IDP (INTRUSION DETECTION AND
PREVENTION)
SRX IDP概要
SRXのIDPでは、従来のステートフルファイアウォールではブロックで
きないアプリケーションレベルの攻撃を防御可能です。SRXシリーズ
はハイパフォーマンスなデザインとポリシーベースの柔軟なコンフィグ
レーションによって顧客の重要な資産を守ります。
0000000000000000000000000000000000 0000000000000000000000000000000000 0000000000000000000000000000000 Stateful Inspection Track sessions Packets Application Traffic Full IDPReassemble, normalize, eliminate ambiguity 8 Detection mechanisms including Stateful
Signatures and Protocol Anomalies
XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO
XOXOXOXOXOXOXOXOXOOXOXOXOXOX OXOXOXOXOXOXOXOXOXOXOXOXOXOX
XOXOXOXOXOXOXOXOXOXOXOXOXOXO Deny Traffic
Deny Some Attacks
専任セキュリティチーム
脆弱性や新たな脅威を研究する専任チーム
プロトコルデコードのノウハウ 複数の研究機関やベンダーとのパートナーシップ リバース・エンジニアリングの専門家 グローバルなハニーポット・ネットワークwww.juniper.net/security
業界トップクラスのレスポンスタイム
シグネチャを毎日更新 グローバルに分散配置したチーム 緊急時は数時間以内または数分以内に 更新IDP機能設定のステップ
ライセンスの投入
シグネチャのダウンロード
ポリシーテンプレートのダウンロード(オプション)
IDPポリシーの作成
IDPポリシーのアクティベート
セキュリティポリシーの設定
ステータスの確認
ライセンスの投入
IDP機能を利用するためにはライセンスが必要です
(ライセンスのご購入、配布方法については購入代理店様に御確認下さい)
lab@srx1> request system license add ? Possible completions:
<filename> Filename (URL, local, remote, or floppy) terminal Use login terminal
lab@srx1> show system license License usage:
Licenses Licenses Licenses Expiry Feature name used installed needed
IDPアタックシグネチャーをダウンロードするには、インターネット
接続環境が必要です(デフォルトルート、DNSなどの設定に注意
して下さい)。
下記コマンドでシグネチャ配布サーバに正常に到達できるかどうかを確認 lab@srx1> request security idp security-package download check-server
Successfully retrieved from(https://services.netscreen.com/cgi-bin/index.cgi). Version info:1687(Detector=10.3.160100319, Templates=2)
下記コマンドでシグネチャのダウンロードを開始
lab@srx1> request security idp security-package download
Statusを引数に与えてダウンロード状況の確認
lab@srx1> request security idp security-package download status In progress: Downloading ...
lab@srx1> request security idp security-package download status
In progress:SignatureUpdate_tmp.xml.gz 100 % 1174171 Bytes/ 1174171 Bytes
正常にダウンロードが終了すると下記のような表示となります。
lab@srx1> request security idp security-package download status
Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi).
Version info:1687(Fri May 21 12:48:07 2010, Detector=10.3.160100319)
シグネチャをダウンロード後、インストールを実行します。 lab@srx1> request security idp security-package install Statusを引数に与えてインストール状況の確認します。
lab@srx1> request security idp security-package install status
In progress:performing DB update for an xml (SignatureUpdate.xml) 正常にインストールが終了すると下記のような表示となります。
lab@srx1> request security idp security-package install status
Done;Attack DB update : successful - [UpdateNumber=1687,ExportDate=Fri May 21 12:48:07 2010,Detector=10.3.160100319]
Updating control-plane with new detector : successful
Updating data-plane with new attack or detector : not performed due to no existing running policy found.
現在インストールされているシグネチャのバージョンを確認可能です。 lab@srx1> show security idp security-package-version
Attack database version:1687(Fri May 21 12:48:07 2010) Detector version :10.3.160100319
Policy template version :N/A
ポリシーテンプレートのダウンロード(オプション)
ポリシーテンプレートによって簡単にIDPポリシーを設定すること
が可能です。
下記コマンドでポリシーテンプレートのダウンロードを開始
lab@srx1> request security idp security-package download policy-templates 正常にダウンロードが終了すると下記のような表示となります
lab@srx1> request security idp security-package download status
Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi).
