EN ESTA PÁGINA
Descripción de las características de DPI en sistemas lógicos
Ejemplo: Configuración de una política DPI para los sistemas lógicos primarios
Ejemplo: Habilitación de DPI en una política de seguridad del sistema lógico del usuario
Ejemplo: Configuración de una política DPI para un sistema lógico de usuario
DPI para sistemas lógicos
Una política de detección y prevención de intrusiones (DPI) en sistemas lógicos le permite aplicar selectivamente varias técnicas de detección y prevención de ataques en el tráfico de red que pasa a través de su serie SRX. La serie SRX ofrece el mismo conjunto de firmas DPI que están disponibles en los dispositivos de detección y prevención de intrusiones de la serie DPI de Juniper Networks para proteger las redes contra ataques. Para obtener más información, consulte los temas siguientes:
Descripción general de DPI en sistemas lógicos
Una política de detección y prevención de intrusiones (DPI) de Junos OS le permite aplicar selectivamente varias técnicas de detección y prevención de ataques en el tráfico de red que pasa a través de un sistema lógico.
En este tema, se incluyen las siguientes secciones:
Políticas de DPI
El administrador principal configura las políticas de DPI en el nivel raíz. La configuración de una política DPI para sistemas lógicos es similar a la configuración de una política DPI en un dispositivo que no está configurado para sistemas lógicos. Esto puede incluir la configuración de objetos de ataque personalizados.
Las plantillas de política de DPI instaladas en el sistema lógico raíz son visibles y utilizadas por todos los sistemas lógicos.
A continuación, el administrador principal especifica una política de DPI en el perfil de seguridad que está enlazada a un sistema lógico. Para habilitar el DPI en un sistema lógico, el administrador principal o el administrador del sistema lógico del usuario configura una política de seguridad que define el tráfico que se va a inspeccionar y especifica la permit application-services idp acción.
Aunque el administrador principal puede configurar varias políticas de DPI, un sistema lógico solo puede tener una política de DPI activa a la vez. En el caso de los sistemas lógicos de usuario, el administrador principal puede enlazar la misma política de DPI a varios sistemas lógicos de usuario o enlazar una política de DPI única a cada sistema lógico de usuario. Para especificar la política de DPI activa para el sistema lógico principal, el administrador principal puede hacer referencia a la política de DPI en el perfil de seguridad enlazado al sistema lógico principal o utilizar la instrucción de active-policy configuración en el nivel de jerarquía [edit security idp].
El administrador raíz configura el número máximo de sesiones de DPI reservadas para un sistema lógico raíz y de usuario. El número de sesiones DPI permitidas para un sistema lógico raíz se define mediante el comando set security idp max-sessions max-sessions y el número de sesiones DPI permitidas para un sistema lógico de usuario se define mediante el comando set security idp logical-system logical-system max-sessions max-sessions .
Se genera un error de confirmación si una política de DPI está configurada en el perfil de seguridad enlazado al sistema lógico principal y especificada con la active-policy instrucción de configuración. Utilice solo un método para especificar la política de DPI activa para el sistema lógico principal.
Si configuró más de una política de DPI en una política de seguridad, es obligatorio configurar la configuración predeterminada de la política de DPI.
Se admite una configuración predeterminada de política de DPI cuando hay varias políticas de DPI disponibles. La política de DPI predeterminada es una de las varias políticas de DPI. Para obtener más información acerca de cómo configurar varias políticas de DPI y políticas de DPI predeterminadas, consulte la Selección de políticas de DPI para políticas unificadas.
El administrador del sistema lógico realiza las acciones siguientes:
Configure varias políticas de DPI y adjúntelas a las políticas de firewall que utilizarán los sistemas lógicos del usuario. Si la política de DPI no está configurada para un sistema lógico de usuario, se utiliza la política de DPI predeterminada configurada por el administrador principal. La política de DPI está enlazada a los sistemas lógicos del usuario a través de una política de seguridad de sistemas lógicos.
Crear o modificar políticas de DPI para sus sistemas lógicos de usuario. Las políticas de DPI están enlazadas a los sistemas lógicos del usuario. Cuando se cambia una política de DPI y la confirmación se realiza correctamente, las sesiones existentes asignadas a la política activa actual siguen utilizando la antigua política de combinación de DPI. Cuando se cambia una política de DPI y se produce un error en la confirmación, solo se notifica la falla de confirmación al usuario del sistema lógico que inició el cambio de confirmación.
