EN ESTA PÁGINA
Descripción de la base de datos de firmas de desplazados internos
Información general sobre la actualización de la base de datos de firmas de IDP
Ejemplo: actualización automática de la base de datos de firmas
Información general sobre la actualización manual de la base de datos de firmas de IDP
Ejemplo: actualización manual de la base de datos de firmas de IDP
Ejemplo: descarga e instalación de los paquetes de seguridad del IDP en el modo de clúster de chasis
Descargar el paquete de firmas de IDP de Junos OS a través de un servidor proxy explícito
Descripción de la versión de la base de datos de firmas de IDP
Verificación de la versión de la base de datos de firmas de IDP
Descripción general de la base de datos de firmas de IDP
El IDP basado en firmas monitorea los paquetes en la red y los compara con patrones de ataque predeterminados y preconfigurados conocidos como firmas.
Para obtener más información, consulte los temas siguientes:
Descripción de la base de datos de firmas de desplazados internos
La base de datos de firmas es uno de los principales componentes de la detección y prevención de intrusiones (IDP). Contiene definiciones de diferentes objetos, como objetos de ataque, objetos de firmas de aplicación y objetos de servicio, que se utilizan para definir las reglas de políticas de IDP. Como respuesta a nuevas vulnerabilidades, Juniper Networks proporciona periódicamente un archivo que contiene actualizaciones de la base de datos de ataques en el sitio web de Juniper. Puede descargar este archivo para proteger su red de nuevas amenazas.
La función IDP está habilitada de forma predeterminada, no se requiere licencia. Los ataques personalizados y los grupos de ataques personalizados en las políticas de IDP también se pueden configurar e instalar incluso cuando no hay una base de datos de licencias y firmas válidas instalada en el dispositivo.
La base de datos de firmas de IDP se almacena en el dispositivo habilitado para IDP y contiene definiciones de objetos y grupos de ataque predefinidos. Estos objetos y grupos de ataque están diseñados para detectar patrones de ataque conocidos y anomalías de protocolo dentro del tráfico de red. Puede configurar objetos y grupos de ataque como condiciones de coincidencia en las reglas de política de IDP.
Debe instalar la clave de licencia IDP signature-database-update en su dispositivo para descargar e instalar actualizaciones diarias de la base de firmas proporcionadas por Juniper Networks. La clave de licencia de firma IDP no proporciona compatibilidad con períodos de gracia. Para obtener más información sobre la licencia, consulte Claves de licencia de características de Junos OS.
A partir de Junos OS versión 18.3R1, puede descargar el paquete de seguridad de IDP a través de un servidor proxy explícito. Para descargar el paquete de seguridad de IDP que se aloja en un servidor externo, debe configurar un perfil de proxy y utilizar los detalles de host y puerto de proxy que se configuran en el perfil de proxy. Esta característica le permite usar un servidor proxy web implementado en su dispositivo para el acceso y la autenticación de sesiones salientes HTTP (S) para su solución de seguridad general.
Puede realizar las siguientes tareas para administrar la base de datos de firmas de IDP:
Actualizar la base de firmas —descargue las actualizaciones de la base de datos de ataques disponibles en el sitio web de Juniper Networks. Diariamente se descubren nuevos ataques, por lo que es importante mantener actualizada su base de datos de firmas.
Verificar la versión de la base de datos de firmas: cada base de datos de firmas tiene un número de versión diferente y la base de datos más reciente tiene el número más alto. Puede usar la CLI para mostrar el número de versión de la base de datos de firmas.
Actualizar el motor del detector de protocolos: puede descargar las actualizaciones del motor del detector de protocolos junto con la descarga de la base de datos de firmas. El detector de protocolo IDP contiene descodificadores de protocolo de capa de aplicación. El detector se combina con la política de desplazados internos y se actualiza juntos. Siempre es necesario en el momento de la actualización de la política, incluso si no hay ningún cambio en el detector.
Programar actualizaciones de la base de datos de firmas: puede configurar el dispositivo habilitado para IDP para que actualice automáticamente la base de firmas después de un intervalo establecido.
Información general sobre la actualización de la base de datos de firmas de IDP
Juniper Networks actualiza periódicamente la base de datos predefinida de ataques y la pone a disposición en el sitio web de Juniper Networks. Esta base de datos incluye grupos de objetos de ataque que puede utilizar en las directivas de IDP para hacer coincidir el tráfico con los ataques conocidos. Aunque no puede crear, editar ni eliminar objetos de ataque predefinidos, puede usar la CLI para actualizar la lista de objetos de ataque que puede usar en las políticas de IDP.
