juniper SSGでのDI運用後、いくつかメモ的に使ってるものを記録。
IPS効果が一番感じれるのは、POP3認証のブルートフォース攻撃かな。SMTP認証についても対応してもらえるとうれしいのだけど、設定値がないので出来なさそうなのが残念。
簡単な辞書には載ってないユーザー名とかを使ってるとは思うのですが、メールサーバーのログにいろいろ残るのは気分的にも不安になるので、SSGでブロック出来るのが嬉しいです。
DIを運用するときに使うコマンド
DIのデータベースバージョン確認:get attack db
一部の結果は伏せておいたのですが、こんな出力が得られます。Signature数や、自動アップデートの確認などに。
ssg-> get attack db Attack database Version: 2xxx (ddmm2012:hh:mm:ss) Number of Attacks: 5xx, Number of Groups: xx Attack database Server: https://services.netscreen.com/restricted/sigupdates/server Automatic Operation: Update Schedule for automatic Operation: weekly Monday 07:00 Signature pack currently in use: Server-ScreenOS 5.3 - 6.3 Signature pack configured: Server Deep Inspection Pack Signature update proxy: OFF
DIのsignature / anomaly確認:get attack
ssg-> get attack Total number of attacks is 579
次の内容がリストで取得できます
- pre-defined
- chain
- signature
- anomaly
- user-defined
- signature
DIのグループ一覧:get attack group
ssg-> get attack group
DIの設定時の適用単位であるグループ一覧。次が出てきます。
- pre-defined
- user-defined
最新 DI signature は、どこ見ればわかる?
以前のポストで調べたSSGのDI機能ですが、一部誤解があったみたいです。
説明ページが古めかしいのは、ScreenOSが終息する製品だからって事だろうか。。。いささかさみしい。
製品からのSignatureのリンク先は古めかしいページに飛ぶのですが、現在SSGのSignatureは、SRXなどと共にこちらのページで管理されてるようです。
- juniper NETWORKS SIGNATURES
例えば SMTP:COMMAND:EXPN だと次のような詳細。
Supported Platforms di-5.3+, idp-4.0+, isg-3.0+, j-series-9.5+, mx-9.4+, srx-9.2+, srx-branch-9.4+
たぶん di = SSGのDIオプション と想像。
同じSignaturesのジャンルでも、SMTP:COMMAND:STARTTLS-CMDのように di と書かれてないものも存在するので、一覧にあるものが全部使えない事を前提に見ないといけなさそう。
また Application Signatures のジャンルでは di が存在しない(SSGのDIでは対応していない)ので、なんとなくマッチする気がします。
最新(Signatureの数とか、アプリケーション認識とか)に対応しきれてないのは、古いアーキテクチャーだから仕方がないところだとは思います。ただ、数は数百とはいえSignatureの見直し・追加が止まってるわけじゃない点は、少し安心しました。とはいえ、買い替えのタイミングがあれば、スループット単価も安いからFortigateとかSonicWALLとか以上は選びたいところですね。