EN ESTA PÁGINA
Descripción de las bases de reglas de políticas de desplazados internos
Descripción de las reglas de política de desplazados internos
Ejemplo: Desactivación y activación de reglas en una base de reglas de IDP
Descripción de las bases de reglas de DDoS a nivel de aplicación de IDP
Ejemplo: Definición de reglas para una base de reglas IPS de IDP
Descripción de las bases de reglas exentas de desplazados internos
Ejemplo: Definición de reglas para una base de reglas exenta de IDP
Ejemplo: Configuración de reglas de terminal en bases de reglas
Descripción de las reglas DSCP en las políticas de desplazados internos
Ejemplo: configuración de reglas DSCP en una directiva de IDP
Reglas de política de IDP y bases de reglas de IDP
Las políticas de detección y prevención de intrusiones (IDP) son colecciones de reglas y bases de reglas.
Para obtener más información, consulte los temas siguientes:
Descripción de las bases de reglas de políticas de desplazados internos
Una base de reglas es un conjunto ordenado de reglas que utilizan un método de detección específico para identificar y prevenir ataques.
Las reglas son instrucciones que proporcionan contexto a los mecanismos de detección al especificar qué parte del tráfico de red debe buscar el sistema IDP para encontrar ataques. Cuando una regla coincide, significa que se ha detectado un ataque en el tráfico de red, lo que desencadena la acción para esa regla. El sistema IDP realiza la acción especificada y protege su red de ese ataque.
Cada base de reglas puede tener varias reglas: para determinar la secuencia en la que se aplican las reglas al tráfico de red, colocándolas en el orden deseado. Cada base de reglas del sistema de desplazados internos utiliza métodos de detección específicos para identificar y prevenir ataques. Junos OS admite dos tipos de bases de reglas: base de reglas del sistema de prevención de intrusiones (IPS) y base de reglas exentas.
Descripción de las reglas de política de desplazados internos
Cada instrucción de una política de detección y prevención de intrusiones (IDP) se denomina regla. Las reglas se crean en bases de reglas.
Las bases de reglas son un conjunto de reglas que se combinan para definir una política de IDP. Las reglas proporcionan contexto a los mecanismos de detección al especificar en qué parte del tráfico de red debe buscar el sistema IDP para encontrar ataques. Cuando una regla coincide, significa que se ha detectado un ataque en el tráfico de red, lo que desencadena la acción para esa regla. El sistema IDP realiza la acción especificada y protege su red de ese ataque.
Las reglas de política de desplazados internos se componen de los siguientes componentes:
- Descripción de las condiciones de coincidencia de reglas de IDP
- Descripción de los objetos de regla de IDP
- Descripción de las acciones de reglas de desplazados internos
- Descripción de las acciones de IP de regla de IDP
- Descripción de las notificaciones de reglas de IDP
Descripción de las condiciones de coincidencia de reglas de IDP
Las condiciones de coincidencia especifican el tipo de tráfico de red que desea que IDP supervise para detectar ataques.
Las condiciones de coincidencia utilizan las siguientes características para especificar el tipo de tráfico de red que se va a supervisar:
From-zoneyto-zone—Todo el tráfico fluye desde una zona de origen a una zona de destino. Puede seleccionar cualquier zona para el origen o el destino. También puede usar excepciones de zona para especificar zonas únicas hacia y desde para cada dispositivo. Especifiqueanypara supervisar el tráfico de red que se origina desde y hacia cualquier zona. El valor predeterminado esany.Nota:Puede especificar
source-addressysource-exceptdirecciones cuandofrom-zoneesany. Del mismo modo, cuandoto-zoneesany, puede especificardestination-addressydestination-exceptdirecciones.Source IP address: especifique la dirección IP de origen desde la que se origina el tráfico de red. Puede especificaranysupervisar el tráfico de red que se origina en cualquier dirección IP. También puede especificarsource-exceptque se especifiquen todos los orígenes excepto las direcciones especificadas. El valor predeterminado esany.Destination IP address: especifique la dirección IP de destino a la que se envía el tráfico de red. Puede configurar esto paraanysupervisar el tráfico de red enviado a cualquier dirección IP. También puede especificardestination-exceptque se especifiquen todos los destinos excepto las direcciones especificadas. El valor predeterminado esany.-
Application: especifique los protocolos de la capa de aplicación admitidos por la dirección IP de destino. Puede especificaranypara todas las aplicaciones o especificar una aplicación, por ejemplo,junos-bgp. Puede especificardefaultpara la aplicación configurada en el objeto de ataque que la regla coincida con los puertos predeterminados y detectados automáticamente con las aplicaciones implicadas en los objetos de ataque.
Descripción de los objetos de regla de IDP
Los objetos son entidades lógicas reutilizables que se pueden aplicar a las reglas. Cada objeto que se crea se agrega a una base de datos para el tipo de objeto.
Puede configurar los siguientes tipos de objetos para las reglas de IDP.
- Objetos de zona
- Dirección u objetos de red
- Objetos de aplicación o servicio
- Objetos de ataque
- Grupos de objetos de ataque
Objetos de zona
Una zona o zona de seguridad es una colección de una o más interfaces de red. IDP utiliza objetos de zona configurados en el sistema base.
Dirección u objetos de red
Los objetos de dirección representan componentes de la red, como máquinas host, servidores y subredes. Utilice objetos de dirección en las reglas de política de IDP para especificar los componentes de red que desea proteger.