Para actualizar la base de datos de firmas, descargue un paquete de seguridad desde el sitio web de Juniper Networks o a través de un servidor proxy Web explícito. El paquete de seguridad consta de los siguientes componentes de IDP:
Objetos de ataque
Grupos de objetos de ataque
Objetos de aplicación
Actualizaciones del motor del detector de desplazados internos
Plantillas de política de desplazados internos. Las plantillas de directiva se descargan de forma independiente. Consulte Descripción de plantillas de directivas de desplazados internos predefinidas.)
De forma predeterminada, cuando descargue el paquete de seguridad, descargue los siguientes componentes en una carpeta de ensayo del dispositivo: la versión más reciente de la tabla completa de grupos de objetos de ataque, la tabla de objetos de aplicación y las actualizaciones del motor de detección de desplazados internos. Dado que la tabla de objetos de ataque suele tener un tamaño grande, el sistema descarga de forma predeterminada sólo las actualizaciones de la tabla de objetos de ataque. Sin embargo, puede descargar la tabla completa de objetos de ataque mediante la opción de full-update configuración.
Después de descargar el paquete de seguridad, debe instalar el paquete para actualizar la base de datos de seguridad con las actualizaciones recién descargadas desde la carpeta En ensayo del dispositivo.
Después de instalar un paquete de seguridad, cuando confirme la configuración, se comprueba la sintaxis de todas las directivas (no solo la directiva activa). Esta comprobación es lo mismo que una comprobación de confirmación. Si un ataque configurado en cualquiera de las directivas existentes se quita de la nueva base de datos de firmas que descargue, se producirá un error en la comprobación de confirmación.
Cuando se actualiza la base de datos de firmas de desplazados internos, los ataques configurados en las directivas no se actualizan automáticamente. Por ejemplo, supongamos que configura una directiva para incluir un ataque FTP:USER:ROOT que está disponible en la base de datos de firmas versión 1200 en su sistema. Luego, descarga la versión 1201 de la base de datos de firmas, que ya no incluye el ataque FTP:USER:ROOT. Dado que falta un ataque configurado en su política en la base de datos recién descargada, se produce un error en la comprobación de confirmación en la CLI. Para confirmar correctamente su configuración, debe quitar el ataque (FTP:USER:ROOT) de la configuración de la directiva.
Las actualizaciones de firmas de IDP pueden fallar si se produce un error en una nueva carga de políticas de IDP por cualquier motivo. Cuando se produce un error en una nueva carga de política de IDP, se carga la última política de IDP válida conocida. Una vez que se resuelva el problema con la nueva carga de directiva y la nueva directiva válida esté activa, las actualizaciones de firmas funcionarán correctamente.
Mejoras en el paquete de firmas de IDP
Hemos realizado mejoras para reducir los riesgos de interrupciones y controlar el efecto de los problemas de integridad durante las actualizaciones de los paquetes de seguridad.
IDP indica a AppID que instale el paquete de aplicaciones cuando se instala el paquete de seguridad. Después de instalar el paquete AppID, el paquete de seguridad IDP se instala en la siguiente secuencia:
La base de datos de ataques se crea utilizando las firmas que se descargan.
La directiva configurada se actualiza con la información de la base de datos recién instalada.
La directiva actualizada se carga en el motor de reenvío de paquetes.
El tráfico se inspecciona mediante la directiva recién cargada en el motor de reenvío de paquetes.
La interrupción del servicio no se produce cuando se produce un problema o un volcado de núcleo en los pasos 1 a 3. Una interrupción del servicio se produce si se produce un volcado de núcleo mientras se inspecciona el tráfico.
Del mismo modo, no es necesario revertir el paquete de seguridad si el problema se produce mientras se crea la base de datos de ataques o mientras se actualiza la directiva configurada. Sin embargo, cuando se produce un problema al cargar la directiva actualizada o mientras se inspecciona el tráfico, se activa el proceso de reversión. Un paquete de firma no supera la comprobación de integridad si hay alguna desconexión del motor de reenvío de paquetes o del proceso de flujo (flujo) según criterios predefinidos.
Con las mejoras, el paquete de firma se revierte automáticamente cuando la instalación del paquete de seguridad no se realiza correctamente. Esto puede ocurrir cuando se detecta un paquete que no superó la comprobación de integridad o debido a una memoria insuficiente.
Si un paquete de firmas no se instala cuando la memoria es baja, el paquete de firma no se marca como que no supera la comprobación de integridad y la reversión se activa sólo para IDP.
Si se activa la reversión automática después de que falle la instalación de un nuevo paquete de firmas, la versión instalada y la versión de reversión manual no cambian.
