Creación de firmas IPS

Antes de empezar

Lea el tema Descripción de las firmas IPS
Tener una comprensión básica de lo que son los ataques y patrones.
Revise la página principal de firmas de políticas de IPS para comprender su conjunto de datos actual. Consulte Campos de la página principal de firmas de política IPS para obtener descripciones de los campos.

Utilice la página Crear firma IPS para supervisar y evitar intrusiones. El sistema de prevención de intrusiones (SPI) compara el tráfico con las firmas de amenazas conocidas y bloquea el tráfico cuando se detecta una amenaza.

La base de firmas es uno de los principales componentes de IPS. Contiene definiciones de diferentes objetos, como objetos de ataque, objetos de firma de aplicación y objetos de servicio, que se utilizan para definir reglas de directiva IPS. Hay más de 8.500 firmas para identificar anomalías, ataques, spyware y aplicaciones.

Para mantener las políticas de IPS organizadas y manejables, los objetos de ataque se pueden agrupar. Un grupo de objetos de ataque puede contener uno o más tipos de objetos de ataque. Junos OS admite los siguientes tres tipos de grupos de ataque:

Firma IPS: contiene objetos presentes en la base de datos de firmas.
Dinámico: contiene objetos de ataque según determinados criterios coincidentes.
Estático: contiene grupos de ataque definidos por el cliente y se puede configurar a través de la CLI.

Para configurar una firma IPS:

Seleccione Configurar > política IPS > firmas.
Haga clic en Crear.
Seleccione Firma IPS.
Complete la configuración de acuerdo con las directrices proporcionadas en la Tabla 1.
Haga clic en Aceptar.

Se crea una nueva firma IPS con las configuraciones predefinidas. Puede usar esta firma en las políticas de SPI.

