EN ESTA PÁGINA
Descripción de las características de IDP en sistemas lógicos
Ejemplo: configuración de una política de IDP para los sistemas lógicos primarios
Ejemplo: habilitación de IDP en una directiva de seguridad del sistema lógico de usuario
Ejemplo: configuración de una directiva de IDP para un sistema lógico de usuario
IDP para sistemas lógicos
Una política de detección y prevención de intrusiones (IDP) en sistemas lógicos le permite aplicar selectivamente varias técnicas de detección y prevención de ataques en el tráfico de red que pasa por la serie SRX. La serie SRX ofrece el mismo conjunto de firmas de desplazados internos que están disponibles en los dispositivos de detección y prevención de intrusiones de la serie IDP de Juniper Networks para proteger las redes contra ataques. Para obtener más información, consulte los temas siguientes:
Descripción general de IDP en sistemas lógicos
Una política de detección y prevención de intrusiones (IDP) de Junos OS le permite aplicar selectivamente varias técnicas de detección y prevención de ataques en el tráfico de red que pasa por un sistema lógico.
En este tema se incluyen las siguientes secciones:
Políticas de desplazados internos
El administrador principal configura las políticas de IDP en el nivel raíz. La configuración de una política de IDP para sistemas lógicos es similar a la configuración de una política de IDP en un dispositivo que no está configurado para sistemas lógicos. Esto puede incluir la configuración de objetos de ataque personalizados.
Las plantillas de directiva de IDP instaladas en el sistema lógico raíz son visibles y utilizadas por todos los sistemas lógicos.
A continuación, el administrador principal especifica una política de IDP en el perfil de seguridad que está enlazada a un sistema lógico. Para habilitar el IDP en un sistema lógico, el administrador principal o el administrador del sistema lógico del usuario configura una política de seguridad que define el tráfico que se va a inspeccionar y especifica la permit application-services idp
acción.
Aunque el administrador principal puede configurar varias directivas de IDP, un sistema lógico solo puede tener una política de IDP activa a la vez. En el caso de los sistemas lógicos de usuario, el administrador principal puede enlazar la misma política de IDP a varios sistemas lógicos de usuario o enlazar una política de IDP única a cada sistema lógico de usuario. Para especificar la política de IDP activa para el sistema lógico principal, el administrador principal puede hacer referencia a la política de IDP en el perfil de seguridad enlazado al sistema lógico principal o utilizar la instrucción de active-policy
configuración en el nivel de jerarquía [edit security idp
].
El administrador raíz configura el número máximo de reservas de sesiones IDP para un sistema lógico raíz y de usuario. El número de sesiones IDP permitidas para un sistema lógico raíz se define mediante el comando set security idp max-sessions max-sessions
y el número de sesiones IDP permitidas para un sistema lógico de usuario se define mediante el comando set security idp logical-system logical-system max-sessions max-sessions
.
Se genera un error de confirmación si se configura una política de IDP en el perfil de seguridad enlazado al sistema lógico principal y se especifica con la instrucción de active-policy
configuración. Utilice solo un método para especificar la política de IDP activa para el sistema lógico principal.
Si ha configurado más de una política de IDP en una política de seguridad, es obligatorio configurar la configuración predeterminada de la política de IDP.
Se admite una configuración de directiva de IDP predeterminada cuando hay varias políticas de IDP disponibles. La política de IDP predeterminada es una de las varias políticas de IDP. Para obtener más información acerca de la configuración de varias directivas de IDP y la política de IDP predeterminada, consulte Selección de directivas de IDP para directivas unificadas.
El administrador del sistema lógico realiza las siguientes acciones:
Configure varias políticas de IDP y adjúntelas a las políticas de firewall para que las utilicen los sistemas lógicos de usuario. Si la directiva de IDP no está configurada para un sistema lógico de usuario, se utilizará la directiva de IDP predeterminada configurada por el administrador principal. La política IDP está enlazada a los sistemas lógicos del usuario mediante una política de seguridad de sistemas lógicos.