Objetos de aplicación o servicio
Los objetos de servicio representan servicios de red que utilizan protocolos de capa de transporte como TCP, UDP, RPC e ICMP. Los objetos de servicio de las reglas se utilizan para especificar el servicio que utiliza un ataque para tener acceso a la red. Juniper Networks proporciona objetos de servicio predefinidos, una base de datos de objetos de servicio que se basan en servicios estándar de la industria. Si necesita agregar objetos de servicio que no están incluidos en los objetos de servicio predefinidos, puede crear objetos de servicio personalizados. IDP admite los siguientes tipos de objetos de servicio:
Any: permite que IDP coincida con todos los protocolos de la capa de transporte.TCP: especifica un puerto TCP o un intervalo de puertos para que coincida con los servicios de red para los puertos TCP especificados. Puede especificarjunos-tcp-anyque los servicios coincidan con todos los puertos TCP.UDP: especifica un puerto UDP o un intervalo de puertos para que coincida con los servicios de red para los puertos UDP especificados. Puede especificarjunos-udp-anyque los servicios coincidan con todos los puertos UDP.RPC: especifica un número de programa de llamada a procedimiento remoto (RPC de Sun Microsystems) o un intervalo de números de programa. IDP utiliza esta información para identificar las sesiones RPC.ICMP: especifica un tipo y un código que forma parte de un paquete ICMP. Puede especificarjunos-icmp-allque coincida con todos los servicios ICMP.default—Permite que IDP haga coincidir los protocolos predeterminados y detectados automáticamente con las aplicaciones implicadas en los objetos de ataque.
Objetos de ataque
Los objetos de ataque IDP representan ataques conocidos y desconocidos. IDP incluye una base de datos predefinida de objetos de ataque que Juniper Networks actualiza periódicamente. Los objetos de ataque se especifican en reglas para identificar actividades maliciosas. Cada ataque se define como un objeto de ataque, que representa un patrón conocido de ataque. Siempre que se encuentre este patrón conocido de ataque en el tráfico de red supervisado, el objeto de ataque coincide. Los tres tipos principales de objetos de ataque se describen en la Tabla 1:
Objetos de ataque |
Descripción |
|---|---|
Objetos de ataque de firma |
Los objetos de ataque de firma detectan ataques conocidos mediante firmas de ataque con estado. Una firma de ataque es un patrón que siempre existe dentro de un ataque; Si el ataque está presente, también lo está la firma del ataque. Con las firmas de estado, IDP puede buscar el protocolo o servicio específico utilizado para perpetrar el ataque, la dirección y el flujo del ataque, y el contexto en el que se produce el ataque. Las firmas de estado producen pocos falsos positivos porque se define el contexto del ataque, lo que elimina enormes secciones del tráfico de red en las que no se produciría el ataque. |
Objetos de ataque por anomalías de protocolo |
Los objetos de ataque por anomalías de protocolo identifican actividad inusual en la red. Detectan mensajes anormales o ambiguos dentro de una conexión de acuerdo con el conjunto de reglas para el protocolo particular que se está utilizando. La detección de anomalías de protocolo funciona al encontrar desviaciones de los estándares de protocolo, definidas con mayor frecuencia por RFC y extensiones RFC comunes. La mayoría del tráfico legítimo se adhiere a los protocolos establecidos. El tráfico que no lo hace, produce una anomalía, que puede ser creada por los atacantes para fines específicos, como evadir un sistema de prevención de intrusiones (IPS). |
Objetos de ataque compuestos |
Un objeto de ataque compuesto combina varias firmas y/o anomalías de protocolo en un solo objeto. El tráfico debe coincidir con todas las firmas combinadas y/o anomalías de protocolo para que coincida con el objeto de ataque compuesto; Puede especificar el orden en que deben coincidir las firmas o anomalías. Utilice objetos de ataque compuestos para refinar las reglas de la política de desplazados internos, reducir los falsos positivos y aumentar la precisión de la detección. Un objeto de ataque compuesto le permite ser muy específico acerca de los eventos que deben ocurrir antes de que IDP identifique el tráfico como un ataque. Puede utilizar |
Grupos de objetos de ataque
IDP contiene un gran número de objetos de ataque predefinidos. Para ayudar a mantener las políticas de IDP organizadas y manejables, los objetos de ataque se pueden agrupar. Un grupo de objetos de ataque puede contener uno o más objetos de ataque de diferentes tipos. Junos OS admite los siguientes tres tipos de grupos de ataque:
Grupos de objetos de ataque predefinidos: contienen objetos presentes en la base de datos de firmas. Los grupos de objetos de ataque predefinidos son de naturaleza dinámica. Por ejemplo, FTP: Grupo menor selecciona todos los ataques de aplicación- FTP y gravedad- Menor. Si se introduce un nuevo ataque FTP de gravedad menor en la base de datos de seguridad, se agrega al grupo FTP: Minor de forma predeterminada.
Grupos de ataque dinámicos: contienen objetos de ataque basados en determinados criterios coincidentes. Por ejemplo, un grupo dinámico puede contener todos los ataques relacionados con una aplicación. Durante la actualización de firmas, la pertenencia a grupos dinámicos se actualiza automáticamente en función de los criterios de coincidencia de ese grupo.
