Creación de firmas de IPS

Antes de empezar

Lea el tema Descripción de las firmas IPS
Tener una comprensión básica de lo que son los ataques y los patrones.
Revise la página principal de firmas de políticas de IPS para comprender su conjunto de datos actual. Consulte Campos de la página principal de firmas de políticas de IPS para obtener descripciones de campos.

Utilice la página Crear firma IPS para monitorear y prevenir intrusiones. El sistema de prevención de intrusiones (SPI) compara el tráfico con las firmas de amenazas conocidas y bloquea el tráfico cuando se detecta una amenaza.

La base de datos de firmas es uno de los principales componentes de IPS. Contiene definiciones de diferentes objetos, como objetos de ataque, objetos de firma de aplicación y objetos de servicio, que se utilizan para definir reglas de política de SPI. Se cuenta con más de 8,500 firmas para identificar anomalías, ataques, spyware y aplicaciones.

Para mantener las políticas de IPS organizadas y manejables, los objetos de ataque se pueden agrupar. Un grupo de objetos de ataque puede contener uno o más tipos de objetos de ataque. Junos OS admite los siguientes tres tipos de grupos de ataque:

Firma IPS: contiene objetos presentes en la base de datos de firmas.
Dinámico: contiene objetos de ataque en función de ciertos criterios coincidentes.
Estático: contiene grupos de ataque definidos por el cliente y se puede configurar a través de la CLI.

Para configurar una firma SPI:

Seleccione Configurar > > firmas de política de IPS.
Haga clic en Crear.
Seleccione Firma IPS.
Complete la configuración de acuerdo con las directrices proporcionadas en la Tabla 1.
Haga clic en Aceptar.

Se crea una nueva firma IPS con las configuraciones predefinidas. Puede usar esta firma en las políticas de SPI.

