dokumenterte trusler

 

Nye trusler og angrep kommer over oss fortløpende. Det er nyttig å vite hvilken versjon av signaturdatabasen som er aktiv, og hvilke trusler den beskytter mot.


Produkt:
 Juniper Networks, SRX Firewall

Når er det nyttig: Løpende

Kort fortalt: Versjonsnummeret på IDP signaturdatabasen din brannmur benytter, og detaljert informasjon om truslene den beskytter mot.

IDP (Intrusion Detection and Protection) signatur-databasen i brannmuren inneholder definisjoner av forskjellige objekter, som for eksempel virus, trusler og andre objekter. Databasen brukes for å sette policy-regler for IDP, og oppdateres fortløpende i takt med nye trusler. Truslene lagres i form av såkalte IPS (Intrusion Protection System) Application-signaturer.

Selve nøkkelen til å finne informasjon er versjonsnummeret på IDP signatur-databasen. Den finner du med følgende kommando:

> show security idp security-package-version

  Attack database version: 2976 (Tue Oct 10 15:08:42 2016)


I dette tilfellet er svaret at vi kjører versjon 2976 av IDP databasen. På nettet kan vi se hva som er endret i den aktive versjonen, ved å legge inn versjonsnummeret på slutten av URL-en:

https://signatures.juniper.net/restricted/sigupdates/nsm-updates/2796.html

 

Dokumenterte trusler skjermbilde 1


For å lese mer om en enkelt signatur, kan du enten søke opp signaturen på denne URL-en, eller gå direkte til signaturen ved å bytte ut «index.html» med «<signatur-navnet>.html».

https://signatures.juniper.net/restricted/sigupdates/nsm-updates/2796.html

Dokumenterte trusler skjermbilde2


I vårt eksempel ønsker vi å se nærmere på HTTP:STC:IMAGEMAGIC-ARR-INDEX, kunne vi montert inn navnet i lenken i stedet for å velge over. I begge tilfeller havner vi her, der vi kan lese mer om denne konkrete trusselen:

http://services.netscreen.com/documentation/signatures/index.html

Dokumenterte trusler skjermbilde3


Til slutt er det også mulig å abonnere på IPS- signaturer dersom du har en RSS-feed. Følg denne lenken:

http://rss.juniper.net/p/subscribe

Og velg «IPS Application Signatures» - Create RSS feed.

Dokumenterte trusler skjermbilde4