A continuación se muestran los escenarios de reversión en los que se produce un error en la instalación del paquete de seguridad:
| Instalación del paquete de seguridad |
Descripción |
|---|---|
| Instalación de paquetes de seguridad en un dispositivo de estado de fábrica |
La base de datos de reversión no existe. Si se produce un error en la instalación o si se detecta un paquete que no superó la comprobación de integridad, no hay reversión. Si la instalación se realiza correctamente, se crea una nueva base de datos de reversión. |
| Instalación de paquetes de seguridad en un dispositivo que no esté en estado de fábrica |
Si se produce un error en la instalación en el motor de enrutamiento, no se realiza ninguna reversión. El motor de reenvío de paquetes inspecciona el tráfico mediante la directiva que ya está cargada. Si se determina que el paquete de firma es un paquete que no superó la comprobación de integridad después de cargarlo en el motor de reenvío de paquetes, se activa el proceso de reversión y el motor de reenvío de paquetes tiene el paquete de seguridad que se instaló anteriormente. |
Se muestra un nuevo mensaje de estado cuando se activa la reversión automática. Puede comprobar el mensaje mediante el siguiente comando:
root@host> request security idp security-package install status
Security-package validation failed, triggered auto rollback of the security-package.
IDP se revierte si se descubre que un paquete de firma es un paquete que no superó la comprobación de integridad. IDP envía una señal a AppID para que retroceda, pero IDP no espera el estado de reversión de AppID.
Puede comprobar el estado de la reversión mediante el siguiente comando:
root@host> request security idp security-package rollback status
El estado de la reversión se muestra como error de reversión automática o se completó correctamente. Se muestra la versión revertida.
Puede usar el siguiente comando para comprobar los detalles del paquete de firmas que falló durante la validación del plano de datos.
root@host> show security idp security-package-version detail
Attack database version:3550(Thu Dec 1 14:20:50 2022 UTC) Detector version :12.6.180220128 Policy template version :3598 Rollback Attack database version :3550(Thu Dec 1 14:20:50 2022 UTC) Rollback Detector version: 12.6.180220128 Last known security-package-version which failed in data plane validation: 3650(Thu Nov 9 14:08:04 2023 UTC) Last known security-package- detector-version which failed in data plane validation : 12.6.180230313
Reversión en un firewall multi-SPC/PIC SRX Series
Actualmente, cuando se instala un paquete de seguridad en un dispositivo con varias SPC o PIC, como un firewall de la serie SRX5000, el paquete de seguridad se instala y se carga en todas las PIC simultáneamente. Si el plano de datos deja de funcionar en una PIC, el proceso del chasis (chasis) garantiza que todas las demás PIC se desconecten. La instalación del paquete de firmas en un PIC a la vez no funciona. Además, cuando las PIC vuelven a estar en línea, se enfrentan a los mismos problemas de tráfico y plano de datos, lo que puede provocar interrupciones repetidas.
Cuando se produce un volcado de núcleo después de instalar un paquete de firmas, el paquete de seguridad se revierte una vez que el PIC vuelve a estar en línea, lo que limita el daño potencial.
Se agrega un nuevo mensaje de estado en la salida del comando status después de instalar el paquete de seguridad y cargar la directiva en el motor de reenvío de paquetes, mientras se valida la comprobación de integridad del paquete de firma.
root@host> request security idp security-package install status
Security-package validation is in progress…
Instalación de paquetes de seguridad en un entorno de alta disponibilidad
En un escenario de alta disponibilidad, la instalación del paquete de seguridad se activa simultáneamente en los nodos principal y secundario. Cuando se produce un error en el proceso srxpfe debido a un problema en el paquete de seguridad, se produce una conmutación por error y el nodo secundario toma el control.
Para evitar que se produzcan conmutaciones por error en un bucle cuando el mismo paquete de seguridad está instalado en el nodo secundario, la validación de la comprobación de integridad se realiza en la etapa de instalación del nodo principal. El paquete de seguridad se instala en el nodo secundario solo después de que el paquete supere la comprobación de integridad. La instalación en el nodo secundario no está permitida hasta que descargue otra versión del paquete de firma.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- In progress:performing DB update for an xml (groups.xml) node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the security-package.