Crear o modificar políticas de IDP para sus sistemas lógicos de usuario. Las directivas de IDP están enlazadas a los sistemas lógicos de usuario. Cuando se cambia una política de IDP y la confirmación se realiza correctamente, las sesiones existentes asignadas a la política activa actual siguen utilizando la antigua política combinada de IDP. Cuando se cambia una política de IDP y se produce un error en la confirmación, solo se notifica el error de confirmación al usuario del sistema lógico que ha iniciado el cambio de confirmación.
El sistema lógico puede crear zonas de seguridad en el sistema lógico del usuario y asignar interfaces a cada zona de seguridad. No se puede hacer referencia a las zonas específicas de los sistemas lógicos de usuario en las directivas de IDP configuradas por el administrador principal. El administrador principal puede hacer referencia a zonas del sistema lógico principal en una política de IDP configurada para el sistema lógico principal.
Vea las estadísticas de ataques detectados y los contadores de IDP, la tabla de ataques y el estado de confirmación de políticas por el sistema lógico individual mediante los comandos
show security idp counters
,show security idp attack table
,show security idp policy-commit-status
show security idp policies
, yshow security idp security-package-version
.
Limitación
Cuando se cambia una política de IDP y se compila en un sistema lógico de usuario específico, este cambio se considera como un único cambio de política global y se compila para todas las políticas de todos los sistemas lógicos.
Instalación y licencias de IDP para sistemas lógicos
Se debe instalar una licencia idp-sig en el nivel raíz. Una vez que IDP está habilitado en el nivel raíz, se puede usar con cualquier sistema lógico del dispositivo.
Se instala un único paquete de seguridad IDP para todos los sistemas lógicos del dispositivo en el nivel raíz. Las opciones de descarga e instalación solo se pueden ejecutar en el nivel raíz. Todos los sistemas lógicos comparten la misma versión de la base de datos de ataques IDP.
Ver también
Descripción de las características de IDP en sistemas lógicos
En este tema se incluyen las siguientes secciones:
- Bases de reglas
- Decodificadores de protocolo
- Inspección SSL
- Modo de toque en línea
- Multi-Detectores
- Registro y monitoreo
Bases de reglas
Una sola política de IDP solo puede contener una instancia de cualquier tipo de base de reglas. Las siguientes bases de reglas de IDP son compatibles con los sistemas lógicos:
La base de reglas del sistema de prevención de intrusiones (IPS) utiliza objetos de ataque para detectar ataques conocidos y desconocidos. Detecta ataques basados en anomalías de protocolo y firma de estado.
La base de reglas de denegación de servicio distribuido (DDoS) a nivel de aplicación define parámetros para proteger servidores como DNS o HTTP. La base de reglas DDoS de nivel de aplicación define la condición de coincidencia de origen para el tráfico que se debe supervisar y realiza una acción, como quitar la conexión, soltar el paquete o ninguna acción. También puede realizar acciones contra futuras conexiones que utilicen la misma dirección IP.
La supervisión del estado de IPS y DDoS a nivel de aplicación es global para el dispositivo y no por sistema lógico.
Decodificadores de protocolo
El módulo IDP de Junos incluye un conjunto de decodificadores de protocolo preconfigurados. Estos descodificadores de protocolo tienen una configuración predeterminada para varias comprobaciones contextuales específicas del protocolo que realizan. La configuración del descodificador de protocolo IDP es global y se aplica a todos los sistemas lógicos. Solo el administrador principal en el nivel raíz puede modificar la configuración en el nivel de jerarquía [edit security idp sensor-configuration
].
Inspección SSL
La inspección SSL de IDP utiliza el conjunto de protocolos de Capa de sockets seguros (SSL) para habilitar la inspección del tráfico HTTP cifrado en SSL.