El sistema lógico puede crear zonas de seguridad en el sistema lógico del usuario y asignar interfaces a cada zona de seguridad. No se puede hacer referencia a zonas específicas de los sistemas lógicos de usuario en las políticas de DPI configuradas por el administrador principal. El administrador principal puede hacer referencia a zonas del sistema lógico principal en una política de DPI configurada para el sistema lógico principal.
Vea las estadísticas de ataque detectadas y los contadores de DPI, la tabla de ataques y el estado de confirmación de política del sistema lógico individual mediante los comandos
show security idp counters,show security idp attack table,show security idp policy-commit-statusshow security idp policies, yshow security idp security-package-version.
Limitación
Cuando se cambia una política de DPI y se compila en un sistema lógico de usuario específico, este cambio se considera como un único cambio de política global y se compila para todas las políticas de todos los sistemas lógicos.
Instalación y licencias de DPI para sistemas lógicos
Se debe instalar una licencia idp-sig en el nivel raíz. Una vez habilitado el DPI en el nivel raíz, se puede utilizar con cualquier sistema lógico del dispositivo.
Se instala un único paquete de seguridad DPI para todos los sistemas lógicos del dispositivo en el nivel raíz. Las opciones de descarga e instalación solo se pueden ejecutar en el nivel raíz. Todos los sistemas lógicos comparten la misma versión de la base de datos de ataques DPI.
Ver también
Descripción de las características de DPI en sistemas lógicos
En este tema, se incluyen las siguientes secciones:
- Bases de reglas
- Decodificadores de protocolo
- Inspección de SSL
- Modo de toque en línea
- Detectores múltiples
- Registro y monitoreo
Bases de reglas
Una única política de DPI solo puede contener una instancia de cualquier tipo de base de reglas. Las siguientes bases de reglas DPI son compatibles con los sistemas lógicos:
La base de reglas del sistema de prevención de intrusiones (SPI) utiliza objetos de ataque para detectar ataques conocidos y desconocidos. Detecta ataques basados en la firma de estado y las anomalías del protocolo.
La base de reglas de denegación de servicio distribuido (DDoS) a nivel de aplicación define parámetros para proteger servidores como DNS o HTTP. La base de reglas de DDoS a nivel de aplicación define la condición de coincidencia de origen para el tráfico que se debe monitorear y realiza una acción, como cortar la conexión, dejar caer el paquete o ninguna acción. También puede realizar acciones contra futuras conexiones que utilicen la misma dirección IP.
La supervisión del estado de los sistemas de prevención de intrusiones y de DDoS a nivel de aplicación es global para el dispositivo y no se basa en un sistema lógico.
Decodificadores de protocolo
El módulo DPI de Junos viene con un conjunto de decodificadores de protocolo preconfigurados. Estos decodificadores de protocolo tienen una configuración predeterminada para varias comprobaciones contextuales específicas del protocolo que realizan. La configuración del decodificador de protocolo DPI es global y se aplica a todos los sistemas lógicos. Solo el administrador principal en el nivel raíz puede modificar la configuración en el nivel de jerarquía [edit security idp sensor-configuration].
Inspección de SSL
La inspección SSL de DPI utiliza el conjunto de protocolos de capa de sockets seguros (SSL) para habilitar la inspección del tráfico HTTP cifrado en SSL.
La configuración de inspección de SSL es global y se aplica a todos los sistemas lógicos de un dispositivo. La inspección SSL solo puede configurarla el administrador principal en el nivel raíz con la ssl-inspection instrucción configuration en el nivel de jerarquía [edit security idp sensor-configuration].
Modo de toque en línea
La función de modo de toque en línea proporciona detección pasiva e en línea de amenazas de la capa de aplicación para el tráfico que coincide con las políticas de seguridad que tienen habilitado el servicio de aplicación DPI. Cuando un dispositivo está en modo de derivación en línea, los paquetes pasan por la inspección del firewall y también se copian al módulo DPI independiente. Esto permite que los paquetes lleguen al siguiente módulo de servicio sin esperar los resultados del procesamiento de DPI.
El modo de derivación en línea está habilitado o deshabilitado para todos los sistemas lógicos en el nivel raíz por el administrador principal. Para habilitar el modo de derivación en línea, utilice la inline-tap instrucción de configuración en el nivel de jerarquía [edit security forwarding-process application-services maximize-idp-sessions]. Elimine la configuración del modo de toque en línea para volver al modo normal del dispositivo.
El dispositivo debe reiniciarse al cambiar al modo de toque en línea o volver al modo normal.