Tabla 1: Configuración de firmas IPS
Configuración	Directrices
Nombre	Ingrese una cadena única de caracteres alfanuméricos, dos puntos, puntos, guiones y guiones bajos. No se permiten espacios y la longitud máxima es de 63 caracteres.
Descripción	Ingrese una descripción para la firma IPS; La longitud máxima es de 1024 caracteres.
Categoría	Ingrese una categoría predefinida o nueva. Utilice esta categoría para agrupar los objetos de ataque. Dentro de cada categoría, los objetos de ataque se agrupan por gravedad. Por ejemplo: FTP, TROYANO, SNMP.
Acción	Seleccione una acción que desee que realice la firma SPI cuando el tráfico supervisado coincida con los objetos de ataque especificados en las reglas: Ninguno: no se realiza ninguna acción. Utilice esta acción para generar solo registros para parte del tráfico. Cerrar cliente y servidor: cierra la conexión y envía un paquete RST tanto al cliente como al servidor. Cerrar cliente: cierra la conexión y envía un paquete RST al cliente, pero no al servidor. Cerrar servidor: cierra la conexión y envía un paquete RST al servidor, pero no al cliente. Ignorar: detiene el análisis del tráfico en busca del resto de la conexión si se encuentra una coincidencia de ataque. SPI deshabilita la base de reglas para la conexión específica. Eliminar: descarta todos los paquetes asociados con la conexión, lo que impide que el tráfico de la conexión llegue a su destino. Use esta acción para interrumpir las conexiones del tráfico que no es propenso a la suplantación de identidad. Descartar paquete: descarta un paquete coincidente antes de que pueda llegar a su destino, pero no cierra la conexión. Use esta acción para descartar paquetes para ataques en tráfico propenso a suplantación de identidad, como el tráfico UDP. La interrupción de una conexión para dicho tráfico podría resultar en una denegación de servicio que le impida recibir tráfico desde una dirección IP de origen legítima.
Palabras clave	Introduzca identificadores únicos que se pueden utilizar para buscar y ordenar registros de registro. Las palabras clave deben estar relacionadas con el ataque y el objeto del ataque. Por ejemplo, Amanda Amindexd Remote Overflow.
Gravedad	Seleccione un nivel de gravedad para el ataque que notificará la firma: Crítico: contiene objetos de ataque que coinciden con explotaciones que intentan evadir la detección, hacer que un dispositivo de red se bloquee u obtener privilegios a nivel del sistema. Información: contiene objetos de ataque que coinciden con tráfico normal e inofensivo que contiene URL, errores de búsqueda DNS, cadenas de comunidad pública SNMP y parámetros punto a punto (P2P). Puede utilizar objetos de ataque informativos para obtener información sobre la red. Principal: contiene objetos de ataque que coinciden con explotaciones que intentan interrumpir un servicio, obtener acceso a nivel de usuario a un dispositivo de red o activar un caballo de Troya previamente cargado en un dispositivo. Menor: contiene objetos de ataque que coinciden con exploits que detectan esfuerzos de reconocimiento que intentan acceder a información vital a través del recorrido del directorio o fugas de información. Advertencia: contiene objetos de ataque que coinciden con explotaciones que intentan obtener información no crítica o analizar una red con una herramienta de análisis. El nivel más peligroso es crítico, que intenta bloquear su servidor u obtener el control de su red. La información es el nivel menos peligroso y los administradores de red la utilizan para descubrir agujeros en sus sistemas de seguridad.
Detalles de la firma
Encuadernación	Seleccione una opción para detectar el servicio o protocolo que utiliza el ataque para entrar en su red: IP: permite que IPS coincida con la firma de un tipo de protocolo IP especificado. ICMP: permite que IPS coincida con la firma de un ID de ICMP especificado. TCP: permite que IPS coincida con la firma de los puertos TCP especificados. UDP: permite que IPS coincida con la firma de los puertos UDP especificados. RPC: permite que IPS coincida con la firma de un número de programa de llamada de procedimiento remoto (RPC) especificado. Las aplicaciones de procesamiento distribuido utilizan el protocolo RPC para manejar la interacción entre procesos de forma remota. Servicio: permite que IPS coincida con la firma de un servicio especificado. IPv6 o ICMPv6: especifica la información de coincidencia del encabezado para el ataque de firma. Puede especificar que IPS busque en un paquete una coincidencia de patrón para la información de encabezados IPv6 e ICMPv6.
Protocolo	Ingrese el nombre del protocolo de red. Por ejemplo: IGMP, IP‐IP.
Siguiente encabezado	Ingrese el tipo de protocolo IP para el encabezado que sigue inmediatamente al encabezado IPv6. Por ejemplo, si el dispositivo realiza IPsec en paquetes intercambiados, es probable que el valor del encabezado siguiente sea 50 (encabezado de extensión ESP) o 51 (encabezado de extensión AH).
Rango(s) de puertos	Introduzca los intervalos de puertos para los tipos de protocolo TCP y UDP.
Número de programa	Ingrese el ID de programa para el protocolo RPC.
Servicio	Especifique el servicio que utiliza el ataque para entrar en su red. Puede seleccionar el servicio específico utilizado para perpetrar el ataque como enlace de servicio. Por ejemplo, supongamos que selecciona el servicio DESCARTAR. El protocolo de descarte es un protocolo de capa de aplicación en el que TCP/9, UDP/9 describe el proceso para descartar los datos TCP o UDP enviados al puerto 9.
Alcance de tiempo	Seleccione el ámbito en el que se produce el recuento de un ataque: IP de origen: detecte ataques desde la dirección de origen el número de veces especificado, independientemente de la dirección de destino. IP de destino: detecta ataques enviados a la dirección de destino el número especificado de veces, independientemente de la dirección de origen. Par: detecte ataques entre las direcciones IP de origen y destino de las sesiones durante el número de veces especificado.
Recuento de tiempo	Especifique el número de veces que el objeto de ataque debe detectar un ataque dentro del ámbito especificado antes de que el dispositivo considere que el objeto de ataque coincide con el ataque. El rango es de 0 a 4,294,967,295.