La configuración de inspección SSL es global y se aplica a todos los sistemas lógicos de un dispositivo. La inspección SSL solo puede ser configurada por el administrador principal en el nivel raíz con la ssl-inspection
instrucción configuration en el nivel de jerarquía [edit security idp sensor-configuration
].
Modo de toque en línea
La función de modo de toque en línea proporciona detección pasiva y en línea de amenazas de la capa de aplicación para el tráfico que coincide con las políticas de seguridad que tienen habilitado el servicio de aplicación IDP. Cuando un dispositivo está en modo de pulsación en línea, los paquetes pasan a través de la inspección del firewall y también se copian en el módulo IDP independiente. Esto permite que los paquetes lleguen al siguiente módulo de servicio sin esperar los resultados del procesamiento de IDP.
El administrador principal habilita o deshabilita el modo de toque en línea para todos los sistemas lógicos en el nivel raíz. Para habilitar el modo de toque en línea, utilice la inline-tap
instrucción configuration en el nivel jerárquico [edit security forwarding-process application-services maximize-idp-sessions
]. Elimine la configuración del modo de toque en línea para volver a poner el dispositivo en modo normal.
El dispositivo debe reiniciarse al cambiar al modo de toque en línea o al volver al modo normal.
Multi-Detectores
Cuando se recibe un nuevo paquete de seguridad de IDP, contiene definiciones de ataque y un detector. Después de cargar una nueva directiva, también se asocia a un detector. Si la directiva que se está cargando tiene un detector asociado que coincide con el detector que ya está en uso por la directiva existente, el nuevo detector no se carga y ambas directivas utilizan un único detector asociado. Pero si el nuevo detector no coincide con el detector actual, el nuevo detector se carga junto con la nueva política. En este caso, cada política cargada utilizará su propio detector asociado para la detección de ataques.
La versión del detector es común a todos los sistemas lógicos.
Registro y monitoreo
Las opciones de supervisión de estado solo están disponibles para el administrador principal. Todas las opciones de monitoreo de estado de los show security idp
comandos operativos y clear security idp
CLI presentan información global, pero no por sistema lógico.
La supervisión SNMP para IDP no se admite en sistemas lógicos.
IDP genera registros de eventos cuando un evento coincide con una regla de política de IDP en la que el registro está habilitado.
La identificación de sistemas lógicos se agrega a los siguientes tipos de registros de procesamiento de tráfico de IDP:
Registros de ataques. En el ejemplo siguiente se muestra un registro de ataques para el sistema lógico ls-product-design:
Feb 22 14:06:00 aqgpo1ifw01 RT_IDP: %-IDP_ATTACK_LOG_EVENT_LS: Lsys A01: IDP: At 1329883555, ANOMALY Attack log <10.1.128.200/33699->192.168.22.84/80> for TCP protocol and service HTTP application NONE by rule 4 of rulebase IPS in policy Policy1. attack: repeat=3, action=NONE, threat-severity=INFO, name=HTTP:AUDIT:URL, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:NSS-Mgmt:reth0.55->SIEM-MGMT:reth0.60, packet-log-id: 0 and misc-message
Nota:En el mensaje de registro de eventos (IDP_ATTACK_LOG_EVENT_LS) de detección de ataques IDP, los campos tiempo transcurrido, inbytes, outbytes, inpackets y outpackets no se rellenan.