Durante la instalación del paquete de firmas, después de ejecutar el comando de instalación y cuando se completa la validación de la comprobación de integridad, si se produce alguna conmutación por error o conmutación, se activa la reversión automática en el nodo primario antiguo y la instalación se anula en el nodo secundario antiguo.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation aborted due to node failover node1: -------------------------------------------------------------------------- Done;Security-package installation failed due to node failover;Successfully Rolled back to 3656
Si se produce un error en la instalación en el nodo principal, se produce una reversión en el nodo principal y la instalación se anula en el nodo secundario.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation failed;Successfully Rolled back to 3550 node1: -------------------------------------------------------------------------- Done;Security-package installation aborted due to failure in the primary node installation
Los siguientes cambios se observan cuando el paquete de seguridad se instala en un dispositivo de alta disponibilidad después de las mejoras:
| Instalación del paquete de seguridad |
Descripción |
|---|---|
| Instalación del paquete de seguridad en ambos nodos (predeterminado) |
La instalación del paquete de seguridad comienza en el nodo principal. La instalación del paquete de firmas en el nodo secundario solo comienza después de que se haya pasado la comprobación de validación de integridad del paquete de firma en el nodo principal. La reversión del paquete de firma se activa en el nodo principal si el paquete no supera la comprobación de integridad. El paquete no está instalado en el nodo secundario. Si se produce un error en la instalación del paquete de seguridad en el nodo secundario, la reversión se activa solo en el nodo secundario y se activa una alarma menor porque las versiones del paquete de seguridad no coinciden. |
| Instalación del paquete de seguridad solo en el nodo principal |
Si se produce un error en la instalación, la reversión solo se produce en el nodo principal. |
La comprobación de validación de la integridad del paquete de firmas no se realiza en el nodo secundario. Un paquete de firma que no supera la comprobación de integridad en el nodo principal también se marca como error en el nodo secundario. Se activa una alarma menor cuando se instalan diferentes versiones del paquete de firmas en el nodo primario y secundario.
No permitir la descarga o instalación de un paquete que no superó la comprobación de integridad
No podrá descargar ni instalar un paquete de firmas que no haya superado la comprobación de integridad en una configuración independiente o de alta disponibilidad. Se muestra una advertencia. El paquete de firma que no superó la comprobación de integridad existe incluso después de reiniciar.
Si un paquete de firmas no supera la comprobación de integridad de AppID, también se considera que ha fallado para IDP.
Puede usar el siguiente comando para comprobar el estado:
root@host> request security idp security-package install status
Done;AI installation failed (failed in data plane validation)
Un paquete de firma marcado como que no ha superado la comprobación de integridad en el nodo principal también se marca como tal en el nodo secundario. Cuando intenta descargar un paquete de seguridad que no ha superado la comprobación de integridad y comprobar el estado, se muestra el siguiente mensaje de estado:
root@host> request security idp security-package download status
Requested security-package 3501 failed data plane validation. Please download another version.
Cuando intenta instalar un paquete de seguridad que ha fallado la comprobación de integridad y comprobar el estado, se muestra el mensaje siguiente:
Requested security-package 3501 failed data plane validation. Please install another version.
Cuando intenta descargar el paquete de seguridad que no superó la comprobación de integridad sin conexión, se muestra el mismo mensaje.
Reversión de un paquete de firmas al cargar la última política válida después de la instalación
Las políticas de IDP deben compilarse cuando se reinicia el proceso de políticas de IDP, cuando hay un cambio en la configuración que requiere compilación o cuando se instala un paquete de firmas. Después de compilar la directiva, el motor de enrutamiento intenta cargarla después de realizar una copia de seguridad de la directiva que está cargada actualmente. Esta política se denomina última política buena. Si una directiva que se acaba de compilar no se carga debido a un motivo como limitaciones de memoria, el motor de enrutamiento intenta cargar la última política válida.
Por lo tanto, cuando se compila una política después de la instalación de un paquete de firmas y se produce un error en la carga de la directiva, el motor de enrutamiento intenta cargar la última política válida. Sin embargo, después de cargar la última política válida, el motor de enrutamiento y el motor de reenvío de paquetes tienen diferentes versiones de paquetes de firma. El paquete de firmas del motor de enrutamiento se revierte para mantener la coherencia.
Ver también
Descripción general de la descarga del paquete de firmas IDP de Junos OS a través de un servidor proxy explícito
A partir de Junos OS versión 18.3R1, puede descargar el paquete de seguridad de IDP a través de un servidor proxy explícito. Para descargar el paquete de seguridad de IDP que se aloja en un servidor externo, debe configurar un perfil de proxy y utilizar los detalles de host y puerto de proxy que se configuran en el perfil de proxy. Esta función le permite utilizar un servidor proxy web desplegado en su dispositivo para el acceso y la autenticación de sesiones salientes HTTP(S).
Debe configurar la opción de perfil de proxy de la descarga del paquete de seguridad para conectarse al servidor externo a través de un servidor proxy especificado. El perfil de proxy se configura en [edit services proxy] jerarquía.