Detectores múltiples
Cuando se recibe un nuevo paquete de seguridad DPI, contiene definiciones de ataque y un detector. Después de cargar una nueva política, también se asocia con un detector. Si la política que se está cargando tiene un detector asociado que coincide con el detector que ya está en uso por la política existente, el nuevo detector no se carga y ambas políticas utilizan un único detector asociado. Pero si el nuevo detector no coincide con el detector actual, el nuevo detector se carga junto con la nueva política. En este caso, cada política cargada utilizará su propio detector asociado para la detección de ataques.
La versión del detector es común a todos los sistemas lógicos.
Registro y monitoreo
Las opciones de supervisión de estado solo están disponibles para el administrador principal. Todas las opciones de supervisión de estado bajo los show security idp comandos operativos y clear security idp CLI presentan información global, pero no por sistema lógico.
La supervisión de SNMP para DPI no se admite en sistemas lógicos.
El DPI genera registros de eventos cuando un evento coincide con una regla de política de DPI en la que el registro está habilitado.
La identificación de sistemas lógicos se agrega a los siguientes tipos de registros de procesamiento de tráfico de DPI:
Registros de ataques. En el ejemplo siguiente se muestra un registro de ataques para el sistema lógico ls-product-design:
Feb 22 14:06:00 aqgpo1ifw01 RT_IDP: %-IDP_ATTACK_LOG_EVENT_LS: Lsys A01: IDP: At 1329883555, ANOMALY Attack log <10.1.128.200/33699->192.168.22.84/80> for TCP protocol and service HTTP application NONE by rule 4 of rulebase IPS in policy Policy1. attack: repeat=3, action=NONE, threat-severity=INFO, name=HTTP:AUDIT:URL, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:NSS-Mgmt:reth0.55->SIEM-MGMT:reth0.60, packet-log-id: 0 and misc-message
Nota:En el mensaje de registro de eventos de detección de ataques de DPI (DPI_ATTACK_LOG_EVENT_LS), no se rellenan los campos de tiempo transcurrido, inbytes, outbytes, inpackets y outpackets.
Registros de acciones IP. En el ejemplo siguiente se muestra un registro de acciones IP para el sistema lógico ls-product-design:
Oct 13 16:56:04 8.0.0.254 RT_IDP: IDP_ATTACK_LOG_EVENT_LS: IDP: In ls-product-design at 1287014163, TRAFFIC Attack log <25.0.0.1/34802->15.0.0.1/21> for TCP protocol and service SERVICE_NONE application NONE by rule 1 of rulebase IPS in policy Recommended. attack: repeat=0, action=TRAFFIC_IPACTION_NOTIFY, threat-severity=INFO, name=_, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:ls-product-design-trust:ge-0/0/1.0->ls-product-design-untrust:plt0.3, packet-log-id: 0 and misc-message -
Registros de DDoS de la aplicación. En el ejemplo siguiente se muestra un registro de DDoS de aplicación para el sistema lógico ls-product-design:
Oct 11 16:29:57 8.0.0.254 RT_IDP: IDP_APPDDOS_APP_ATTACK_EVENT_LS: DDOS Attack in ls-product-design at 1286839797 on my-http, <ls-product-design-untrust:ge-0/0/0.0:4.0.0.1:33738->ls-product-design-trust:ge-0/0/1.0:5.0.0.1:80> for TCP protocol and service HTTP by rule 1 of rulebase DDOS in policy Recommended. attack: repeats 0 action DROP threat-severity INFO, connection-hit-rate 0, context-name http-url-parsed, hit-rate 6, value-hit-rate 6 time-scope PEER time-count 2 time-period 10 secs, context value: ascii: /abc.html hex: 2f 61 62 63 2e 68 74 6d 6c
Ver también
Ejemplo: Configuración de una política DPI para los sistemas lógicos primarios
En este ejemplo, se muestra cómo configurar una política DPI en un sistema lógico principal.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico principal como administrador principal. Consulte Descripción de los sistemas lógicos primarios y el rol de administrador principal.
Lea el DPI en la descripción general de los sistemas lógicos.
Utilice el
show system security-profilecomando para ver los recursos asignados al sistema lógico principal.
Descripción general
En este ejemplo, configurará un ataque personalizado que se utilizará en una política de DPI. La política de DPI se especifica en un perfil de seguridad que se aplica al sistema lógico principal. Entonces, el DPI se habilita en una política de seguridad configurada en el sistema lógico principal.
Configure las funciones descritas en la tabla 1.
