Base de datos de firmas DPI
El DPI basado en firmas monitorea los paquetes en la red y los compara con patrones de ataque preconfigurados y predeterminados conocidos como firmas.
La administración de la base de datos de firmas del sistema de detección y prevención de intrusiones (DPI) es crucial para mantener una seguridad de red sólida. Al habilitar la descarga e instalación de actualizaciones periódicas, se asegura de que su red esté protegida contra las últimas amenazas. Puede configurar objetos y grupos de ataque personalizados para adaptar las medidas de seguridad a sus necesidades específicas, mejorando así la flexibilidad y la eficacia del sistema. La funcionalidad básica de DPI está habilitada de forma predeterminada sin necesidad de licencia, pero para recibir actualizaciones diarias es necesaria la instalación de una clave de licencia de actualización de base de datos de firmas de DPI. Esto garantiza una protección continua al mantener la base de datos de ataques actualizada con las vulnerabilidades emergentes. Para obtener más información sobre la licencia, consulte Claves de licencia de funciones de Junos OS.
Puede realizar las siguientes tareas para administrar la base de datos de firmas DPI:
Actualice la base de datos de firmas descargando actualizaciones de la base de datos de ataques del sitio web de Juniper Networks. A diario surgen nuevos ataques, así que mantenga su base de datos actualizada.
Compruebe la versión de la base de datos de firmas con la CLI, ya que cada versión tiene un número único, siendo la última la más alta.
Actualice el motor del detector de protocolos junto con la base de datos de firmas. El detector de protocolos DPI incluye decodificadores de protocolos de la capa de aplicación y actualizaciones con la política de DPI. Es necesario para las actualizaciones de políticas, incluso si no se modifican.
Programe actualizaciones automáticas para la base de datos de firmas en el dispositivo habilitado para DPI a intervalos establecidos.
Beneficios de la gestión de bases de datos de firmas DPI
-
Garantiza una protección actualizada contra amenazas emergentes al permitir descargas periódicas de las últimas actualizaciones de firmas.
-
Ofrece flexibilidad en la definición de parámetros de seguridad específicos, lo que le permite crear objetos de ataque personalizados y grupos adaptados a entornos de red individuales.
Paquete de firma DPI de Junos OS a través de un servidor proxy explícito
Juniper Networks actualiza periódicamente la base de datos predefinida de ataques y la pone a disposición como un paquete de seguridad en el sitio web de Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi. Esta base de datos incluye objetos de ataque y grupos de objetos de ataque que puede utilizar en las políticas de DPI para hacer coincidir el tráfico con los ataques conocidos.
Debe crear un perfil de proxy y utilizarlo para descargar el paquete de firma DPI a través de un servidor proxy explícito:
Configure un servidor proxy web en su dispositivo para gestionar las sesiones HTTP(S) salientes y la autenticación. Configure el perfil de proxy con los detalles del host y puerto del servidor proxy.
user@host# set services proxy profile profile-name protocol http host x.x.x.x port xxxx
Opcionalmente, configure la autenticación de proxy dentro del perfil de proxy. Al establecer un nombre de usuario y una contraseña, puede garantizar un acceso seguro a fuentes y servicios externos.
[edit] user@host# set services proxy profile profile-name protocol http username <username> user@host# set services proxy profile profile-name protocol http password <password>
-
Aplique el perfil de proxy. La compatibilidad con el servidor proxy web DPI depende de la configuración del perfil de proxy a nivel del sistema.
[edit] user@host# set security idp security-package proxy-profile proxy1
Cuando se aplica un perfil de proxy en [security idp security-package] jerarquía, el proceso idpd se conecta al host proxy en lugar del servidor de descarga del paquete de firmas. Luego, el host proxy se comunica con el servidor de descarga y proporciona la respuesta al proceso idpd. El proceso idpd recibe una notificación cada vez que se producen cambios en la [edit services proxy] jerarquía.
Una vez completada la instalación del paquete de seguridad, todos los objetos de ataque de DPI y grupos de ataques descargados e instalados están disponibles para configurarse en una o varias políticas de DPI. Estos objetos de ataque y el objeto de ataque se utilizan en las reglas de seguridad de la set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name jerarquía.
Cree una política y especifique la nueva política como política activa. Puede descargar solo las actualizaciones que Juniper Networks haya cargado recientemente y, luego, actualizar la base de datos de ataques, la política en ejecución y el detector con estas actualizaciones.
Puede deshabilitar el servidor proxy para la descarga de firmas de DPI mediante el delete security idp security-package proxy-profile proxy-profile
Ejemplo: Descargue el paquete de firma DPI de Junos OS a través de un servidor proxy explícito
En este ejemplo, el firewall de la serie SRX descarga e instala el paquete de seguridad DPI, con la tabla completa de objetos de ataque y grupos de objetos de ataque que está disponible en un servidor externo, utilizando el perfil de proxy configurado.
- Descripción general
- Requisitos
- Configuración rápida de CLI
- Verificación
- Verificar la descarga de la firma DPI a través del servidor proxy
- Verificar el estado de descarga de la firma del DPI
Descripción general
Para descargar el paquete de firma DPI mediante un servidor proxy, debe configurar el perfil de proxy para las conexiones HTTP.
En la Tabla 1 se proporcionan los detalles de los parámetros utilizados en este ejemplo.
| Parámetro |
Nombre |
|---|---|
| Nombre del perfil |
test_idp_proxy1 |
| Dirección IP del servidor proxy |
10.255.255.254 |
| Número de puerto del servidor proxy |
3128 |
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Este ejemplo de configuración se prueba en firewalls de la serie SRX con la versión 18.3R1 o posterior de Junos OS.
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en la jerarquía y, luego, ingrese commit desde el edit modo de configuración.