Para un grupo de ataque dinámico que utiliza el filtro de dirección, la expresión
anddebe utilizarse en los valores de exclusión. Como ocurre con todos los filtros, la expresión predeterminada esor. Sin embargo, hay una opción deanden el caso del filtro de dirección.Por ejemplo, si desea elegir todos los ataques con la dirección cliente-a-servidor, configure el filtro de dirección mediante
set security idp dynamic-attack-group dyn1 filters direction values client-to-serverel comandoEn el caso de los ataques en cadena, cada uno de los múltiples miembros tiene su propia dirección. Si una política incluye ataques en cadena, un filtro de cliente a servidor selecciona todos los ataques en cadena que tengan algún miembro con cliente-a-servidor como dirección. Esto significa que los ataques en cadena que incluyen miembros con servidor-a-cliente o CUALQUIERA como dirección se seleccionan si la cadena tiene al menos un miembro con cliente-a-servidor como dirección.
Puede ver los objetos de ataque que están presentes en un grupo de objetos de ataque determinado (grupos de ataque predefinidos, dinámicos y personalizados) y el grupo al que pertenece un objeto de ataque predefinido mediante los siguientes comandos:
show security idp attack attack-list attack-group group-nameshow security idp attack group-list attack-name
Use el
show security idp attack attack-list attack-group group-namecomando para:Vea la lista de todos los ataques presentes en el grupo de ataques especificado, como grupos personalizados, dinámicos y predefinidos.
Especifique los nombres del grupo, como predefinido-group <predefined-group-name> o dynamic-group <dynamic-group-name> o custom-group <custom-group-name> para mostrar la lista de ataques de ese grupo.
Utilice el
show security idp attack group-listcomando para ver la lista de grupos de ataque a los que pertenece el ataque predefinido.Nota:En el caso de grupos de ataque predefinidos que no tienen un filtro definido, dichos grupos no se muestran como miembros de un ataque.
Utilice el
show security idp attack attack-list policy policy-namecomando para ver los ataques disponibles en una directiva de IDP configurada. Si una política de IDP está configurada para contener un ataque concreto que pertenece a varios grupos de ataques, los nombres de ataque redundantes se muestran como parte del ataque en la salida de un comando de política de IDP.Anteriormente, las actualizaciones de firmas de IDP solo admitían nueve etiquetas bajo filtros. Las siete etiquetas son categoría, dirección, falsos positivos, rendimiento, producto, recomendado, servicio, gravedad y proveedor. Las actualizaciones de firmas de IDP ahora admiten cuatro nuevas etiquetas adicionales bajo filtros para crear grupos dinámicos más sofisticados, además de las nueve etiquetas existentes.
Las etiquetas adicionales son:
Sistema de puntuación de vulnerabilidades comunes (CVSS) (medido en términos de números numéricos entre 0 y 10. El valor es un número real que incluye valores decimales. Por lo tanto, el valor numérico como 5.5 también es una puntuación CVSS válida).
Edad del ataque (en términos de años y la rabia entre (0 a 100 años). Por ejemplo: mayor o menor que en términos de años)
Tipo de archivo (por ejemplo: MPEG, MP4, PPT, *.doc, etc.)
Tipo de vulnerabilidad (por ejemplo: desbordamiento de búfer, inyección, uso después de liberación, secuencias de comandos entre sitios (XSS), ejecución remota de código (RCE), etc.
Además, la interfaz de CLI para configurar las etiquetas Product y Vendor existentes se hace más fácil de usar y las posibles finalizaciones están disponibles para la configuración.
Proveedor (por ejemplo: Microsoft, Apple, Red Hat, Google, Juniper, Cisco, Oracle, etc.)
Producto (por ejemplo: Office, base de datos, Firefox, Chrome, Flash, DirectX, Java, Kerberos, etc.)
Para evitar que estos ataques en cadena se agreguen a la directiva, configure el grupo dinámico de la siguiente manera:
set security idp dynamic-attack-group dyn1 filters direction expression andset security idp dynamic-attack-group dyn1 filters direction values client-to-serverset security idp dynamic-attack-group dyn1 filters direction values exclude-server-to-clientset security idp dynamic-attack-group dyn1 filters direction values exclude-any
Grupos de ataque personalizados: contienen grupos de ataque definidos por el cliente y se pueden configurar mediante la CLI. Pueden contener ataques predefinidos específicos, ataques personalizados, grupos de ataques predefinidos o grupos de ataques dinámicos. Son de naturaleza estática, porque los ataques se especifican en el grupo. Por lo tanto, los grupos de ataque no cambian cuando se actualiza la base de datos de seguridad.
A partir de la versión 21.2R3 de Junos, puede ver la política IPS en ataques predefinidos y grupos de ataque bajo la regla IPS/Exento en los modos de inquilino y sistema lógico. Utilice los comandos, show security idp attack attack-group-entries, show security idp attack attack-listy show security idp attack group-list para ver las directivas IPS en los modos sistema lógico e inquilino.
Descripción de las acciones de reglas de desplazados internos
Actions especifique las acciones que desea que realice el IDP cuando el tráfico supervisado coincida con los objetos de ataque especificados en las reglas.
En la Tabla 2 se muestran las acciones que puede especificar para las reglas de desplazados internos:
Término |
Definición |
|---|---|
No Action |
No se realiza ninguna acción. Utilice esta acción cuando solo desee generar registros para parte del tráfico. |
Ignore Connection |
Detiene el análisis del tráfico para el resto de la conexión si se encuentra una coincidencia de ataque. IDP deshabilita la base de reglas para la conexión específica.