Tabla 1: Configuración de firmas IPS
Configuración	Directrices
Nombre	Introduzca una cadena única de caracteres alfanuméricos, dos puntos, puntos, guiones y guiones bajos. No se permiten espacios y la longitud máxima es de 63 caracteres.
Descripción	Introduzca una descripción para la firma IPS; La longitud máxima es de 1024 caracteres.
Categoría	Introduzca una categoría predefinida o una nueva. Utilice esta categoría para agrupar los objetos de ataque. Dentro de cada categoría, los objetos de ataque se agrupan por gravedad. Por ejemplo: FTP, TROYANO, SNMP.
Acción	Seleccione una acción que desee que realice la firma IPS cuando el tráfico supervisado coincida con los objetos de ataque especificados en las reglas: Ninguno: no se realiza ninguna acción. Use esta acción para generar solo registros para parte del tráfico. Cerrar cliente y servidor: cierra la conexión y envía un paquete RST tanto al cliente como al servidor. Cerrar cliente: cierra la conexión y envía un paquete RST al cliente, pero no al servidor. Cerrar servidor: cierra la conexión y envía un paquete RST al servidor, pero no al cliente. Ignorar: detiene el análisis del tráfico en busca del resto de la conexión si se encuentra una coincidencia de ataque. IPS deshabilita la base de reglas para la conexión específica. Descartar: descarta todos los paquetes asociados a la conexión, lo que impide que el tráfico de la conexión llegue a su destino. Use esta acción para eliminar conexiones para tráfico que no sea propenso a suplantación de identidad. Descartar paquete: descarta un paquete coincidente antes de que pueda llegar a su destino, pero no cierra la conexión. Use esta acción para colocar paquetes para ataques en tráfico propenso a suplantación de identidad, como el tráfico UDP. Interrumpir una conexión para dicho tráfico podría resultar en una denegación de servicio que le impide recibir tráfico de una dirección IP de origen legítima.
Palabras clave	Introduzca identificadores únicos que se pueden usar para buscar y ordenar registros de registro. Las palabras clave deben estar relacionadas con el ataque y el objeto de ataque. Por ejemplo, Amanda Amindexd Remote Overflow.
Severidad	Seleccione un nivel de gravedad para el ataque del que informará la firma: Crítico: contiene objetos de ataque que coinciden con vulnerabilidades de seguridad que intentan evadir la detección, provocar el bloqueo de un dispositivo de red u obtener privilegios a nivel del sistema. Información: contiene objetos de ataque que coinciden con tráfico normal e inofensivo que contiene URL, errores de búsqueda DNS, cadenas de comunidad pública SNMP y parámetros punto a punto (P2P). Puede utilizar objetos de ataque informativos para obtener información acerca de la red. Principal: contiene objetos de ataque que coinciden con ataques que intentan interrumpir un servicio, obtener acceso a nivel de usuario a un dispositivo de red o activar un caballo de Troya previamente cargado en un dispositivo. Menor: contiene objetos de ataque que coinciden con vulnerabilidades de seguridad que detectan esfuerzos de reconocimiento que intentan acceder a información vital a través de un recorrido de directorios o fugas de información. Advertencia: contiene objetos de ataque que coinciden con vulnerabilidades de seguridad que intentan obtener información no crítica o analizar una red con una herramienta de análisis. El nivel más peligroso es crítico, que intenta bloquear su servidor u obtener el control de su red. El nivel informativo es el menos peligroso y es utilizado por los administradores de red para descubrir agujeros en sus sistemas de seguridad.
Detalles de la firma
Encuadernación	Seleccione una opción para detectar el servicio o protocolo que utiliza el ataque para entrar en su red: IP: permite que IPS coincida con la firma de un tipo de protocolo IP especificado. ICMP: permite que IPS coincida con la firma de un ID ICMP especificado. TCP: permite que IPS coincida con la firma de los puertos TCP especificados. UDP: permite que IPS coincida con la firma de los puertos UDP especificados. RPC: permite que IPS coincida con la firma de un número de programa de llamada a procedimiento remoto (RPC) especificado. Las aplicaciones de procesamiento distribuido utilizan el protocolo RPC para controlar la interacción entre procesos de forma remota. Servicio: permite que IPS coincida con la firma de un servicio especificado. IPv6 o ICMPv6: especifica la información de coincidencia de encabezado para el ataque de firma. Puede especificar que IPS busque en un paquete una coincidencia de patrones para la información de encabezado IPv6 e ICMPv6.
Protocolo	Escriba el nombre del protocolo de red. Por ejemplo: IGMP, IP‐IP.
Siguiente encabezado	Introduzca el tipo de protocolo IP para el encabezado que sigue inmediatamente al encabezado IPv6. Por ejemplo, si el dispositivo realiza IPsec en paquetes intercambiados, el valor del encabezado siguiente es probablemente 50 (encabezado de extensión ESP) o 51 (encabezado de extensión AH).
Rango(s) de puertos	Introduzca los intervalos de puertos para los tipos de protocolo TCP y UDP.
Número de programa	Escriba el identificador de programa para el protocolo RPC.
Servicio	Especifique el servicio que utiliza el ataque para entrar en su red. Puede seleccionar el servicio específico utilizado para perpetrar el ataque como enlace de servicio. Por ejemplo, supongamos que selecciona el servicio DESCARTAR. El protocolo de descarte es un protocolo de capa de aplicación en el que TCP/9, UDP/9 describe el proceso para descartar datos TCP o UDP enviados al puerto 9.
Alcance del tiempo	Seleccione el ámbito en el que se produce el recuento de un ataque: IP de origen: detecta ataques desde la dirección de origen durante el número de veces especificado, independientemente de la dirección de destino. IP dest: detecta ataques enviados a la dirección de destino el número especificado de veces, independientemente de la dirección de origen. Par: detecta ataques entre las direcciones IP de origen y destino de las sesiones durante el número de veces especificado.