Reportaje |
Nombre |
Parámetros de configuración |
|---|---|---|
Ataque personalizado |
http-bf |
|
Política de base de reglas de IPS |
política de IDP raíz |
Partido:
Acción:
|
Perfil de seguridad del sistema lógico |
perfil primario (previamente configurado y aplicado a root-logical-system) |
Agregar política de DPI root-idp-policy. |
Política de seguridad |
enable-idp |
Habilite DPI en una política de seguridad que coincida con cualquier tráfico desde la zona lsys-root-untrust a la zona lsys-root-trust. |
Un sistema lógico solo puede tener una política de DPI activa a la vez. Para especificar la política de DPI activa para el sistema lógico principal, el administrador principal puede hacer referencia a la política de DPI en el perfil de seguridad enlazado al sistema lógico principal, como se muestra en este ejemplo. Como alternativa, el administrador principal puede usar la instrucción de active-policy configuración en el nivel de jerarquía [edit security idp].
Se genera un error de confirmación si una política de DPI está configurada en el perfil de seguridad enlazado al sistema lógico principal y especificada con la active-policy instrucción de configuración. Utilice solo un método para especificar la política de DPI activa para el sistema lógico principal.
Configuración
- Configuración de un ataque personalizado
- Configuración de una política DPI para el sistema lógico principal
- Habilitar DPI en una política de seguridad
Configuración de un ataque personalizado
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security idp custom-attack http-bf severity critical set security idp custom-attack http-bf time-binding count 3 set security idp custom-attack http-bf time-binding scope peer set security idp custom-attack http-bf attack-type signature context http-url-parsed set security idp custom-attack http-bf attack-type signature pattern .*juniper.* set security idp custom-attack http-bf attack-type signature direction client-to-server
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar un objeto de ataque personalizado:
Inicie sesión en el sistema lógico principal como administrador principal y especifique el modo de configuración.
[edit] admin@host> configure admin@host#
Cree el objeto de ataque personalizado y establezca el nivel de gravedad.
[edit security idp] admin@host# set custom-attack http-bf severity critical
Configure los parámetros de detección de ataques.
[edit security idp] admin@host# set custom-attack http-bf time-binding count 3 admin@host# set custom-attack http-bf time-binding scope peer
Configure los parámetros de firma con estado.
[edit security idp] admin@host# set custom-attack http-bf attack-type signature context http-url-parsed admin@host# set custom-attack http-bf attack-type signature pattern .*juniper.* admin@host# set custom-attack http-bf attack-type signature direction client-to-server
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security idp custom-attack http-bf configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
admin@host# show security idp custom-attack http-bf
severity critical;
time-binding {
count 3;
scope peer;
}
attack-type {
signature {
context http-url-parsed;
pattern .*juniper.*;
direction client-to-server;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de una política DPI para el sistema lógico principal
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security idp idp-policy root-idp-policy rulebase-ips rule 1 match application default set security idp idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf set security idp idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection set security idp idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks set system security-profile master-profile idp-policy root-idp-policy
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una política de DPI:
Cree la política de DPI y configure condiciones de coincidencia.
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match application default admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf
Configure acciones para la política de DPI.
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks
Agregue la política de DPI al perfil de seguridad.
[edit system security-profile master-profile] admin@host# set idp-policy lsys1-idp-policy
Resultados
Desde el modo de configuración, ingrese los comandos y show system security-profile master-profile para confirmar la show security idp idp-policy root-idp-policy configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
admin@host# show security idp idp-policy root-idp-policy
rulebase-ips {
rule 1 {
match {
application default;
attacks {
custom-attacks http-bf;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks;
}
}
}
}
admin@host# show system security-profile master-profile
...
idp-policy lsys1-idp-policy;
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Habilitar DPI en una política de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match source-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match destination-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match application any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp then permit application-services idp
Procedimiento paso a paso
Para habilitar el DPI en una política de seguridad:
Cree la política de seguridad y configure las condiciones de coincidencia.
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp match source-address any admin@host# set policy enable-idp match destination-address any admin@host# set policy enable-idp match application any
Habilitar DPI.
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp then permit application-services idp
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
Para fines de brevedad, este show resultado de comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema se reemplazó por puntos suspensivos (...).
[edit]
admin@host# show security policies
from-zone lsys-root-untrust to-zone lsys-root-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
}
...
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificación de coincidencias de ataque
Propósito
Verifique que los ataques coincidan con el tráfico de red.