Puede configurar más de un perfil de proxy en [edit services proxy] la jerarquía. El IDP solo puede utilizar un perfil de proxy. No se admite el uso simultáneo de varios perfiles de proxy en IDP. Cuando se configura un perfil de proxy en [security idp security-package] jerarquía, el proceso idpd se conecta al host proxy en lugar del servidor de descarga del paquete de firmas. A continuación, el host proxy se comunica con el servidor de descarga y devuelve la respuesta al proceso idpd. El proceso idpd se notifica cada vez que se realiza un cambio en la [edit services proxy] jerarquía.
Puede deshabilitar el servidor proxy para descargar el paquete de firmas IDP cuando no sea necesario.
Para deshabilitar el servidor proxy para la descarga de firmas de IDP, utilice el comando delete security idp security-package proxy-profile proxy-profile
La compatibilidad con proxy web IDP depende del perfil de proxy configurado en el nivel del sistema. Para utilizar el servidor proxy web para la descarga, debe configurar un perfil de proxy con los detalles de host y puerto del servidor proxy, y aplicar el perfil de proxy en la [security idp security-package] jerarquía.
Ejemplo: actualización automática de la base de datos de firmas
En este ejemplo se muestra cómo descargar automáticamente actualizaciones de bases de datos de firmas.
Requisitos
Antes de comenzar, configure las interfaces de red.
Visión general
Juniper Networks actualiza periódicamente la base de datos de ataques predefinida y la pone a disposición como paquete de seguridad en el sitio web de Juniper Networks. Esta base de datos incluye objetos de ataque y grupos de objetos de ataque que puede utilizar en las políticas de IDP para hacer coincidir el tráfico con los ataques conocidos. Puede configurar el dispositivo para que descargue automáticamente las actualizaciones de la base de datos de firmas a intervalos especificados.
En este ejemplo, se descarga el paquete de seguridad con la tabla completa de objetos de ataque y grupos de objetos de ataque cada 48 horas, a partir de las 23:59 horas del 10 de diciembre. También habilita una descarga y actualización automáticas del paquete de seguridad.
Configuración
Procedimiento
Procedimiento paso a paso
Para descargar y actualizar los objetos de ataque predefinidos:
Especifique la dirección URL del paquete de seguridad.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Nota:De forma predeterminada, tomará URL como https://signatures.juniper.net/cgi-bin/index.cgi.
Especifique el valor de tiempo e intervalo para la descarga.
[edit] user@host# set security idp security-package automatic interval 48 start-time 2009-12-10.23:59:00
Habilite la descarga y actualización automáticas del paquete de seguridad.
[edit] user@host# set security idp security-package automatic enable
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Información general sobre la actualización manual de la base de datos de firmas de IDP
Juniper Networks actualiza periódicamente la base de datos predefinida de ataques y la pone a disposición en el sitio web de Juniper Networks. Esta base de datos incluye grupos de objetos de ataque que puede usar en las directivas de detección y prevención de intrusiones (IDP) para hacer coincidir el tráfico con ataques conocidos. Aunque no puede crear, editar ni eliminar objetos de ataque predefinidos, puede usar la CLI para actualizar la lista de objetos de ataque que puede usar en las políticas de IDP. Después de descargar el paquete de seguridad, debe instalar el paquete para actualizar la base de datos de seguridad con las actualizaciones recién descargadas desde la carpeta En ensayo del dispositivo.
Ejemplo: actualización manual de la base de datos de firmas de IDP
En este ejemplo se muestra cómo actualizar manualmente la base de datos de firmas de IDP.
Requisitos
Antes de comenzar, configure las interfaces de red.
Visión general
Juniper Networks actualiza periódicamente la base de datos de ataques predefinida y la pone a disposición como paquete de seguridad en el sitio web de Juniper Networks. Esta base de datos incluye objetos de ataque y grupos de objetos de ataque que puede usar en directivas de IDP para hacer coincidir el tráfico con ataques conocidos.
En este ejemplo, se descarga el paquete de seguridad con la tabla completa de objetos de ataque y grupos de objetos de ataque. Una vez completada la instalación, los objetos de ataque y los grupos de objetos de ataque están disponibles en la CLI en las instrucciones de configuración predefinidas de ataques y ataques predefinidos en el nivel jerárquico [edit security idp idp-policy]. Cree una directiva y especifique la nueva como la directiva activa. También puede descargar solo las actualizaciones que Juniper Networks ha cargado recientemente y, a continuación, actualizar la base de datos de ataques, la política en ejecución y el detector con estas nuevas actualizaciones.
Configuración
Procedimiento
Configuración rápida de CLI
La configuración rápida de CLI no está disponible para este ejemplo porque se requiere intervención manual durante la configuración.
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para descargar y actualizar manualmente la base de datos de firmas:
Especifique la dirección URL del paquete de seguridad.
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Nota:De forma predeterminada, tomará URL como https://signatures.juniper.net/cgi-bin/index.cgi.