Registros de acciones IP. En el ejemplo siguiente se muestra un registro de acciones IP para el sistema lógico ls-product-design:
Oct 13 16:56:04 8.0.0.254 RT_IDP: IDP_ATTACK_LOG_EVENT_LS: IDP: In ls-product-design at 1287014163, TRAFFIC Attack log <25.0.0.1/34802->15.0.0.1/21> for TCP protocol and service SERVICE_NONE application NONE by rule 1 of rulebase IPS in policy Recommended. attack: repeat=0, action=TRAFFIC_IPACTION_NOTIFY, threat-severity=INFO, name=_, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:ls-product-design-trust:ge-0/0/1.0->ls-product-design-untrust:plt0.3, packet-log-id: 0 and misc-message -
Registros DDoS de aplicación. En el ejemplo siguiente se muestra un registro DDoS de aplicación para el sistema lógico ls-product-design:
Oct 11 16:29:57 8.0.0.254 RT_IDP: IDP_APPDDOS_APP_ATTACK_EVENT_LS: DDOS Attack in ls-product-design at 1286839797 on my-http, <ls-product-design-untrust:ge-0/0/0.0:4.0.0.1:33738->ls-product-design-trust:ge-0/0/1.0:5.0.0.1:80> for TCP protocol and service HTTP by rule 1 of rulebase DDOS in policy Recommended. attack: repeats 0 action DROP threat-severity INFO, connection-hit-rate 0, context-name http-url-parsed, hit-rate 6, value-hit-rate 6 time-scope PEER time-count 2 time-period 10 secs, context value: ascii: /abc.html hex: 2f 61 62 63 2e 68 74 6d 6c
Ver también
Ejemplo: configuración de una política de IDP para los sistemas lógicos primarios
En este ejemplo se muestra cómo configurar una directiva de IDP en un sistema lógico primario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico principal como administrador principal. Consulte Descripción de los sistemas lógicos principales y la función de administrador principal.
Utilice el
show system security-profile
comando para ver los recursos asignados al sistema lógico principal.
Visión general
En este ejemplo, se configura un ataque personalizado que se usa en una directiva de IDP. La política de IDP se especifica en un perfil de seguridad que se aplica al sistema lógico primario. A continuación, el IDP se habilita en una política de seguridad configurada en el sistema lógico principal.
Las características se configuran en la tabla 1.
Característica |
Nombre |
Parámetros de configuración |
---|---|---|
Ataque personalizado |
http-bf |
|
Política de base de reglas de IPS |
política de idp raíz |
Partido:
Acción:
|
Perfil de seguridad del sistema lógico |
perfil primario (previamente configurado y aplicado al sistema lógico raíz) |
Agregar política de IDP root-idp-policy. |
Política de seguridad |
enable-idp |
Habilite el IDP en una política de seguridad que coincida con cualquier tráfico de la zona lsys-root-untrust a la zona lsys-root-trust. |
Un sistema lógico solo puede tener una política de desplazados internos activa a la vez. Para especificar la directiva de IDP activa para el sistema lógico principal, el administrador principal puede hacer referencia a la directiva de IDP en el perfil de seguridad enlazado al sistema lógico principal, como se muestra en este ejemplo. Como alternativa, el administrador principal puede utilizar la active-policy
instrucción de configuración en el nivel de jerarquía [edit security idp
].
Se genera un error de confirmación si se configura una política de IDP en el perfil de seguridad enlazado al sistema lógico principal y se especifica con la instrucción de active-policy
configuración. Utilice solo un método para especificar la política de IDP activa para el sistema lógico principal.
Configuración
- Configuración de un ataque personalizado
- Configuración de una política de IDP para el sistema lógico principal
- Habilitación del IDP en una política de seguridad
Configuración de un ataque personalizado
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security idp custom-attack http-bf severity critical set security idp custom-attack http-bf time-binding count 3 set security idp custom-attack http-bf time-binding scope peer set security idp custom-attack http-bf attack-type signature context http-url-parsed set security idp custom-attack http-bf attack-type signature pattern .*juniper.* set security idp custom-attack http-bf attack-type signature direction client-to-server
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar un objeto de ataque personalizado:
Inicie sesión en el sistema lógico principal como administrador principal e ingrese al modo de configuración.
[edit] admin@host> configure admin@host#
Cree el objeto de ataque personalizado y establezca el nivel de gravedad.
[edit security idp] admin@host# set custom-attack http-bf severity critical
Configure los parámetros de detección de ataques.