Acción
Desde el modo operativo, introduzca el show security idp attack table comando.
admin@host> show security idp attack table IDP attack statistics: Attack name #Hits http-bf 1
Ejemplo: Configuración y asignación de una política DPI predefinida para un sistema lógico de usuario
El administrador principal puede descargar políticas de DPI predefinidas al dispositivo o configurar políticas de DPI personalizadas a nivel de raíz utilizando objetos de ataque personalizados o predefinidos. El administrador principal es responsable de asignar una política de DPI a un sistema lógico de usuario. En este ejemplo se muestra cómo asignar una política DPI predefinida a un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico principal como administrador principal. Consulte Descripción de los sistemas lógicos primarios y el rol de administrador principal.
Asigne la política de seguridad ls-design-profile al sistema lógico de usuario ls-product-design. Consulte Ejemplo: Configuración de perfiles de seguridad de sistemas lógicos (solo administradores principales).
Descargue plantillas de políticas de DPI predefinidas en el dispositivo. Consulte Descarga y uso de plantillas de políticas de DPI predefinidas (procedimiento de la CLI).
Nota:La activación de una política de DPI predefinida con la instrucción de
active-policyconfiguración en el nivel de jerarquía [edit security idp] solo se aplica al sistema lógico principal. Para un sistema lógico de usuario, el administrador principal especifica la política de DPI activa en el perfil de seguridad que está enlazada al sistema lógico del usuario.
Descripción general
La política de DPI predefinida denominada Recomendado contiene objetos de ataque recomendados por Juniper Networks. Todas las reglas de la política tienen sus acciones configuradas para realizar la acción recomendada para cada objeto de ataque. Agregue la política de DPI recomendada al ls-design-profile, que está enlazado al sistema lógico de usuario ls-product-design que se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set system security-profile ls-design-profile idp-policy Recommended
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para agregar una política DPI predefinida a un perfil de seguridad para un sistema lógico de usuario:
Inicie sesión en el sistema lógico principal como administrador principal y especifique el modo de configuración.
[edit] admin@host> configure admin@host#
Agregue la política de DPI al perfil de seguridad.
[edit system security-profile] admin@host# set ls-design-profile idp-policy Recommended
Resultados
Desde el modo de configuración, ingrese los comandos y show system security-profile ls-design-profile para confirmar la show security idp configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
admin@host# show security idp
idp-policy Recommended {
...
}
[edit]
admin@host# show system security-profile ls-design-profile
policy {
...
}
idp-policy Recommended;
logical-system ls-product-design;
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar la configuración
Propósito
Compruebe la política de DPI asignada al sistema lógico.
Acción
Desde el modo operativo, introduzca el show security idp logical-system policy-association comando. Asegúrese de que la política de DPI en el perfil de seguridad enlazado al sistema lógico es correcta.
admin@host> show security idp logical-system policy-association Logical system IDP policy ls-product-design Recommended
Ejemplo: Habilitación de DPI en una política de seguridad del sistema lógico del usuario
En este ejemplo, se muestra cómo habilitar DPI en una política de seguridad en un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos de usuario.
Desde el modo de configuración, use el
show system security-profile <profile-name> idp-policycomando para ver los recursos de política de seguridad asignados al sistema lógico.Configure una política de seguridad DPI para el sistema lógico del usuario como administrador principal. Consulte Ejemplo: Configuración y asignación de una política DPI predefinida para un sistema lógico de usuario.
Descripción general
En este ejemplo, configure el sistema lógico de usuario ls-product-design como se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
Puede habilitar DPI en una política de seguridad que coincida con cualquier tráfico desde la zona ls-product-design-untrust a la zona ls-product-design-trust. Habilitar DPI en una política de seguridad indica que el tráfico coincidente se compruebe con las bases de reglas de DPI.
En este ejemplo, se utiliza la política de DPI configurada y asignada al sistema lógico de usuario ls-product-design por el administrador principal en Ejemplo: Configuración y asignación de una política de DPI predefinida para un sistema lógico de usuario.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match source-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match destination-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp then permit application-services idp
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar una política de seguridad a fin de habilitar el DPI en un sistema lógico de usuario:
Inicie sesión en el sistema lógico como administrador del sistema lógico de usuario y especifique el modo de configuración.
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
Configure una política de seguridad que coincida con el tráfico de la zona ls-product-design-untrust a la zona ls-product-design-trust.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp match source-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match destination-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match application any
Configure la política de seguridad para habilitar DPI para el tráfico coincidente.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp then permit application-services idp
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
Para fines de brevedad, este show resultado de comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema se reemplazó por puntos suspensivos (...).