Confirme la configuración.
[edit] user@host# commit
Cambie al modo operativo.
[edit] user@host# exit
Descargue el paquete de seguridad.
user@host>request security idp security-package download full-update
Nota:Puede realizar una descarga de paquete de firmas sin conexión en su dispositivo. Puede descargar el paquete de firma y copiarlo en cualquier ubicación común del dispositivo y descargar el paquete sin conexión con el
request security idp security-package offline-downloadcomando.La instalación del paquete de firmas sigue siendo la misma y siempre será una actualización completa.
Compruebe el estado de descarga del paquete de seguridad.
user@host>request security idp security-package download status
Actualice la base de datos de ataques mediante el comando install.
user@host>request security idp security-package install
Compruebe el estado de actualización de la base de datos de ataques con el siguiente comando (el resultado del comando muestra información sobre las versiones descargadas e instaladas de las versiones de la base de datos de ataque):
user@host>request security idp security-package install status
Cambie al modo de configuración.
user@host>configure
Cree una política de desplazados internos.
[edit ] user@host#edit security idp idp-policy policy1
Asocie objetos de ataque o grupos de objetos de ataque a la directiva.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
Establecer acción.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
Active la directiva.
[edit] user@host#set security idp active-policy policy1
Confirme la configuración.
[edit] user@host# commit
Después de una semana, descargue solo las actualizaciones que Juniper Networks haya subido recientemente.
user@host>request security idp security-package download
Compruebe el estado de descarga del paquete de seguridad.
user@host>request security idp security-package download status
Actualice la base de datos de ataques, la política activa y el detector con los nuevos cambios.
user@host>request security idp security-package install
Compruebe la base de datos de ataques, la política activa y el detector mediante el estado de instalación.
user@host>request security idp security-package install status
Nota:Es posible que un ataque se elimine de la nueva versión de una base de datos de ataques. Si este ataque se utiliza en una política existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica el ataque que ya no es válido. Para actualizar la base de datos correctamente, quite todas las referencias al ataque eliminado de las directivas y grupos existentes y vuelva a ejecutar el comando de instalación.
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security idp comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Ejemplo: descarga e instalación de los paquetes de seguridad del IDP en el modo de clúster de chasis
En este ejemplo se muestra cómo descargar e instalar la base de datos de firmas IDP en un dispositivo que funciona en modo de clúster de chasis.
Requisitos
Antes de comenzar, establezca el ID de nodo del clúster del chasis y el ID del clúster. Consulte Ejemplo: Configuración del ID de nodo y el ID de clúster para dispositivos de seguridad en un clúster de chasis .
Visión general
El paquete de seguridad para la detección y prevención de intrusiones (IDP) contiene una base de datos de objetos de ataque de IDP predefinidos y grupos de objetos de ataque de IDP que puede usar en las directivas de IDP para hacer coincidir el tráfico con ataques conocidos y desconocidos. Juniper Networks actualiza periódicamente los objetos y grupos de ataque predefinidos con patrones de ataque recién descubiertos.
Para actualizar la base de datos de firmas, debe descargar un paquete de seguridad del sitio web de Juniper Networks. Después de descargar el paquete de seguridad, debe instalar el paquete para actualizar la base de datos de seguridad con las actualizaciones recién descargadas desde la carpeta En ensayo del dispositivo.
En todos los firewalls de la serie SRX de sucursal, si la utilización de memoria del dispositivo es alta en el plano de control, la carga de una política de IDP grande podría hacer que el dispositivo se quede sin memoria. Esto puede desencadenar un reinicio del sistema durante la actualización del paquete de seguridad de IDP.
Para obtener más información, consulte Descripción de la base de datos de firmas de IDP.
Cuando descarga el paquete de seguridad IDP en un dispositivo que funciona en modo de clúster de chasis, el paquete de seguridad se descarga en el nodo principal y, a continuación, se sincroniza con el nodo secundario. Esta sincronización ayuda a mantener la misma versión del paquete de seguridad tanto en el nodo principal como en el nodo secundario.
Descarga e instalación de la base de datos de firmas de IDP
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Especifique la dirección URL del paquete de seguridad.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Cambie al modo operativo.
[edit] user@host# exit
Descargue el paquete de seguridad del IDP en el nodo principal (descargas en la var/db/idpd/sec-download carpeta.
{primary:node0}[edit] user@host> request security idp security-package downloadSe muestra el siguiente mensaje.
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
Compruebe el estado de descarga del paquete de seguridad.
{primary:node0}[edit] user@host> request security idp security-package download statusEn una descarga correcta, se muestra el siguiente mensaje.