Nota:
Esta acción no significa ignorar un ataque. |
Diffserv Marking |
Asigna el valor de punto de código de servicios diferenciados (DSCP) indicado al paquete en un ataque y, a continuación, pasa el paquete normalmente. Tenga en cuenta que el valor DSCP no se aplica al primer paquete que se detecta como un ataque, sino que se aplica a los paquetes siguientes. |
Drop Packet |
Descarta un paquete coincidente antes de que pueda llegar a su destino, pero no cierra la conexión. Use esta acción para colocar paquetes para ataques en tráfico propenso a suplantación de identidad, como el tráfico UDP. Interrumpir una conexión para dicho tráfico podría resultar en una denegación de servicio que le impide recibir tráfico de una dirección IP de origen legítima.
Nota:
Cuando una política de IDP se configura utilizando un contexto que no es de paquete definido en una firma personalizada para cualquier aplicación y tiene el paquete de colocación de acciones, cuando IDP identifica un ataque, el descodificador promoverá drop_packet a drop_connection. Con un ataque de protocolo DNS, este no es el caso. El descodificador DNS no promoverá drop_packet a drop_connection cuando se identifique un ataque. Esto garantizará que solo se elimine el tráfico de ataques DNS y que las solicitudes DNS válidas continúen procesándose. Esto también evitará la retransmisión de TCP para las solicitudes DNS de TCP válidas. |
Drop Connection |
Descarta todos los paquetes asociados con la conexión, lo que impide que el tráfico de la conexión llegue a su destino. Use esta acción para eliminar conexiones para tráfico que no sea propenso a suplantación de identidad. |
Close Client |
Cierra la conexión y envía un paquete RST al cliente, pero no al servidor. |
Close Server |
Cierra la conexión y envía un paquete RST al servidor, pero no al cliente. |
Close Client and Server |
Cierra la conexión y envía un paquete RST tanto al cliente como al servidor. |
Recommended |
Todos los objetos de ataque predefinidos tienen asociada una acción predeterminada. Esta es la acción que Juniper Networks recomienda cuando se detecta ese ataque.
Nota:
Esta acción solo se admite para las bases de reglas IPS. Recomendado: una lista de todos los objetos de ataque que Juniper Networks considera amenazas graves, organizados en categorías.
|
Descripción de las acciones de IP de regla de IDP
Las acciones IP son acciones que se aplican en conexiones futuras que utilizan los mismos atributos de acción IP. Por ejemplo, puede configurar una acción IP en la regla para bloquear todas las sesiones HTTP futuras entre dos hosts si se detecta un ataque en una sesión entre los hosts. O bien, puede especificar un valor de tiempo de espera que defina que la acción solo debe aplicarse si se inician nuevas sesiones dentro de ese valor de tiempo de espera especificado. El valor de tiempo de espera predeterminado para las acciones IP es 0, lo que significa que las acciones IP nunca se agotan el tiempo de espera.
Las acciones en materia de P.I. son similares a otras acciones; indican al IDP que interrumpa o cierre la conexión. Sin embargo, dado que ahora también tiene la dirección IP del atacante, puede optar por bloquear al atacante durante un tiempo específico. Si los atacantes no pueden recuperar inmediatamente una conexión a su red, podrían intentar atacar objetivos más fáciles. Utilice las acciones IP junto con las acciones y el registro para proteger su red.
Los atributos de acción IP son una combinación de los siguientes campos:
Dirección IP de origen
Dirección IP de destino
Puerto de destino
Desde la zona
Protocolo
En el cuadro 3 se resumen los tipos de acciones de P.I. admitidas por las reglas de los desplazados internos:
Término |
Definición |
|---|---|
Notify |
No realiza ninguna acción contra el tráfico futuro, pero registra el evento. Este es el valor predeterminado. |
Drop/Block Session |
Todos los paquetes de cualquier sesión que coincida con la regla de acción IP se descartan silenciosamente. |
Close Session |
Cualquier sesión nueva que coincida con esta regla de acción IP se cierra enviando paquetes RST al cliente y al servidor. |
Cuando el tráfico coincide con varias reglas, se aplica la acción IP más grave de todas las reglas coincidentes. La acción IP más grave es la acción Cerrar sesión, la siguiente en gravedad es la acción Descartar/Bloquear sesión y, a continuación, la acción Notificar.
Después de las mejoras en el punto central, el sistema tiene las siguientes limitaciones:
El número máximo de modo
ip-actionactivo para cada SPU está limitado a 600000 entradas. Cuando se alcanza este límite, no puede crear una nueva entrada de modoip-actionactivo en la SPU.El número máximo de todos los modos (modo activo y modo pasivo)
ip-actionpara cada SPU está limitado a 1200000 entradas. Cuando se alcanza este límite, no puede crear una nueva entrada de modoip-actionactivo en la SPU.Al ejecutar el
clear ip-actioncomando, lasip-actionentradas se eliminan mediante mensajes de timbre. Cuando el uso de la CPU es alto, los mensajes de timbre eliminados se eliminan y se reenvían por el modoip-actionactivo. Como el proceso de eliminación lleva tiempo, puede ver pocasip-actionentradas cuando ejecuta elshow ip-actioncomando.
En los dispositivos en los que no se realizan mejoras de punto central, solo existe el modo ip-action activo y el número máximo ip-action está limitado a 600000. Cuando se alcanza este límite, no puede crear una nueva entrada en modo ip-action activo.
Descripción de las notificaciones de reglas de IDP
La notificación define cómo se debe registrar la información cuando se realiza una acción. Cuando se detectan ataques, puede optar por registrar un ataque y crear registros con información de ataque y enviar esa información al servidor de registro.