[edit]
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
...
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificación de coincidencias de ataque
Propósito
Verifique que los ataques coincidan con el tráfico de red.
Acción
Desde el modo operativo, introduzca el show security idp attack table comando.
admin@host> show security idp attack table IDP attack statistics: Attack name #Hits FTP:USER:ROOT 1
Ejemplo: Configuración de una política DPI para un sistema lógico de usuario
En este ejemplo se muestra cómo configurar y asignar una política DPI a un sistema lógico de usuario. Después de asignar la política de DPI, el tráfico se envía desde el cliente para comprobar la detección de ataques en el ataque personalizado configurado.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 18.3R1 y posteriores
un dispositivo SRX4200
Antes de configurar la política de DPI en el sistema lógico del usuario:
Configure las zonas de seguridad. Consulte Ejemplo: Configuración de zonas de seguridad para un sistema lógico de usuario.
Descripción general
En este ejemplo, se configura un ataque personalizado que se utiliza en una política de DPI. La política de DPI se especifica y habilita mediante una política de seguridad configurada en el sistema lógico del usuario.
Configuración
Para configurar el DPI en un sistema lógico de usuario:
- Configuración de un sistema lógico de usuario
- Configuración de un ataque personalizado
- Configuración de una política DPI para el sistema lógico del usuario
- Habilitar DPI en una política de seguridad
Configuración de un sistema lógico de usuario
Configuración rápida de CLI
Procedimiento paso a paso
Para configurar un sistema lógico de usuario:
Configure un sistema lógico de usuario.
[edit] user@host# set logical-system LSYS1
Salga del modo de configuración y entre en el modo operativo.
user@host# exit
Inicie sesión como usuario LSYS1 en el sistema lógico del usuario y entre en el modo de configuración.
user@host> set cli logical-system LSYS1 user@host:LSYS1> edit user@host:LSYS1#
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show logical-systems configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show logical-systems
LSYS1 {
}
Configuración de un ataque personalizado
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*test.* set security idp custom-attack my-http attack-type signature direction any
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar un objeto de ataque personalizado:
Inicie sesión en el sistema lógico del usuario como LSYS1 y entre en el modo de configuración.
[edit] user@host:LSYS1#
Cree el objeto de ataque personalizado y establezca el nivel de gravedad.
[edit security idp] user@host:LSYS1# set custom-attack my-http severity info
Configure los parámetros de firma con estado.
[edit security idp] user@host:LSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:LSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:LSYS1# set custom-attack my-http attack-type signature pattern .*test.* user@host:LSYS1# set custom-attack my-http attack-type signature direction any
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security idp custom-attack my-http configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host:LSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*test.*;
direction any;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de una política DPI para el sistema lógico del usuario
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una política de DPI:
Cree la política de DPI y configure condiciones de coincidencia.
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
Configure acciones para la política de DPI.
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Resultados
Desde el modo de configuración, ingrese los comandos y show system security-profile master-profile para confirmar la show security idp idp-policy idpengine configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host:LSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Habilitar DPI en una política de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone z1 to-zone z2 policy p1 match source-address any set security policies from-zone z1 to-zone z2 policy p1 match destination-address any set security policies from-zone z1 to-zone z2 policy p1 match application any set security policies from-zone z1 to-zone z2 policy p1 then permit application-services idp-policy idpengine
Procedimiento paso a paso
Para habilitar el DPI en una política de seguridad:
Cree la política de seguridad y configure las condiciones de coincidencia.
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 match source-address any user@host:LSYS1# set policy p1 match destination-address any user@host:LSYS1# set policy p1 match application any
Habilitar DPI.
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 then permit application-services idp-policy idpengine
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host:LSYS1# show security policies
from-zone z1 to-zone z2 {
policy p1{
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para enviar tráfico y comprobar la detección de ataques desde el sistema lógico del usuario:
Verificar la detección de ataques
Propósito
Compruebe que la detección de ataque se está produciendo para el ataque personalizado.
Acción
Desde el modo operativo, introduzca el show security idp attack table comando.
user@host:LSYS1> show security idp policies PIC : FPC 0 PIC 0: ID Name Sessions Memory Detector 1 idpengine 0 188584 12.6.130180509
user@host:LSYS1> show security idp attack table
IDP attack statistics:
Attack name #Hits
my-http 1
Significado
El resultado muestra los ataques detectados para el ataque personalizado configurado en la política de DPI en el sistema lógico del usuario LSYS1.