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
Actualice la base de datos de ataques con el
installcomando.user@host> request security idp security-package install
Compruebe el estado de actualización de la base de datos de ataques. El resultado del comando muestra información sobre las versiones descargadas e instaladas de la base de datos de ataques.
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.Nota:Debe descargar el paquete de firmas IDP en el nodo principal. De esta manera, el paquete de seguridad se sincroniza en el nodo secundario. Se producirá un error al intentar descargar el paquete de firmas en el nodo secundario.
Si ha configurado una descarga programada para los paquetes de seguridad, los archivos del paquete de firma se sincronizan automáticamente desde el nodo principal al nodo de copia de seguridad.
Descargar el paquete de firmas de IDP de Junos OS a través de un servidor proxy explícito
En este ejemplo se muestra cómo crear un perfil de proxy y usarlo para descargar el paquete de firmas IDP a través de un servidor proxy explícito.
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en la jerarquía y, a continuación, ingrese commit desde el edit modo de configuración.
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
Configuración
Procedimiento paso a paso
Se crea el perfil de proxy para el servidor proxy y, a continuación, el proceso idpd hace referencia a este perfil para descargar el paquete de firmas IDP a través del servidor proxy.
-
Especifique la dirección IP del host proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 Especifique el número de puerto utilizado por el servidor proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128Especifique el perfil de proxy al que se debe hacer referencia para la descarga del paquete de seguridad.
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
Confirme la configuración.
[edit] user@host# commit
Cambie al modo operativo.
[edit] user@host# exit
Descargue el paquete de seguridad de IDP.
user@host> request security idp security-package download full-update
Nota:La opción de descargar e instalar un paquete de firmas de IDP sin conexión desde el sitio web de Juniper sigue estando disponible. Para descargar e instalar el paquete de firmas IDP sin conexión, ejecute el comando de la
request security idp security-package offline-downloadCLI. El proceso de instalación sigue siendo el mismo para ambos comandos de descarga.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Este ejemplo de configuración se prueba en el firewall de la serie SRX con Junos OS versión 18.3R1 o posterior.
Visión general
Juniper Networks actualiza periódicamente la base de datos de ataques predefinida y la pone a disposición como paquete de seguridad en el sitio web de Juniper Networks. Esta base de datos incluye objetos de ataque y grupos de objetos de ataque que puede usar en directivas de IDP para hacer coincidir el tráfico con ataques conocidos.
A partir de Junos OS versión 18.3R1, puede descargar el paquete de firmas IDP mediante un servidor proxy. La configuración del perfil de proxy solo está disponible para conexiones HTTP.
En este ejemplo, el firewall de la serie SRX descarga e instala el paquete de seguridad IDP, con la tabla completa de objetos de ataque y grupos de objetos de ataque que está disponible en un servidor externo, utilizando el perfil de proxy configurado.
Una vez completada la instalación, todos los objetos de ataque IDP descargados e instalados y los grupos de ataque están disponibles para configurarse en una política o políticas de IDP. Estos objetos de ataque y objetos de ataque se utilizan en las reglas de seguridad de la set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name jerarquía. Cree una directiva y especifique la nueva como la directiva activa. Solo puede descargar las actualizaciones que Juniper Networks haya cargado recientemente y, a continuación, actualizar la base de datos de ataques, la política en ejecución y el detector con estas actualizaciones.
Para habilitar la descarga del paquete de firmas IDP a través de un servidor proxy explícito:
Configure un perfil con detalles de host y puerto del servidor proxy mediante el
set services proxy profilecomando.Utilice el
set security idp security-package proxy-profile profile-namecomando para conectarse al servidor proxy y descargar el paquete de firmas IDP.
Cuando se descarga el paquete de firma IDP, la solicitud se envía a través del host proxy al servidor real que aloja el paquete de firma. A continuación, el host proxy envía la respuesta desde el host real. Luego, el paquete de firmas de IDP se recibe del sitio web de seguridad de Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
En este ejemplo, se crea un perfil de proxy y se hace referencia al perfil cuando se descarga el paquete de firma IDP desde el host externo. En la tabla 3 se proporcionan los detalles de los parámetros utilizados en este ejemplo.
Parámetro |
Nombre |
|---|---|
Nombre del perfil |
test_idp_proxy1 |
Dirección IP del servidor proxy |
10.209.97.254 |
Número de puerto del servidor proxy |
3128 |
Verificación
- Comprobación de la descarga de firmas de desplazados internos a través del servidor proxy
- Verificación del estado de descarga de firmas de desplazados internos
Comprobación de la descarga de firmas de desplazados internos a través del servidor proxy
Propósito
Muestra los detalles de la descarga del paquete de firmas de IDP a través de un servidor proxy.