[edit security idp] admin@host# set custom-attack http-bf time-binding count 3 admin@host# set custom-attack http-bf time-binding scope peer
Configure los parámetros de firma con estado.
[edit security idp] admin@host# set custom-attack http-bf attack-type signature context http-url-parsed admin@host# set custom-attack http-bf attack-type signature pattern .*juniper.* admin@host# set custom-attack http-bf attack-type signature direction client-to-server
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security idp custom-attack http-bf
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] admin@host# show security idp custom-attack http-bf severity critical; time-binding { count 3; scope peer; } attack-type { signature { context http-url-parsed; pattern .*juniper.*; direction client-to-server; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de una política de IDP para el sistema lógico principal
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security idp idp-policy root-idp-policy rulebase-ips rule 1 match application default set security idp idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf set security idp idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection set security idp idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks set system security-profile master-profile idp-policy root-idp-policy
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una política de IDP:
Cree la política de desplazados internos y configure las condiciones de coincidencia.
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match application default admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf
Configure acciones para la directiva de IDP.
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks
Agregue la directiva IDP al perfil de seguridad.
[edit system security-profile master-profile] admin@host# set idp-policy lsys1-idp-policy
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security idp idp-policy root-idp-policy
comandos y show system security-profile master-profile
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] admin@host# show security idp idp-policy root-idp-policy rulebase-ips { rule 1 { match { application default; attacks { custom-attacks http-bf; } } then { action { drop-connection; } notification { log-attacks; } } } } admin@host# show system security-profile master-profile ... idp-policy lsys1-idp-policy;
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Habilitación del IDP en una política de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match source-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match destination-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match application any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp then permit application-services idp
Procedimiento paso a paso
Para habilitar el IDP en una política de seguridad:
Cree la política de seguridad y configure las condiciones de coincidencia.
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp match source-address any admin@host# set policy enable-idp match destination-address any admin@host# set policy enable-idp match application any
Habilite el IDP.
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp then permit application-services idp
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para abreviar, este show
resultado del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
[edit] admin@host# show security policies from-zone lsys-root-untrust to-zone lsys-root-trust { policy enable-idp { match { source-address any; destination-address any; application any; } then { permit { application-services { idp; } } } } } ...
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Ejemplo: configuración y asignación de una directiva de IDP predefinida para un sistema lógico de usuario
El administrador principal puede descargar políticas de IDP predefinidas en el dispositivo o configurar políticas de IDP personalizadas en el nivel raíz mediante objetos de ataque personalizados o predefinidos. El administrador principal es responsable de asignar una política de IDP a un sistema lógico de usuario. En este ejemplo se muestra cómo asignar una directiva de IDP predefinida a un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico principal como administrador principal. Consulte Descripción de los sistemas lógicos principales y la función de administrador principal.
Lea Descripción general de las políticas de desplazados internos.
Asigne la política de seguridad ls-design-profile al sistema lógico de usuario ls-product-design. Consulte Ejemplo: Configuración de perfiles de seguridad de sistemas lógicos (solo administradores principales).
Descargue plantillas de políticas de DPI predefinidas en el dispositivo. Consulte Descarga y uso de plantillas de políticas de desplazados internos predefinidas (procedimiento de CLI).
Nota:La activación de una política de IDP predefinida con la
active-policy
instrucción configuration en el nivel de jerarquía [edit security idp
] solo se aplica al sistema lógico principal. Para un sistema lógico de usuario, el administrador principal especifica la directiva de IDP activa en el perfil de seguridad enlazado al sistema lógico de usuario.