Mediante el uso de notificaciones, también puede configurar las siguientes opciones que indican al servidor de registro que realice acciones específicas en los registros generados para cada regla:
Set Alerts: especifique una opción de alerta para una regla de la política de IDP. Cuando la regla coincide, el registro de registro correspondiente muestra una alerta en la columna de alerta del Visor de registros. Los administradores de seguridad utilizan alertas para estar al tanto de eventos importantes de seguridad y reaccionar ante ellos.Set Severity Level: establezca niveles de gravedad en el registro para permitir una mejor organización y presentación de los registros de registro en el servidor de registros. Puede utilizar la configuración de gravedad predeterminada de los objetos de ataque seleccionados o elegir una gravedad específica para la regla. La gravedad que configure en las reglas anula la gravedad heredada del ataque. Puede establecer el nivel de gravedad en los siguientes niveles:Información: 2
Advertencia: 3
Menor: 4
Mayor—5
Crítico: 7
Ejemplo: inserción de una regla en la base de reglas de IDP
En este ejemplo se muestra cómo insertar una regla en la base de reglas de IDP.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Definir reglas en una base de reglas. Consulte Ejemplo: Definición de reglas para una base de reglas IPS de IDP.
Visión general
El algoritmo de coincidencia de reglas de IDP comienza desde la parte superior de la base de reglas y comprueba el tráfico con todas las reglas de la base de reglas que coinciden con las condiciones de coincidencia especificadas. Para determinar la secuencia en la que se aplican las reglas al tráfico de red, coloque en el orden deseado. Cuando se agrega una regla a la base de reglas, se coloca al final de la lista existente de reglas. Para colocar una regla en cualquier otra ubicación que no sea al final de la base de reglas, coloque insert la regla en la ubicación deseada en la base de reglas. En este ejemplo se coloca la regla R2 antes de la regla R1 en la base de reglas IPS del proveedor de identidad (IDP) en una política denominada base-policy.
Configuración
Procedimiento
Procedimiento paso a paso
Para insertar una regla en la base de reglas:
Defina la posición de la regla en la base de reglas en función del orden en que desea que se evalúe la regla.
[edit] user@host# insert security idp idp-policy base-policy rulebase-ips rule R2 before rule R1
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security idp status comando.
Ejemplo: Desactivación y activación de reglas en una base de reglas de IDP
En este ejemplo se muestra cómo desactivar y activar una regla en una base de reglas.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Definir reglas en una base de reglas. Consulte Ejemplo: Definición de reglas para una base de reglas IPS de IDP.
Visión general
En una base de reglas, puede deshabilitar y habilitar reglas mediante los deactivate comandos y activate . El deactivate comando comenta la instrucción especificada de la configuración. Las reglas que se han desactivado no surten efecto cuando se ejecuta el commit comando. El activate comando vuelve a agregar la instrucción especificada a la configuración. Las reglas que se han activado surtirán efecto la próxima vez que ejecute el commit comando. En este ejemplo se muestra cómo desactivar y reactivar la regla R2 en una base de reglas IPS de IDP asociada a una directiva denominada base-policy.
Configuración
Procedimiento
Procedimiento paso a paso
Para desactivar y activar una regla en una base de reglas:
Especifique la regla que desea desactivar.
[edit] user@host# deactivate security idp idp-policy base-policy rulebase-ips rule R2
Active la regla.
[edit] user@host# activate security idp idp-policy base-policy rulebase-ips rule R2
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security idp status comando.
Descripción de las bases de reglas de DDoS a nivel de aplicación de IDP
La base de reglas de DDoS a nivel de aplicación define los parámetros utilizados para proteger los servidores, como DNS o HTTP, de ataques de denegación de servicio distribuido (DDoS) a nivel de aplicación. Puede configurar métricas de aplicación personalizadas basadas en solicitudes normales de actividad del servidor para determinar cuándo los clientes deben considerarse clientes de ataque. A continuación, se utiliza la base de reglas DDoS a nivel de aplicación para definir la condición de coincidencia de origen para el tráfico que se debe supervisar y, a continuación, realiza la acción definida: cerrar servidor, descartar conexión, descartar paquete o ninguna acción. También puede realizar una acción de IP: ip-block, ip-close, ip-notify, ip-connection-rate-limit o timeout. En la tabla 4 se resumen las opciones que puede configurar en las reglas de la base de reglas de DDoS a nivel de aplicación.
Término |
Definición |
|---|---|
Match condition |
Especifique el tráfico de red que desea que el dispositivo supervise en busca de ataques. |
Action |
Especifique las acciones que desea que realice la detección y prevención de intrusiones (IDP) cuando el tráfico supervisado coincida con los objetos application-ddos especificados en la regla DDoS de nivel de aplicación. |
IP Action |
Le permite bloquear implícitamente una dirección de origen para proteger la red de futuras intrusiones, a la vez que permite el tráfico legítimo. Puede configurar una de las siguientes opciones de acción IP en DDoS a nivel de aplicación: ip-block, ip-close, ip-notify e ip-connection-rate-limit. |
Descripción de las bases de reglas de IPS de IDP
La base de reglas del sistema de prevención de intrusiones (IPS) protege su red de ataques mediante el uso de objetos de ataque para detectar ataques conocidos y desconocidos. Detecta ataques basados en anomalías de protocolo y firma de estado. En la tabla 5 se resumen las opciones que puede configurar en las reglas de base de reglas IPS.
