente de SRX 18.2, solo se puede usar un nombre de política de IDP para todas las reglas de firewall y la política activa funciona en todas las versiones de Security Director.

A partir de Junos SRX 18.2, el estilo de política tradicional de usar solo un nombre de política de IDP activo para todas las reglas de firewall mediante set security idp active-policy ha quedado en desuso.

En su lugar, el estilo de configuración usa el mismo para las políticas tradicionales que para las políticas unificadas al hacer referencia a la política de IDP se maneja en el comando de políticas de set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy idp-policy-name seguridad.

A continuación, debe crear dos políticas de seguridad desde la zona de confianza hasta la zona de no confianza y especificar las acciones que se tomarán en el tráfico que coincida con las condiciones especificadas en las políticas.

Configuración

Procedimiento

Configuración rápida de CLI

La configuración rápida de cli no está disponible para este ejemplo, ya que se requiere intervención manual durante la configuración.

Procedimiento paso a paso
  1. Cree dos políticas de seguridad para el tráfico desde la zona de confianza hasta la zona de no confianza.

    Nota:

    Tenga en cuenta los siguientes puntos:

    • El orden de las políticas de seguridad en el dispositivo serie SRX es importante, ya que Junos OS realiza una búsqueda de políticas a partir de la parte superior de la lista, y cuando el dispositivo encuentra una coincidencia con el tráfico recibido, detiene la búsqueda de políticas.

    • El dispositivo de la serie SRX le permite habilitar el procesamiento de IDP en una política de seguridad regla por regla, en lugar de activar la inspección de IDP en todo el dispositivo.

    • Una política de seguridad identifica el tráfico que se va a enviar al motor IDP y, luego, el motor IDP aplica la inspección en función del contenido de ese tráfico. El tráfico que coincide con una política de seguridad en la que el IDP no está habilitado pasa por alto completamente el procesamiento de IDP. El tráfico que coincide con una política de seguridad marcada para el procesamiento de IDP habilita la política de IDP que está configurada en esa política de seguridad en particular.

    Cree una política de seguridad P1 con una aplicación dinámica como criterios de coincidencia.

    Cree una política de seguridad P2 con una aplicación dinámica como criterios de coincidencia.

  2. Defina las políticas de IDP que desea configurar en las políticas de seguridad.

  3. Configure las políticas de IDP según los pasos en reglas de política de IDP y bases de reglas de IDP y, a continuación, configure una de las políticas IDP (recomendadas) como la política de IDP predeterminada.

  4. Confirme la política predeterminada configurada en el dispositivo.

  5. Especifique la acción que se va a realizar en el tráfico que coincida con las condiciones especificadas en la política de seguridad. La acción de la política de seguridad debe ser para permitir el flujo.

En las versiones de SRX 18.3 y versiones posteriores, las políticas de seguridad pueden usar una política de IDP diferente, lo que permite el procesamiento de reglas de IDP únicas para cada política de seguridad. Cuando se utilizan varias reglas de IDP en políticas de seguridad, es necesario configurar una política predeterminada de IDP.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar la configuración de IDP

Propósito

Compruebe que la configuración de IDP funciona correctamente.

Acción

Desde el modo operativo, ingrese el show security idp status comando.

Significado

El resultado de ejemplo muestra la política de IDP predefinida recomendada como la política activa.

Ejemplo: Habilitación de IDP en una política de seguridad tradicional

A partir de Junos SRX 18.2, el estilo de política tradicional de usar solo un nombre de política de IDP activo para todas las reglas de firewall mediante set security idp active-policy ha quedado en desuso.

En su lugar, el estilo de configuración usa el mismo para las políticas tradicionales que para las políticas unificadas al hacer referencia a la política de IDP se maneja en el comando de políticas de set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy idp-policy-name seguridad.

En este ejemplo, se muestra cómo configurar dos políticas de seguridad para habilitar los servicios de IDP en todo el tráfico HTTP y HTTPS que fluye en ambas direcciones en un dispositivo de seguridad. Este tipo de configuración se puede utilizar para supervisar el tráfico hacia y desde un área segura de una red interna como una medida de seguridad adicional para comunicaciones confidenciales.

Nota:

En este ejemplo, Zone2 forma parte de la red interna.

Requisitos

Antes de empezar:

Visión general

Para que el tráfico de tránsito pase a través de la inspección de IDP, configure una política de seguridad y habilite los servicios de aplicación de IDP en todo el tráfico que desee inspeccionar. Las políticas de seguridad contienen reglas que definen los tipos de tráfico permitidos en la red y la forma en que se trata el tráfico dentro de la red. Habilitar IDP en una política de seguridad dirige el tráfico que coincide con los criterios especificados para que se cotejo con las bases de reglas de IDP.