Visión general
La política de IDP predefinida denominada Recommended contiene objetos de ataque recomendados por Juniper Networks. Todas las reglas de la política tienen sus acciones establecidas para realizar la acción recomendada para cada objeto de ataque. Agregue la directiva IDP recomendada al ls-design-profile, que está enlazado al sistema lógico de usuario ls-product-design que se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set system security-profile ls-design-profile idp-policy Recommended
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para agregar una política de IDP predefinida a un perfil de seguridad para un sistema lógico de usuario:
Inicie sesión en el sistema lógico principal como administrador principal e ingrese al modo de configuración.
[edit] admin@host> configure admin@host#
Agregue la directiva IDP al perfil de seguridad.
[edit system security-profile] admin@host# set ls-design-profile idp-policy Recommended
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security idp
comandos y show system security-profile ls-design-profile
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] admin@host# show security idp idp-policy Recommended { ... } [edit] admin@host# show system security-profile ls-design-profile policy { ... } idp-policy Recommended; logical-system ls-product-design;
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificación de la configuración
Propósito
Compruebe la política de IDP asignada al sistema lógico.
Acción
Desde el modo operativo, ingrese el show security idp logical-system policy-association
comando. Asegúrese de que la directiva de IDP del perfil de seguridad enlazado al sistema lógico es correcta.
admin@host> show security idp logical-system policy-association Logical system IDP policy ls-product-design Recommended
Ejemplo: habilitación de IDP en una directiva de seguridad del sistema lógico de usuario
En este ejemplo se muestra cómo habilitar el IDP en una política de seguridad en un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico de usuario como administrador del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos de usuario.
Desde el modo de configuración, utilice el
show system security-profile <profile-name> idp-policy
comando para ver los recursos de políticas de seguridad asignados al sistema lógico.Configure una política de seguridad de IDP para el sistema lógico de usuario como administrador principal. Consulte Ejemplo: Configuración y asignación de una política de IDP predefinida para un sistema lógico de usuario.
Visión general
En este ejemplo, se configura el sistema lógico de usuario ls-product-design como se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
El IDP se habilita en una política de seguridad que coincida con cualquier tráfico de la zona ls-product-design-untrust a la zona ls-product-design-trust. Al habilitar el IDP en una política de seguridad, el tráfico coincidente se comprobará con las bases de reglas del IDP.
En este ejemplo se utiliza la política IDP configurada y asignada al sistema lógico de usuario ls-product-design por el administrador principal en Ejemplo: Configuración y asignación de una política de IDP predefinida para un sistema lógico de usuario.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match source-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match destination-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp then permit application-services idp
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar una política de seguridad para habilitar el IDP en un sistema lógico de usuario:
Inicie sesión en el sistema lógico como administrador del sistema lógico del usuario y entre en el modo de configuración.
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
Configure una política de seguridad que coincida con el tráfico de la zona ls-product-design-untrust a la zona ls-product-design-trust.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp match source-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match destination-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match application any
Configure la política de seguridad para permitir que IDP coincida con el tráfico.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp then permit application-services idp
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para abreviar, este show
resultado del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
[edit] lsdesignadmin1@host:ls-product-design# show security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust { policy enable-idp { match { source-address any; destination-address any; application any; } then { permit { application-services { idp; } } } } ... }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificación de partidas de ataque
Propósito
Compruebe que los ataques coinciden en el tráfico de red.
Acción
Desde el modo operativo, ingrese el show security idp attack table
comando.
admin@host> show security idp attack table IDP attack statistics: Attack name #Hits FTP:USER:ROOT 1
Ejemplo: configuración de una directiva de IDP para un sistema lógico de usuario
En este ejemplo se muestra cómo configurar y asignar una directiva de IDP a un sistema lógico de usuario. Después de asignar la política de IDP, el tráfico se envía desde el cliente para comprobar la detección de ataques en el ataque personalizado configurado.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Junos OS versión 18.3R1 y posteriores
un dispositivo SRX4200
Antes de configurar la directiva de IDP en el sistema lógico de usuario:
Configure zonas de seguridad. Consulte Ejemplo: Configuración de zonas de seguridad para un sistema lógico de usuario.