Conteo de tiempo	Especifique el número de veces que el objeto de ataque debe detectar un ataque dentro del ámbito especificado antes de que el dispositivo considere que el objeto de ataque coincide con el ataque. El rango es de 0 a 4,294,967,295.
Garantía de coincidencia	Especifique este filtro para realizar un seguimiento de los objetos de ataque en función de la frecuencia con la que el ataque produce un falso positivo en la red. Seleccione una opción: Alto: proporciona información sobre los falsos positivos de los que se realiza un seguimiento frecuente. Medio: proporciona información sobre los falsos positivos rastreados ocasionalmente. Bajo: proporciona información sobre los que rara vez se rastrean los falsos positivos.
Impacto en el rendimiento	Especifique este filtro para filtrar los objetos de ataque de rendimiento lento. Puede usar este filtro solo para seleccionar los ataques adecuados en función de los impactos en el rendimiento. Seleccione una opción: Alto: agrega un objeto de ataque de impacto de alto rendimiento que sea vulnerable a un ataque. El impacto de las firmas en el rendimiento es alto7 a alto9, donde la identificación de la aplicación es lenta. Medio: agrega un objeto de ataque de impacto de rendimiento medio que sea vulnerable a un ataque. El impacto de las firmas en el rendimiento es medio4 a medio6, donde la identificación de la aplicación es normal. Bajo: agrega un objeto de ataque de impacto de bajo rendimiento que sea vulnerable a un ataque. El impacto de las firmas en el rendimiento es de bajo1 a bajo3, donde la identificación de la aplicación es más rápida. Desconocido: establezca todos los objetos de ataque en desconocido de forma predeterminada. A medida que ajusta IPS al tráfico de su red, puede cambiar esta configuración para ayudarle a realizar un seguimiento del impacto en el rendimiento. El impacto de las firmas en el rendimiento es 0 = desconocido, donde también se desconoce la identificación de la aplicación.
Expresión	Introduzca una expresión booleana de los miembros del ataque que se utiliza para identificar la forma en que deben coincidir los miembros del ataque. Por ejemplo: m01 Y m02, donde m01, m02 son los miembros del ataque.
Alcance	Especifique si el ataque coincide dentro de una sesión o entre transacciones en una sesión: session: permite varias coincidencias para el objeto dentro de la misma sesión. transaction: hace coincidir el objeto con varias transacciones que se producen dentro de la misma sesión.
Restablecimiento	Active esta opción para generar un nuevo registro cada vez que se detecte un ataque dentro de la misma sesión. Si esta opción no está seleccionada, el ataque se registra solo una vez por sesión.
Ordenado	Active esta opción para crear un objeto de ataque compuesto que debe coincidir con cada firma de miembro o anomalía de protocolo en el orden especificado. Si no especifica una orden, el objeto de ataque compuesto aún debe coincidir con todos los miembros, pero las anomalías de patrón o protocolo pueden aparecer en el ataque en cualquier orden. Un objeto de ataque compuesto detecta ataques que utilizan varios métodos para aprovechar una vulnerabilidad.
Agregar firma
Contexto	Seleccione una opción para definir la ubicación de la firma. Si conoce el servicio y el contexto de servicio específico, especifique ese servicio y, a continuación, especifique los contextos de servicio adecuados. Si conoce el servicio, pero no está seguro del contexto específico del servicio, especifique uno de los contextos generales. Por ejemplo: línea: especifique este contexto para detectar una coincidencia de patrón dentro de una línea específica dentro del tráfico de red.
Dirección	Especifique la dirección de conexión del ataque: Cliente a servidor: detecta el ataque solo en el tráfico de cliente a servidor. De servidor a cliente: detecta el ataque solo en el tráfico de servidor a cliente. Cualquiera: detecta el ataque en cualquier dirección. El uso de una sola dirección (en lugar de Cualquiera) mejora el rendimiento, reduce los falsos positivos y aumenta la precisión de la detección.
Patrón	Introduzca un patrón de firma del ataque que desea detectar. Una firma es un patrón que siempre existe dentro de un ataque; Si el ataque está presente, también lo está la firma. Para crear el patrón de ataque, primero debe analizar el ataque para detectar un patrón (como un segmento de código, una dirección URL o un valor en un encabezado de paquete) y, a continuación, crear una expresión sintáctica que represente ese patrón. Por ejemplo: Utilice \[<juego de caracteres>\] para coincidencias que no distinguan entre mayúsculas y minúsculas.
Regex	Escriba una expresión regular para definir reglas que coincidan con el comportamiento malintencionado o no deseado en la red. Por ejemplo: Para la sintaxis \[hola\], el patrón esperado es hola, que distingue entre mayúsculas y minúsculas. Los ejemplos de coincidencias pueden ser: hElLo, HEllO y heLLO.
Negado	Seleccione esta opción para excluir el patrón especificado de que coincida. Negar un patrón significa que el ataque se considera coincidente si el patrón definido en el ataque no coincide con el patrón especificado.
Agregar anomalía
Anomalía	Seleccione una opción para detectar mensajes anormales o ambiguos dentro de una conexión de acuerdo con el conjunto de reglas para el protocolo particular que se está utilizando. La detección de anomalías de protocolo funciona al encontrar desviaciones de los estándares de protocolo, definidas con mayor frecuencia por RFC y extensiones RFC comunes.
Dirección	Especifique la dirección de conexión del ataque: Cliente a servidor: detecta el ataque solo en el tráfico de cliente a servidor. De servidor a cliente: detecta el ataque solo en el tráfico de servidor a cliente. Cualquiera: detecta el ataque en cualquier dirección. El uso de una sola dirección (en lugar de Cualquiera) mejora el rendimiento, reduce los falsos positivos y aumenta la precisión de la detección.
Detectores compatibles	Haga clic en el vínculo Detectores compatibles para mostrar una tabla que muestra las plataformas de dispositivos y el número de versión del detector de protocolo IPS que se ejecuta actualmente en el dispositivo. Por ejemplo: Plataforma SRX550 Versión del detector - 9.1.140080400

Creación de firmas IPS

Documentación relacionada