Acción
Desde el modo operativo, escriba el comando para ver los detalles del proxy específico del show security idp security-package proxy-profile IDP.
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.209.97.254 Port of proxy server :3128
Significado
En el resultado, puede encontrar los detalles del perfil de proxy específico del IDP en y Proxy Address camposProxy Profile.
Verificación del estado de descarga de firmas de desplazados internos
Propósito
Compruebe el estado de descarga del paquete de firmas de IDP.
Acción
Compruebe el estado de descarga del paquete de seguridad.
Desde el modo operativo, ingrese el request security idp security-package download status comando.
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
Significado
El resultado muestra el estado de descarga del paquete de firma IDP.
Descripción de la versión de la base de datos de firmas de IDP
Con frecuencia se agregan nuevos objetos de ataque al servidor de base de datos de firmas; Descargar estas actualizaciones e instalarlas en sus dispositivos administrados regularmente garantiza que su red esté protegida eficazmente contra las amenazas más recientes. A medida que se agregan nuevos objetos de ataque al servidor de base de datos de firmas, el número de versión de la base de datos se actualiza con el número de versión de base de datos más reciente. Cada base de datos de firmas tiene un número de versión diferente, y la última base de datos tiene el número más alto.
Al actualizar la base de datos de firmas, el cliente de actualización de la base de firmas se conecta al sitio web de Juniper Networks y obtiene la actualización mediante una conexión HTTPS. Esta actualización (diferencia entre la base de datos de firmas existente y la base de datos de firmas más reciente) se calcula en función del número de versión asignado a cada base de datos de firmas. Después de descargar las actualizaciones, la información actualizada se combina con la base de datos de firmas existente y el número de versión se establece en el de la base de datos de firmas más reciente.
Ver también
Verificación de la versión de la base de datos de firmas de IDP
Propósito
Mostrar la versión de la base de firmas de la base de datos.
Acción
En el modo operativo de la CLI, escriba show security idp security-package-version.
Salida de muestra
nombre-comando
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
Significado
El resultado muestra los números de versión de la base de datos de firmas, el detector de protocolos y la plantilla de directiva en el dispositivo habilitado para IDP. Verifique la siguiente información:
Attack database version—El 16 de abril de 2008, la versión de la base de datos de firmas activa en el dispositivo es31.Detector version: muestra el número de versión del detector de protocolo IDP que se está ejecutando actualmente en el dispositivo.Policy template version: muestra la versión de la plantilla de directiva que se instala en el/var/db/scripts/commitdirectorio cuando se ejecuta larequest security idp security-package install policy-templatesinstrucción de configuración en la CLI.
Para obtener una descripción completa de la salida, consulte la descripción show security idp security-package-version de seguridad .
Ver también
Descripción de las firmas IPS de Snort
RESUMEN El IDP de Juniper Networks admite firmas IPS de Snort. Puede convertir las reglas de Snort IPS en firmas de ataque personalizadas de IDP de Juniper mediante la herramienta de integración de Snort (JIST) de Juniper. Estas reglas de Snort IPS ayudan a detectar ataques maliciosos.
IDP protege su red mediante el uso de firmas que ayudan a detectar ataques. Snort es un sistema de prevención de intrusiones (IPS) de código abierto.
A partir de la versión 21.1R1 de Junos OS, el IDP de Juniper Networks admite firmas IPS de Snort. Puede convertir las reglas de Snort IPS en firmas de ataque personalizadas de IDP de Juniper mediante la herramienta de integración de Snort (JIST) de Juniper. Estas reglas de Snort IPS ayudan a detectar ataques maliciosos.
- JIST se incluye en Junos OS de forma predeterminada. La herramienta es compatible con las reglas de Snort versión 2 y versión 3.
- JIST convierte las reglas de Snort con snort-ids en firmas de ataque personalizadas equivalentes en Junos OS con los respectivos snort-ids como nombres de ataque personalizados.
- Cuando ejecuta el
requestcomando con reglas de Snort IPS, JIST generasetcomandos equivalentes a las reglas de Snort IPS. Utilice el comando para generar los comandos como salida derequest security idp jist-conversionlasetCLI. Para cargar lossetcomandos, utilice laload set terminalinstrucción o copie y pegue los comandos en el modo de configuración y, a continuación, confirme. A continuación, puede configurar la política de IDP existente con las firmas de ataque personalizadas convertidas. - Todos los archivos de reglas de Snort IPS que no se convirtieron se escriben en /tmp/jist-failed.rules. Los archivos de registro de errores generados durante la conversión se escriben en /tmp/jist-error.log.
- Para ver la versión jist-package, utilice el
show security idp jist-package-versioncomando.
Beneficios de las firmas Snort IPS
- Ayuda a detectar ataques maliciosos.