Slik kan du dokumentere hvilke trusler brannmuren beskytter mot

Teknisk blogg

Slik kan du dokumentere hvilke trusler brannmuren beskytter mot

Nye trusler og angrep kommer over oss fortløpende. Det er nyttig å vite hvilken versjon av signaturdatabasen som er aktiv, og hvilke trusler den beskytter mot. 

Produkt: Juniper Networks, SRX Firewall

Når er det nyttig: Løpende

Kort fortalt: Versjonsnummeret på IDP signaturdatabasen din brannmur benytter, og detaljert informasjon om truslene den beskytter mot.

IDP (Intrusion Detection and Protection) signatur-databasen i brannmuren inneholder definisjoner av forskjellige objekter, som for eksempel virus, trusler og andre objekter. Databasen brukes for å sette policy-regler for IDP, og oppdateres fortløpende i takt med nye trusler. Truslene lagres i form av såkalte IPS (Intrusion Protection System) Application-signaturer.

Selve nøkkelen til å finne informasjon er versjonsnummeret på IDP signatur-databasen. Den finner du med følgende kommando:

> show security idp security-package-version

  Attack database version: 2796 (Tue Oct 10 15:08:42 2016)

I dette tilfellet er svaret at vi kjører versjon 2796 av IDP databasen. På nettet kan vi se hva som er endret i den aktive versjonen, ved å legge inn versjonsnummeret på slutten av URL-en:

https://signatures.juniper.net/restricted/sigupdates/nsm-updates/2796.html

For å lese mer om en enkelt signatur, kan du enten søke opp signaturen på denne URL-en, eller gå direkte til signaturen ved å bytte ut «index.html» med «<signatur-navnet>.html». 
http://services.netscreen.com/documentation/signatures/index.html


I vårt eksempel ønsker vi å se nærmere på HTTP:STC:IMAGEMAGIC-ARR-INDEX, kunne vi montert inn navnet i lenken i stedet for å velge over. I begge tilfeller havner vi her, der vi kan lese mer om denne konkrete trusselen:
http://services.netscreen.com/documentation/signatures/HTTP:STC:IMAGEMAGIC-ARR-INDEX.html


Til slutt er det også mulig å abonnere på IPS- signaturer dersom du har en RSS-feed. Følg denne lenken:

http://rss.juniper.net/p/subscribe

Og velg «IPS Application Signatures» - Create RSS feed.