Término |
Definición |
|---|---|
Match condition |
Especifique el tipo de tráfico de red que desea que el dispositivo supervise en busca de ataques. Para obtener más información acerca de las condiciones de coincidencia, consulte Descripción de las reglas de directiva de IDP. |
Attack objects/groups |
Especifique los ataques con los que desea que coincida el dispositivo en el tráfico de red supervisado. Cada ataque se define como un objeto de ataque, que representa un patrón conocido de ataque. Para obtener más información acerca de los objetos de ataque, consulte Descripción de las reglas de directiva de IDP. |
Terminal flag |
Especifique una regla de terminal. El dispositivo deja de hacer coincidir las reglas de una sesión cuando se hace coincidir una regla de terminal. Para obtener más información acerca de las reglas de terminal, consulte Descripción de las reglas de terminal de IDP . |
Action |
Especifique la acción que desea que realice el sistema cuando el tráfico supervisado coincida con los objetos de ataque especificados en las reglas. Si un ataque desencadena varias acciones de reglas, se ejecuta la acción más grave entre esas reglas. Para obtener más información acerca de las acciones, consulte Descripción de las reglas de directiva de desplazados internos. |
IP Action |
Le permite proteger la red de futuras intrusiones, a la vez que permite el tráfico legítimo. Puede configurar una de las siguientes opciones de acción IP en la base de reglas IPS: notificar, eliminar o cerrar. Para obtener más información acerca de las acciones de IP, consulte Descripción de las reglas de directiva de desplazados internos. |
Notification |
Define cómo se debe registrar la información cuando se realiza la acción. Puede elegir registrar un ataque, crear registros con la información del ataque y enviar información al servidor de registro. Para obtener más información, consulte Descripción de las reglas de directiva de desplazados internos. |
Ejemplo: Definición de reglas para una base de reglas IPS de IDP
En este ejemplo se muestra cómo definir reglas para una base de reglas IPS de IDP.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Crear zonas de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
Para usar la directiva personalizada de IDP con ataques predefinidos, debe tener la base de datos de firmas descargada en el dispositivo.
Para obtener más información , consulte Ejemplo: actualización manual de la base de datos de firmas de IDP.
Visión general
Cada regla se compone de condiciones coincidentes, objetos, acciones y notificaciones. Cuando defina una regla de IDP, debe especificar el tipo de tráfico de red que desea que IDP supervise en busca de ataques mediante las siguientes características: zona de origen, zona de destino, dirección IP de origen, dirección IP de destino y el protocolo de capa de aplicación compatible con la dirección IP de destino. Las reglas se definen en bases de reglas y las bases de reglas están asociadas con políticas.
En este ejemplo se describe cómo crear una directiva denominada base-policy, especificar una base de reglas para esta directiva y, a continuación, agregar la regla R1 a esta base de reglas. En este ejemplo, regla R1:
Especifica la condición de coincidencia para incluir cualquier tráfico de una zona previamente configurada llamada trust a otra zona configurada previamente denominada untrust. La condición de coincidencia también incluye un grupo de ataque predefinido Crítico - TELNET. La configuración de la aplicación en la condición de coincidencia es default y coincide con cualquier aplicación configurada en el objeto de ataque.
Especifica una acción para quitar la conexión de cualquier tráfico que coincida con los criterios de la regla R1.
Habilita el registro de ataques y especifica que se agrega una marca de alerta al registro de ataques.
Especifica un nivel de gravedad como critical.
Después de definir la regla, especifique base-policy como la política activa en el dispositivo.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone trust to-zone untrust source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action drop-connection set security idp idp-policy base-policy rulebase-ips rule R1 then notification log-attacks alert set security idp idp-policy base-policy rulebase-ips rule R1 then severity critical set security idp active-policy base-policy
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para definir reglas para una base de reglas IPS de IDP:
Cree una política asignándole un nombre significativo.
[edit] user@host# edit security idp idp-policy base-policy
Asocie una base de reglas a la directiva.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
Agregar reglas a la base de reglas.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
Defina los criterios de coincidencia para la regla.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default
Defina un ataque como criterio de coincidencia.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
Especifique una acción para la regla.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then action drop-connection
Especifique las opciones de notificación y registro para la regla.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
Establezca el nivel de gravedad de la regla.
[edit security idp idp-policy base-policy rulebase-ips rule R1] user@host# set then severity critical
Active la directiva.
[edit] user@host# set security idp active-policy base-policy
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security idp comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups Critical-TELNET;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy base-policy;
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice esta tarea:
Descripción de las bases de reglas exentas de desplazados internos
La base de reglas exentas funciona junto con la base de reglas del sistema de prevención de intrusiones (IPS) para evitar que se generen alarmas innecesarias. Las reglas de esta base de reglas se configuran para excluir falsos positivos conocidos o para excluir un origen, destino o par origen/destino específico de una regla IPS. Si el tráfico coincide con una regla de la base de reglas IPS, el sistema intenta hacer coincidir el tráfico con la base de reglas exenta antes de realizar la acción especificada. Las reglas cuidadosamente escritas en una base de reglas exenta pueden reducir significativamente el número de falsos positivos generados por una base de reglas de IPS.
Configure una base de reglas exenta en las siguientes condiciones:
Cuando una regla de IDP utiliza un grupo de objetos de ataque que contiene uno o más objetos de ataque que producen falsos positivos o registros de registro irrelevantes.
Cuando desee excluir un origen, destino o par origen/destino específico de una regla de IDP. Esto evita que los desplazados internos generen alarmas innecesarias.
Asegúrese de configurar la base de reglas IPS antes de configurar la base de reglas exenta.
En la tabla 6 se resumen las opciones que se pueden configurar en las reglas de base de reglas exentas.
