Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Aplicar políticas e configurar a segurança de endpoint com o Junos OS Enforcer

Em um ambiente de controle de acesso unificado (UAC), após um firewall da Série SRX se tornar Junos OS Enforcer, o firewall da Série SRX permite ou nega tráfego com base na política de segurança do Junos OS. O agente da Infranet opera nos endpoints para proteger o tráfego verificando as políticas do Host Checker da UAC. Com base nos resultados de conformidade do Host Checker, o Junos OS Enforcer permite ou nega o acesso ao endpoint.

Entendendo a aplicação de políticas do Junos OS Enforcer

Uma vez que o firewall da Série SRX tenha se estabelecido com sucesso como o Junos OS Enforcer, ele protege o tráfego da seguinte forma:

  1. Primeiro, o Junos OS Enforcer usa a política de segurança apropriada do Junos OS para processar o tráfego. Uma política de segurança usa critérios como o endereço IP de origem do tráfego ou a hora do dia em que o tráfego foi recebido para determinar se o tráfego deve ou não ser permitido passar.

  2. Assim que determinar que o tráfego pode passar com base na política de segurança do Junos OS, o Junos OS Enforcer mapeia o fluxo de tráfego para uma entrada na tabela de autenticação. O Junos OS Enforcer usa o endereço IP de origem do primeiro pacote no fluxo para criar o mapeamento.

    Uma entrada na tabela de autenticação contém o endereço IP de origem e a(s) função(s) do usuário de um usuário que já estabeleceu com sucesso uma sessão de UAC. Uma função de usuário identifica um grupo de usuários com base em critérios como tipo (por exemplo, "Engenharia" ou "Marketing") ou status (por exemplo, "Antivírus Em execução"). O Junos OS Enforcer determina se permite ou nega que o tráfego passe com base nos resultados de autenticação armazenados na entrada da tabela de autenticação apropriada.

    O UAC Appliance da Série IC empurra as entradas da tabela de autenticação para o Junos OS Enforcer quando os dispositivos se conectam entre si e, conforme necessário, durante toda a sessão. Por exemplo, o dispositivo da Série IC pode empurrar as entradas atualizadas da tabela de autenticação para o Junos OS Enforcer quando o computador do usuário se tornar incompatível com as políticas de segurança de endpoint, quando você muda a configuração da função de um usuário ou quando você desativa todas as contas de usuário no dispositivo da Série IC em resposta a um problema de segurança, como um vírus na rede.

    Se o Junos OS Enforcer derrubar um pacote por causa de uma entrada de tabela de autenticação ausente, o dispositivo envia uma mensagem para o dispositivo da Série IC, que por sua vez pode provisionar uma nova entrada na tabela de autenticação e mandá-lo para o Junos OS Enforcer. Esse processo é chamado de provisionamento dinâmico da tabela de autenticação.

  3. Assim que determinar que o tráfego pode passar com base nas entradas da tabela de autenticação, o Junos OS Enforcer mapeia o fluxo para um recurso. O Junos OS Enforcer usa o endereço IP de destino especificado no fluxo para criar o mapeamento. Em seguida, o dispositivo usa esse recurso, bem como a função do usuário especificada na entrada da tabela de autenticação para mapear o fluxo para uma política de acesso a recursos.

    Uma política de acesso a recursos especifica um recurso específico ao qual você deseja controlar o acesso com base na função do usuário. Por exemplo, você pode criar uma política de acesso a recursos que permite que apenas usuários que são membros das funções de usuário de engenharia e antivírus em execução tenham acesso ao servidor somente de engenharia. Ou você pode criar uma política de acesso a recursos que permite aos membros do no Antivirus Running acesso à função de usuário corretivo no qual o software antivírus está disponível para download.

    O dispositivo da Série IC empurra as políticas de acesso aos recursos para o Junos OS Enforcer quando os dispositivos se conectam entre si e quando você modifica as configurações da política de acesso aos recursos no dispositivo da Série IC.

    Se o Junos OS Enforcer derrubar o pacote por causa de uma política de "negar", o Junos OS Enforcer envia uma mensagem para o dispositivo da Série IC, que por sua vez envia uma mensagem ao Odyssey Access Client do endpoint (se disponível). (O dispositivo da Série IC não envia mensagens de "negar" ao cliente sem agente.)

  4. Assim que determinar que o tráfego pode ser transmitido com base nas políticas de acesso aos recursos, o Junos OS Enforcer processa o tráfego usando os serviços de aplicativo restantes definidos na política do Junos OS. O Junos OS Enforcer executa os serviços restantes na seguinte ordem: Detecção e prevenção de intrusões (IDP), filtragem de URL e gateways de camada de aplicativos (ALGs).

Configuração das opções de failover do Junos OS Enforcer (procedimento CLI)

Antes de começar:

  1. Habilite o UAC através das políticas de segurança relevantes do Junos OS.

  2. Configure o firewall da Série SRX como um Junos OS Enforcer. Durante a configuração, defina um cluster de dispositivos da Série IC aos quais o Junos OS Enforcer deve se conectar. Veja como habilitar o UAC em um ambiente Junos OS (procedimento CLI).