Nota:

El IDP está habilitado de forma predeterminada. No se requiere licencia. Los ataques personalizados y los grupos de ataques personalizados en las políticas de IDP se pueden configurar e instalar incluso cuando no se instala una base de datos de firmas y licencias válidas en el dispositivo.

Para permitir que el tráfico de tránsito pase sin inspección de IDP, especifique una permit acción para la regla sin habilitar los servicios de aplicación IDP. El tráfico que coincide con las condiciones de esta regla pasa por el dispositivo sin inspección de IDP.

En este ejemplo, se muestra cómo configurar dos políticas, idp-app-policy-1 e idp-app-policy-2, para habilitar los servicios IDP en todo el tráfico HTTP y HTTPS que fluye en ambas direcciones en el dispositivo. La política idp-app-policy-1 dirige todo el tráfico HTTP y HTTPS que fluye de la zona1 a la zona 2 configurada previamente para que se compruebe en las bases de reglas de IDP. La política idp-app-policy-2 dirige todo el tráfico HTTP y HTTPS que fluye de la zona 2 a la zona 1 para que se compruebe en las bases de reglas de IDP.

Nota:

La acción establecida en la acción de política de seguridad debe ser permit. No puede habilitar IDP para el tráfico que el dispositivo niega o rechaza.

Si ha configurado una política de seguridad tradicional (con una condición de 5 tuplas que coincidan o una aplicación dinámica configurada como ninguna) y una política unificada (con una condición de coincidencia de 6 tuplas), la política de seguridad tradicional coincide con el tráfico primero, antes de la política unificada.

Cuando configura una política unificada con una aplicación dinámica como una de las condiciones correspondientes, la configuración elimina los pasos adicionales de configuración, dirección de origen y destino, destino de origen excepto, desde y hacia zonas, o aplicación. Todas las configuraciones de la política de IDP se manejan dentro de la política de seguridad unificada y simplifica la tarea de configurar la política de IDP para detectar cualquier ataque o intrusiones en una sesión determinada. No es necesario configurar la dirección de origen o destino, excepto el origen y el destino, desde y hacia la zona o la aplicación con una política unificada, ya que la coincidencia ocurre en la propia política de seguridad.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para habilitar los servicios de IDP en todo el tráfico HTTP y HTTPS que fluye en ambas direcciones en el dispositivo:

  1. Cree una política de seguridad para el tráfico que fluye de Zone1 a Zone2 que se ha identificado como tráfico de aplicaciones junos-http o junos-https.

  2. Especifique la acción que se va a realizar en el tráfico de Zona1 a Zone2 que coincida con las condiciones especificadas en la política.

  3. Cree otra política de seguridad para el tráfico que fluye en la dirección opuesta que se ha identificado como tráfico de aplicaciones junos-http o junos-https.

  4. Especifique la acción que se va a realizar en el tráfico que coincida con las condiciones especificadas en esta política.

  5. Configure la política activa.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Verificar la configuración

Propósito

Compruebe que la configuración de la política de seguridad es correcta.

Acción

Desde el modo operativo, ingrese el show security policies comando.

Verificar el estado de carga y la compilación de políticas de IDP

Propósito

Muestra los archivos de registro de IDP para comprobar el estado de la carga y la compilación de la política de IDP. Al activar una política de IDP, puede ver los registros de IDP y comprobar si la política se ha cargado y compilado correctamente.

Acción

Para realizar un seguimiento del progreso de carga y compilación de una política de IDP, configure uno o ambos de los siguientes en la CLI:

  • Puede configurar un archivo de registro, que se ubicará en /var/log/, y establecer indicadores de opción de seguimiento para registrar estas operaciones:

  • Puede configurar el dispositivo para que registre mensajes de registro del sistema en un archivo en el /var/log directorio:

Después de confirmar la configuración en la CLI, escriba cualquiera de los siguientes comandos desde el símbolo del shell en el shell de nivel UNIX:

Salida de muestra

nombre de comando

Salida de muestra

nombre de comando

Significado

Muestra los mensajes de registro que muestran los procedimientos que se ejecutan en segundo plano después de confirmar el set security idp active-policy comando. En este resultado de ejemplo, se muestra que la compilación de políticas, la configuración del sensor y la carga de políticas son correcta.