Término |
Definición |
|---|---|
Match condition |
Especifique el tipo de tráfico de red que desea que el dispositivo supervise para detectar ataques de la misma manera que en la base de reglas IPS. Sin embargo, en la base de reglas exenta, no se puede configurar una aplicación; siempre se establece en |
Attack objects/groups |
Especifique los objetos de ataque con los que desea not que coincida el dispositivo en el tráfico de red supervisado. |
Ejemplo: Definición de reglas para una base de reglas exenta de IDP
En este ejemplo se muestra cómo definir reglas para una base de reglas de desplazados internos exentos.
Requisitos
Antes de comenzar, cree reglas en la base de reglas de IDP IPS. Consulte Ejemplo: Definición de reglas para una base de reglas IPS de IDP.
Visión general
Al crear una regla de exención, debe especificar lo siguiente:
Origen y destino del tráfico que desea eximir. Puede establecer el origen o el destino en para eximir el tráfico de red que se origina
Anyen cualquier origen o se envía a cualquier destino. También puede establecersource-exceptodestination-exceptespecificar todos los orígenes o destinos, excepto las direcciones de origen o destino especificadas.Nota:Ahora puede especificar
source-addresscuándosource-exceptfrom-zoneesany. Del mismo modo, cuandoto-zoneesany, puede especificardestination-addressydestination-exceptdirecciones.Los ataques que desea que IDP exima para las direcciones de origen o destino especificadas. Debe incluir al menos un objeto de ataque en una regla de exención.
En este ejemplo se muestra que la directiva IDP genera falsos positivos para el ataque FTP:USER:ROOT en una red interna. Configure la regla para eximir la detección de ataques para este ataque cuando la IP de origen proviene de la red interna.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-exempt rule R1 match from-zone trust to-zone any set security idp idp-policy base-policy rulebase-exempt rule R1 match source-address internal-devices destination-address any set security idp idp-policy base-policy rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT" set security idp active-policy base-policy
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para definir reglas para una base de reglas de desplazados internos exentos:
Especifique la base de reglas de IPS de IDP para la que desea definir y exima la base de reglas.
[edit] user@host# edit security idp idp-policy base-policy
Asocie la base de reglas exenta con la política y las zonas, y agregue una regla a la base de reglas.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match from-zone trust to-zone any
Especifique las direcciones de origen y destino para la base de reglas.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match source-address internal-devices destination-address any
Especifique los ataques que desea eximir de la detección de ataques.
[edit security idp idp-policy base-policy] user@host# set rulebase-exempt rule R1 match attacks predefined-attacks "FTP:USER:ROOT"
Active la directiva.
[edit] user@host# set security idp active-policy base-policy
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security idp comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-exempt {
rule R1 {
match {
from-zone trust;
source-address internal-devices;
to-zone any;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
}
}
active-policy base-policy;
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice esta tarea:
Descripción de las reglas de terminal de IDP
El algoritmo de coincidencia de reglas de detección y prevención de intrusiones (IDP) comienza desde la parte superior de la base de reglas y comprueba el tráfico con todas las reglas de la base de reglas que coinciden con el origen, el destino y el servicio. Sin embargo, puede configurar una regla para que sea terminal. Una regla de terminal es una excepción a este algoritmo. Cuando se descubre una coincidencia en una regla de terminal para el origen, el destino, las zonas y la aplicación, IDP no continúa comprobando las reglas posteriores para el mismo origen, destino y aplicación. No importa si el tráfico coincide o no con los objetos de ataque en la regla de coincidencia.
Puede utilizar una regla de terminal para los siguientes fines:
Para establecer diferentes acciones para diferentes ataques para el mismo origen y destino.
No tener en cuenta el tráfico que se origina en una fuente de confianza conocida. Normalmente, la acción es
Nonepara este tipo de regla de terminal.Para ignorar el tráfico enviado a un servidor que es vulnerable solo a un conjunto específico de ataques. Normalmente, la acción es
Drop Connectionpara este tipo de regla de terminal.
Tenga cuidado al definir reglas de terminal. Una regla de terminal inadecuada puede dejar su red abierta a ataques. Recuerde que el tráfico que coincide con el origen, el destino y la aplicación de una regla de terminal no se compara con las reglas posteriores, incluso si el tráfico no coincide con un objeto de ataque en la regla de terminal. Utilice una regla de terminal sólo cuando desee examinar un determinado tipo de tráfico para un conjunto específico de objetos de ataque. Tenga especial cuidado con las reglas de terminal que utilizan any tanto para el origen como para el destino. Las reglas de terminal deben aparecer cerca de la parte superior de la base de reglas antes que otras reglas que coincidan con el mismo tráfico.
Ejemplo: Configuración de reglas de terminal en bases de reglas
En este ejemplo se muestra cómo configurar reglas de terminal.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Habilite los servicios de aplicación de IDP en una política de seguridad.
Crear zonas de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
Definir reglas. Consulte Ejemplo: Insertar una regla en la base de reglas de IDP .
Visión general
De forma predeterminada, las reglas de la base de reglas de IDP no son terminales, lo que significa que IDP examina todas las reglas de la base de reglas y ejecuta todas las coincidencias. Puede especificar que una regla sea terminal; es decir, si IDP encuentra una coincidencia para el origen, el destino y el servicio especificados en una regla de terminal, no examina ninguna regla posterior para esa conexión.