Para configurar o processamento de failover do UAC Appliance da Série IC, você deve configurar o Junos OS Enforcer para se conectar a um cluster de dispositivos da Série IC. O Junos OS Enforcer comunica-se com um desses dispositivos da Série IC de cada vez e usa os outros para processamento de failover.

Para configurar o processamento de failover:

  1. Especifique com que frequência (em segundos) o Junos OS Enforcer deve esperar um sinal pulsante do dispositivo da Série IC indicando uma conexão ativa:

  2. Especifique o intervalo (em segundos) em que o Junos OS Enforcer deve considerar a conexão atual cronometrada:

    Nota:

    Qualquer mudança no intervalo de contato e nos valores de tempo limite do Controle de Acesso Unificado (UAC) no firewall da Série SRX só será eficaz após a próxima reconexão do firewall da Série SRX com o dispositivo da Série IC.

  3. Especifique como o Junos OS Enforcer deve lidar com todas as sessões de tráfego atuais e subsequentes quando sua conexão com um cluster da Série IC for perdida:

Teste das decisões de acesso à política do Junos OS Enforcer usando o modo somente de teste (procedimento CLI)

Antes de começar:

  1. Habilite o UAC através das políticas de segurança relevantes do Junos OS. Veja como habilitar o UAC em um ambiente junos OS (procedimento CLI)

  2. Configure os firewalls da Série SRX como um Junos OS Enforcer. Veja configuração das comunicações entre o Junos OS Enforcer e o IC Series UAC Appliance (procedimento CLI).

  3. Se você estiver se conectando a um cluster de dispositivos UAC da Série IC, habilite opções de failover. Consulte a configuração das opções de failover do Junos OS Enforcer (procedimento CLI).

Quando configurado no modo somente para testes, o firewall da Série SRX permite que todo o tráfego UAC passe, independentemente das configurações da política do UAC. O dispositivo registra as decisões de acesso da política de UAC sem aplicá-las para que você possa testar a implementação sem impedir o tráfego.

Para ativar ou desativar o modo somente de teste, insira a seguinte declaração de configuração:

Verificação da aplicação de políticas do Junos OS Enforcer

Exibição das entradas da tabela de autenticação do UAC Appliance da Série IC do Junos OS Enforcer

Propósito

Exibir um resumo das entradas da tabela de autenticação configuradas do UAC Appliance da Série IC.

Ação

Insira o show services unified-access-control authentication-table comando CLI.

Exibição de políticas de acesso a recursos do UAC Appliance da Série IC do Junos OS Enforcer

Propósito

Exibir um resumo das políticas de acesso aos recursos de UAC configuradas a partir do UAC Appliance da Série IC.

Ação

Insira o show services unified-access-control policies comando CLI.

Entendendo a segurança de endpoint usando o agente Infranet com o Junos OS Enforcer

Um agente da Infranet ajuda você a proteger o tráfego em sua rede, começando pelos endpoints que iniciam as comunicações da seguinte forma:

  1. O agente da Infranet, que é executado diretamente no endpoint, verifica se o endpoint está em conformidade com suas políticas de verificação de host do Controle unificado de acesso (UAC). Você pode usar uma ampla variedade de critérios dentro de uma política de Host Checker da UAC para determinar a conformidade. Por exemplo, você pode configurar a política do Host Checker para confirmar que o endpoint está executando software antivírus ou um firewall ou que o endpoint não está executando tipos específicos de malware ou processos.

  2. O agente da Infranet transmite as informações de conformidade para o Junos OS Enforcer.

  3. O Junos OS Enforcer permite ou nega o acesso ao endpoint aos recursos de sua rede com base nos resultados de conformidade do Host Checker.

Como o agente da Infranet é executado diretamente no endpoint, você pode usar o agente Infranet para verificar o endpoint para obter conformidade com a segurança a qualquer momento. Por exemplo, quando um usuário tenta entrar no UAC Appliance da Série IC, você pode exigir que o agente da Infranet envie resultados de conformidade imediatamente — o usuário nem verá a página de login até que o agente da Infranet devolva resultados positivos de conformidade ao dispositivo da Série IC. Você também pode configurar o agente Infranet para verificar a conformidade após o login do usuário ou periodicamente durante a sessão do usuário.

Se os endpoints que executam o agente Infranet tiverem acesso apropriado, eles enviarão automaticamente seus resultados de conformidade para o dispositivo da Série IC, e o dispositivo da Série IC atualizará as entradas da tabela de autenticação de acordo e as enviará para o Junos OS Enforcer. O Junos OS Enforcer oferece suporte a conexões com o Odyssey Access Client e agentes Infranet "sem agente".

Configuração da segurança de endpoint usando o agente infranet com o Junos OS Enforcer

Para integrar o agente Infranet em uma implantação Junos OS-UAC, nenhuma configuração especial é necessária no Junos OS Enforcer. Você simplesmente precisa criar políticas de segurança que permitam o acesso aos endpoints apropriados, como faria para qualquer outra implantação do Junos OS-UAC.

Documentação relacionada