Garantía de coincidencia	Especifique este filtro para realizar un seguimiento de los objetos de ataque en función de la frecuencia con la que el ataque produce un falso positivo en la red. Seleccione una opción: Alto: proporciona información sobre las ocurrencias de falsos positivos que se rastrean con frecuencia. Medio: proporciona información sobre los falsos positivos que se rastrean ocasionalmente. Bajo: proporciona información sobre las ocurrencias de falsos positivos que se rastrean con poca frecuencia.
Impacto en el rendimiento	Especifique este filtro para filtrar los objetos de ataque de rendimiento lento. Puede usar este filtro para seleccionar solo los ataques adecuados en función de los impactos en el rendimiento. Seleccione una opción: Alto: agregue un objeto de ataque de impacto de alto rendimiento que sea vulnerable a un ataque. El impacto en el rendimiento de las firmas es alto7 a alto9, donde la identificación de la aplicación es lenta. Medio: agregue un objeto de ataque de impacto de rendimiento medio que sea vulnerable a un ataque. El impacto en el rendimiento de las firmas es de medio4 a medio6, donde la identificación de la aplicación es normal. Bajo: agregue un objeto de ataque de impacto de bajo rendimiento que sea vulnerable a un ataque. El impacto en el rendimiento de las firmas es bajo1 a bajo3, donde la identificación de la aplicación es más rápida. Desconocido: establezca todos los objetos de ataque en desconocido de forma predeterminada. A medida que ajusta el SPI al tráfico de red, puede cambiar esta configuración para ayudarle a realizar un seguimiento del impacto en el rendimiento. El impacto en el rendimiento de las firmas es 0 = desconocido, donde también se desconoce la identificación de la aplicación.
Expresión	Escriba una expresión booleana de los miembros del ataque que se usa para identificar la forma en que se deben hacer coincidir los miembros del ataque. Por ejemplo: m01 Y m02, donde m01, m02 son los miembros del ataque.
Alcance	Especifique si el ataque coincide en una sesión o en transacciones en una sesión: session: permite varias coincidencias para el objeto dentro de la misma sesión. transaction: hace coincidir el objeto con varias transacciones que se producen en la misma sesión.
Restablecer	Active esta opción para generar un nuevo registro cada vez que se detecte un ataque en la misma sesión. Si no se selecciona esta opción, el ataque se registra solo una vez por sesión.
Ordenado	Active esta opción para crear un objeto de ataque compuesto que debe coincidir con cada firma de miembro o anomalía de protocolo en el orden que especifique. Si no especifica un orden, el objeto de ataque compuesto debe seguir coincidiendo con todos los miembros, pero las anomalías de patrón o protocolo pueden aparecer en el ataque en cualquier orden. Un objeto de ataque compuesto detecta ataques que utilizan múltiples métodos para explotar una vulnerabilidad.
Agregar firma
Contexto	Seleccione una opción para definir la ubicación de la firma. Si conoce el servicio y el contexto de servicio específico, especifique ese servicio y, luego, especifique los contextos de servicio adecuados. Si conoce el servicio, pero no está seguro del contexto específico del servicio, especifique uno de los contextos generales. Por ejemplo: línea: especifique este contexto para detectar una coincidencia de patrón dentro de una línea específica dentro del tráfico de red.
Dirección	Especifique la dirección de conexión del ataque: De cliente a servidor: detecta el ataque solo en el tráfico de cliente a servidor. De servidor a cliente: detecta el ataque solo en el tráfico de servidor a cliente. Cualquiera: detecta el ataque en cualquier dirección. Usar una sola dirección (en lugar de Cualquiera) mejora el rendimiento, reduce los falsos positivos y aumenta la precisión de la detección.
Patrón	Ingrese un patrón de firma del ataque que desea detectar. Una firma es un patrón que siempre existe dentro de un ataque; Si el ataque está presente, también lo está la firma. Para crear el patrón de ataque, primero debe analizar el ataque para detectar un patrón (como un segmento de código, una dirección URL o un valor en el encabezado de un paquete) y, luego, crear una expresión sintáctica que represente ese patrón. Por ejemplo: Use \[<character-set>\] para coincidencias que no distinguen entre mayúsculas y minúsculas.
Expresiones regulares	Ingrese una expresión regular para definir reglas que coincidan con comportamientos maliciosos o no deseados en la red. Por ejemplo: Para la sintaxis \[hello\], el patrón esperado es hello, que distingue entre mayúsculas y minúsculas. Las coincidencias de ejemplo pueden ser: hElLo, HEllO y heLLO.
Negado	Seleccione esta opción para excluir el patrón especificado de la coincidencia. La negación de un patrón significa que el ataque se considera coincidente si el patrón definido en el ataque no coincide con el patrón especificado.
Agregar anomalía
Anomalía	Seleccione una opción para detectar mensajes anormales o ambiguos dentro de una conexión de acuerdo con el conjunto de reglas para el protocolo particular que se esté utilizando. La detección de anomalías de protocolo funciona al encontrar desviaciones de los estándares de protocolo, definidos con mayor frecuencia por RFC y extensiones de RFC comunes.
Dirección	Especifique la dirección de conexión del ataque: De cliente a servidor: detecta el ataque solo en el tráfico de cliente a servidor. De servidor a cliente: detecta el ataque solo en el tráfico de servidor a cliente. Cualquiera: detecta el ataque en cualquier dirección. Usar una sola dirección (en lugar de Cualquiera) mejora el rendimiento, reduce los falsos positivos y aumenta la precisión de la detección.
Detectores compatibles	Haga clic en el vínculo Detectores compatibles para mostrar una tabla que muestra las plataformas del dispositivo y el número de versión del detector de protocolo IPS que se ejecuta actualmente en el dispositivo. Por ejemplo: Plataforma - SRX550 Versión del detector: 9.1.140080400

Creación de firmas de IPS

Documentación relacionada