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.255.255.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
Procedimiento paso a paso
Para crear un perfil de proxy y descargar el paquete de firma DPI a través del servidor proxy:
-
Especifique la dirección IP del host proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.255.255.254 Especifique el número de puerto utilizado por el servidor proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128Especifique el perfil de proxy al que se debe hacer referencia para la descarga del paquete de seguridad.
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
Confirmar la configuración.
[edit] user@host# commit
Cambie al modo operativo.
[edit] user@host# exit
Descargue el paquete de seguridad DPI.
user@host> request security idp security-package download full-update
La opción de realizar una descarga e instalación del paquete de firma de DPI sin conexión desde el sitio web de Juniper sigue estando disponible. Para descargar e instalar el paquete de firma de DPI sin conexión, ejecute el comando de la
request security idp security-package offline-downloadCLI. El proceso de instalación sigue siendo el mismo para ambos comandos de descarga.
Verificación
Verificar la descarga de la firma DPI a través del servidor proxy
Propósito
Muestra los detalles para la descarga del paquete de firma DPI a través de un servidor proxy.
Acción
Desde el modo operativo, escriba el comando para ver los detalles del proxy específico del show security idp security-package proxy-profile DPI.
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.255.255.254 Port of proxy server :3128
Significado
En la salida, puede encontrar los detalles del perfil de proxy específico del DPI en Proxy Profile y Proxy Address campos.
Verificar el estado de descarga de la firma del DPI
Propósito
Compruebe el estado de descarga del paquete de firma de DPI.
Acción
Compruebe el estado de descarga del paquete de seguridad.
Desde el modo operativo, introduzca el request security idp security-package download status comando.
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
Significado
El resultado muestra el estado de descarga del paquete de firma DPI.
Ejemplo: Descargar e instalar los paquetes de seguridad de DPI en el modo de clúster de chasis
En este ejemplo, se muestra cómo descargar e instalar la base de datos de firmas DPI en un dispositivo que funciona en modo de clúster de chasis.
Requisitos
Antes de comenzar, establezca el ID de nodo del clúster del chasis y el ID del clúster. Consulte Ejemplo: Configuración del ID de nodo y del ID de clúster para dispositivos de seguridad en un clúster de chasis .
Descripción general
Cuando descarga el paquete de seguridad DPI en un dispositivo que funciona en modo de clúster de chasis, el paquete de seguridad se descarga en el nodo principal y, luego, se sincroniza con el nodo secundario. Esta sincronización ayuda a mantener la misma versión del paquete de seguridad tanto en el nodo principal como en el nodo secundario. Consulte Base de datos de firmas de DPI.
En firewalls de la serie SRX, si el uso de memoria del dispositivo es alto en el plano de control, la carga de una política de DPI grande puede hacer que el dispositivo se quede sin memoria. Esto puede desencadenar un reinicio del sistema durante la actualización del paquete de seguridad del DPI.
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Especifique la URL del paquete de seguridad.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Cambie al modo operativo.
[edit] user@host# exit
Descargue el paquete de seguridad DPI en el nodo principal (descargas en la var/db/idpd/sec-download carpeta.
{primary:node0}[edit] user@host> request security idp security-package downloadSe muestra el siguiente mensaje.
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
Compruebe el estado de descarga del paquete de seguridad.
{primary:node0}[edit] user@host> request security idp security-package download statusSi la descarga se realiza correctamente, se muestra el siguiente mensaje.
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
Actualice la base de datos de ataques mediante el
installcomando.user@host> request security idp security-package install
Compruebe el estado de actualización de la base de datos de ataques. El resultado del comando muestra información sobre las versiones descargadas e instaladas de la base de datos de ataques.
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.Debe descargar el paquete de firma DPI en el nodo principal. De esta manera, el paquete de seguridad se sincroniza en el nodo secundario.
Versión de la base de datos de firmas DPI
Con frecuencia se agregan nuevos objetos de ataque al servidor de base de datos de firmas; Descargar estas actualizaciones e instalarlas en sus dispositivos administrados con regularidad garantiza que su red esté efectivamente protegida contra las últimas amenazas. A medida que se agregan nuevos objetos de ataque al servidor de base de datos de firmas, el número de versión de la base de datos se actualiza con el número de versión de base de datos más reciente. Cada base de datos de firmas tiene un número de versión diferente, siendo la base de datos más reciente la que tiene el número más alto.
Cuando se actualiza la base de datos de firmas, el cliente de actualización de la base de firmas se conecta al sitio web de Juniper Networks y obtiene la actualización mediante una conexión HTTPS. La actualización calcula la diferencia entre las bases de datos de firmas existentes y más recientes utilizando su número de versión. Después de descargar las actualizaciones, la información actualizada se combina con la base de datos de firmas existente y el número de versión se establece en el de la base de datos de firmas más reciente.
Ver también
Comprobar la versión de la base de datos de firmas de DPI
Propósito
Muestra la versión de la base de datos de firmas.
Acción
Desde el modo operativo de la CLI, escriba show security idp security-package-version.
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
Significado
El resultado muestra los números de versión de la base de datos de firmas, el detector de protocolos y la plantilla de política en el dispositivo habilitado para DPI. Verifique la información siguiente:
Attack database version—El 16 de abril de 2008, la versión de la base de datos de firmas activa en el dispositivo es31.Detector version: muestra el número de versión del detector de protocolo DPI que se ejecuta actualmente en el dispositivo.Policy template version: muestra la versión de la plantilla de política que se instala en el/var/db/scripts/commitdirectorio cuando se ejecuta larequest security idp security-package install policy-templatesinstrucción de configuración en la CLI.
Para obtener una descripción completa de los resultados, consulte la descripción del programa de seguridad, idp de seguridad, security-package-version .
Ver también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.