Visión general
En este ejemplo, se configura un ataque personalizado que se usa en una directiva de IDP. La directiva IDP se especifica y habilita mediante una política de seguridad configurada en el sistema lógico del usuario.
Configuración
Para configurar IDP en un sistema lógico de usuario:
- Configuración de un sistema lógico de usuario
- Configuración de un ataque personalizado
- Configuración de una directiva de IDP para el sistema lógico de usuario
- Habilitación del IDP en una política de seguridad
Configuración de un sistema lógico de usuario
Configuración rápida de CLI
Procedimiento paso a paso
Para configurar un sistema lógico de usuario:
Configure un sistema lógico de usuario.
[edit] user@host# set logical-system LSYS1
Salga del modo de configuración y pase al modo operativo.
user@host# exit
Inicie sesión como usuario LSYS1 en el sistema lógico de usuario e ingrese al modo de configuración.
user@host> set cli logical-system LSYS1 user@host:LSYS1> edit user@host:LSYS1#
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show logical-systems
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show logical-systems LSYS1 { }
Configuración de un ataque personalizado
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*test.* set security idp custom-attack my-http attack-type signature direction any
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar un objeto de ataque personalizado:
Inicie sesión en el sistema lógico de usuario como LSYS1 y entre en el modo de configuración.
[edit] user@host:LSYS1#
Cree el objeto de ataque personalizado y establezca el nivel de gravedad.
[edit security idp] user@host:LSYS1# set custom-attack my-http severity info
Configure los parámetros de firma con estado.
[edit security idp] user@host:LSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:LSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:LSYS1# set custom-attack my-http attack-type signature pattern .*test.* user@host:LSYS1# set custom-attack my-http attack-type signature direction any
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security idp custom-attack my-http
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host:LSYS1# show security idp custom-attack my-http severity info; attack-type { signature { protocol-binding { application HTTP; } context http-get-url; pattern .*test.*; direction any; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de una directiva de IDP para el sistema lógico de usuario
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una política de IDP:
Cree la política de desplazados internos y configure las condiciones de coincidencia.
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
Configure acciones para la directiva de IDP.
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security idp idp-policy idpengine
comandos y show system security-profile master-profile
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host:LSYS1# show security idp idp-policy idpengine rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; application default; attacks { custom-attacks my-http; } } then { action { no-action; } notification { log-attacks; } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Habilitación del IDP en una política de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security policies from-zone z1 to-zone z2 policy p1 match source-address any set security policies from-zone z1 to-zone z2 policy p1 match destination-address any set security policies from-zone z1 to-zone z2 policy p1 match application any set security policies from-zone z1 to-zone z2 policy p1 then permit application-services idp-policy idpengine
Procedimiento paso a paso
Para habilitar el IDP en una política de seguridad:
Cree la política de seguridad y configure las condiciones de coincidencia.
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 match source-address any user@host:LSYS1# set policy p1 match destination-address any user@host:LSYS1# set policy p1 match application any
Habilite el IDP.
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 then permit application-services idp-policy idpengine
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host:LSYS1# show security policies from-zone z1 to-zone z2 { policy p1{ match { source-address any; destination-address any; application any; } then { permit { application-services { idp-policy idpengine; } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para enviar tráfico y comprobar la detección de ataques desde el sistema lógico del usuario:
Verificación de la detección de ataques
Propósito
Compruebe que se está detectando el ataque personalizado.
Acción
Desde el modo operativo, ingrese el show security idp attack table
comando.
user@host:LSYS1> show security idp policies PIC : FPC 0 PIC 0: ID Name Sessions Memory Detector 1 idpengine 0 188584 12.6.130180509
user@host:LSYS1> show security idp attack table
IDP attack statistics:
Attack name #Hits
my-http 1
Significado
El resultado muestra los ataques detectados para el ataque personalizado configurado en la directiva IDP en el sistema lógico de usuario LSYS1.