En este ejemplo se muestra cómo configurar reglas de terminal. La regla R2 se define para terminar el algoritmo de coincidencia si la IP de origen del tráfico se origina en una red de confianza conocida en su empresa. Si esta regla coincide, IDP ignora el tráfico de la red de confianza y no supervisa la sesión en busca de datos malintencionados.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R2 match source-address internal destination-address any set security idp idp-policy base-policy rulebase-ips rule R2 terminal set security idp idp-policy base-policy rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy base-policy rulebase-ips rule R2 then action recommended
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulteUso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar reglas de terminal:
Cree una política de desplazados internos.
[edit] user@host# set security idp idp-policy base-policy
Defina una regla y establezca sus criterios de coincidencia.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match source-address internal destination-address any
Establezca el indicador de terminal para la regla.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 terminal
Especifique los ataques que desea eximir de la detección de ataques.
[edit security idp idp-policy base-policy] user@host# set rulebase-ips rule R2 match attacks predefined-attacks FTP:USER:ROOT
Especifique una acción para la regla.
[edit security idp idp-policy base-policy] user@host# rulebase-ips rule R2 then action recommended
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security idp comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security idp
idp-policy base-policy {
rulebase-ips {
rule R2 {
match {
source-address internal;
destination-address any;
attacks {
predefined-attacks FTP:USER:ROOT;
}
}
then {
action {
recommended;
}
}
terminal;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Descripción de las reglas DSCP en las políticas de desplazados internos
El punto de código de servicios diferenciados (DSCP) es un valor entero codificado en el campo de 6 bits definido en los encabezados de los paquetes IP. Se utiliza para hacer cumplir las distinciones de clase de servicio (CoS). CoS le permite anular el comportamiento predeterminado de reenvío de paquetes y asignar niveles de servicio a flujos de tráfico específicos.
Puede configurar el valor DSCP como una acción en una regla de política de IDP. En primer lugar, defina el tráfico definiendo condiciones de coincidencia en la política IDP y, a continuación, asocie una acción de marcado DiffServ con él. Según el valor DSCP, los clasificadores de agregado de comportamiento establecen la clase de reenvío y la prioridad de pérdida para el tráfico que decide el tratamiento de reenvío que recibe el tráfico.
Todos los paquetes que coinciden con la regla de política de IDP tienen el campo CoS en su encabezado IP reescrito con el valor DSCP especificado en la política coincidente. Si el tráfico coincide con varias reglas con valores DSCP diferentes, la primera regla de IDP que coincida surtirá efecto y, a continuación, esta regla de IDP se aplicará a todo el tráfico de esa sesión.
Ejemplo: configuración de reglas DSCP en una directiva de IDP
En este ejemplo se muestra cómo configurar valores DSCP en una directiva IDP.
Requisitos
Antes de empezar:
Configurar interfaces de red
Habilitar los servicios de aplicación de IDP en una política de seguridad
Crear zonas de seguridad
Definir reglas
Visión general
La configuración de valores DSCP en políticas de IDP proporciona un método para asociar valores de CoS (es decir, diferentes niveles de confiabilidad) para distintos tipos de tráfico en la red.
En este ejemplo se muestra cómo crear una directiva denominada policy1, especificar una base de reglas para esta directiva y, a continuación, agregar la regla R1 a esta base de reglas. En este ejemplo, regla R1:
Especifica la condición de coincidencia para incluir cualquier tráfico desde una zona configurada previamente llamada confianza a otra zona configurada previamente denominada no confianza. La condición de coincidencia también incluye un grupo de ataque predefinido llamado HTTP - Crítico. La configuración de la aplicación en la condición de coincidencia se especifica como predeterminada y coincide con cualquier aplicación configurada en el objeto de ataque.
Especifica una acción para reescribir el campo CoS en el encabezado IP con el valor DSCP 50 para cualquier tráfico que coincida con los criterios de la regla R1.
Nota:Utilice el comando
show security idp attack attack-list recursive predefined-group "HTTP - Critical"para ver los detalles de lo que se incluye en el grupo predefinido "HTTP - Crítico".
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security idp idp-policy base-policy set security idp idp-policy base-policy rulebase-ips rule R1 match from-zone Zone-1 to-zone Zone-2 source-address any destination-address any application default set security idp idp-policy base-policy rulebase-ips rule R1 match attacks predefined-attack-groups "HTTP - Critical" set security idp idp-policy base-policy rulebase-ips rule R1 then action mark-diffserv 50
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar valores DSCP en una directiva de IDP:
Cree una política asignándole un nombre significativo.
[edit] user@host# edit security idp idp-policy base-policy
Asocie una base de reglas a la directiva.
[edit security idp idp-policy base-policy] user@host# edit rulebase-ips
Agregar reglas a la base de reglas.
[edit security idp idp-policy base-policy rulebase-ips] user@host# edit rule R1
Defina los criterios de coincidencia para la regla.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set match from-zone trust to-zone untrust source-address any destination-address any application default user@host# set match attacks predefined-attack-group “HTTP - Critical”
Especifique una acción para la regla.
[edit security idp idp-policy base-policy rulebase-ips R1] user@host# set then action mark-diffserv 50
Continúe especificando las opciones de notificación o registro para la regla, si es necesario.
Active la directiva.
[edit] user@host# set security idp active-policy base-policy
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security idp comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security idp
idp-policy base-policy{
rulebase-ips {
rule R1 {
match {
from-zone trust;
source-address any;
to-zone untrust;
destination-address any;
application default;
attacks {
predefined-attack-groups HTTP-Critical;
}
}
then {
action {
mark-diffserv {
50;
}
}
}
}
}
active-policy base-policy;
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.