ポリシーテンプレートのインストール(オプション)
下記コマンドでポリシーテンプレートのインストールを開始します
lab@srx1> request security idp security-package install policy-templates 正常にインストールが終了すると下記のような表示となります
lab@srx1> request security idp security-package install status
Done;policy-templates has been successfully updated into internal repository (=>/var/db/scripts/commit/templates.xsl)!
テンプレートを利用できるように下記をコンフィグに追加します
使用可能なポリシーテンプレートのリストは下記のコマンドで確認が
可能です
lab@srx1# run show security idp policy-templates-list Web_Server DMZ_Services DNS_Service File_Server Getting_Started IDP_Default Recommended
IDPポリシーの作成
IDPポリシーはruleにより構成され、トラフィックをどの様に処理
するかを設定します
1. rulebase-ipsでmatch条件を定義 • from-zone • to-zone • source-address • destination-address • applicationlab@srx1# set security idp idp-policy idp-policy-1 rulebase-ips rule 1 match from-zone any to-zone any source-address any destination-address any application
IDPポリシーの作成
2. アクションを定義 • no-action - 何もアクションしない(ログのみを取得したい時に使用) • ignore - 検知したら残りのトラフィックは検査を行わない • drop-packet - パケットをドロップ • drop-connection - セッションをドロップ • close-client - クライアントにRSTを返す • close-server – サーバにRSTを返す • close-client-and-server – クライアントとサーバにRSTを返す • mark-diffserv – DSCPマーキングを行う • recommended – Juniper推奨アクションを行うlab@srx1# set security idp idp-policy Intranet rulebase-ips rule 1 then action
IDPポリシーの作成
3. notificationを定義 – ログの採取
lab@srx1# set security idp idp-policy Intranet rulebase-ips rule 1 then notification
IDPポリシーの作成
4. IPアクションを定義 – 検知後、同じIPからのトラフィックを制御 • ip-notify (デフォルト設定) アクションしないが、ログのみを採取 • ip-close マッチしたセッションに対してクローズ処理 • ip-block マッチしたセッションをドロップlab@srx1# set security idp idp-policy Intranet rulebase-ips rule 1 then ip-action ip-close
IDPポリシーのアクティベート
使用するIDPポリシーをアクティブに設定
lab@srx1# set security idp active-policy idp-policy-1セキュリティポリシーの設定
セキュリティポリシーでIDPを使用するように設定
lab@srx1# set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any destination-address any application any
lab@srx1# set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit application-services idp
IDP CONFIGURATION 例
lab@srx1# show security idp idp-policy idp-policy-1 { rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; application default; attacks {
predefined-attack-groups [ Critical Major ]; } } then { action { drop-connection; } ip-action { ip-close; } notification { log-attacks;
ステータスの確認
show security idpで各種ステータスの確認
lab@srx1> show security idp ? Possible completions:
application-identification Show IDP application identification data application-statistics Show IDP application statistics
attack Show IDP attack data counters Show IDP counters
memory Show IDP data plane memory statistics policies Show the list of currently installed policies policy-templates-list Show available policy templates
security-package-version Show the version of currently installed security-package status Show IDP status
ステータスの確認
lab@srx1> show security idp memory IDP data plane memory statistics: Total IDP data plane memory : 212 MB
Used : 20 MB ( 20480 KB ) ( 9.43%) Available : 192 MB ( 196608 KB ) ( 90.57%)
ステータスの確認
lab@srx1# run show security idp status
State of IDP: Disabled, Up since: 2010-09-17 17:23:19 UTC (00:40:42 ago) Packets/second: 0 Peak: 0 @ 2010-09-17 17:23:19 UTC
KBits/second : 0 Peak: 0 @ 2010-09-17 17:23:19 UTC Latency (microseconds): [min: 0] [max: 0] [avg: 0]
Packet Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0] Flow Statistics:
ICMP: [Current: 0] [Max: 0 @ 2010-09-17 17:23:19 UTC] TCP: [Current: 0] [Max: 0 @ 2010-09-17 17:23:19 UTC] UDP: [Current: 0] [Max: 0 @ 2010-09-17 17:23:19 UTC] Other: [Current: 0] [Max: 0 @ 2010-09-17 17:23:19 UTC] Session Statistics:
[ICMP: 0] [TCP: 0] [UDP: 0] [Other: 0] Policy Name : idp-policy-1
