Filtragem de URL

Benefícios

A filtragem de DNS redireciona as solicitações de DNS para domínios de sites não permitidos para servidores sinkhole, impedindo que qualquer pessoa que opere o sistema veja a lista de domínios não permitidos. Isso ocorre porque os nomes de domínio não permitidos estão em um formato criptografado.

Arquivo de banco de dados de filtro de domínio não permitido

A filtragem de solicitação DNS requer um banco de dados de filtro de domínio não permitido .txt arquivo, que identifica cada nome de domínio não permitido, a ação a ser executada em uma solicitação DNS para o domínio não permitido e o endereço IP ou nome de domínio totalmente qualificado (FQDN) de um servidor de sumidouro DNS.

Perfil de filtro DNS

Você configura um perfil de filtro DNS para especificar qual arquivo de banco de dados de filtro de domínio não permitido usar. Você também pode especificar as interfaces nas quais a filtragem de solicitação DNS é executada, limitar a filtragem a solicitações de servidores DNS específicos e limitar a filtragem a solicitações de prefixos de endereço IP de origem específicos.

Visão geral

A partir do Junos OS Release 21.1R1, você pode configurar feeds de domínio personalizados por cliente ou subgrupo de IP. É possível:

• Configure nomes de domínio e ações para vários locatários, de modo que os feeds de domínio possam ser gerenciados por locatário.
• Configure o gerenciamento hierárquico de feed de domínio por perfil, por dns-filter-template ou por dns-filter-term.
• Isentar feeds de domínio no nível de IP, sub-rede ou CIDR.

Para implementar o suporte mutiltenant para filtragem DNS, a criação do arquivo de banco de dados de filtro de domínio no nível de modelo ou perfil está desabilitada. Você não precisa especificar um arquivo no nível do modelo ou do perfil. A partir do Junos OS 21.1R1, por padrão, um arquivo global com um nome fixo, nsf_multi_tenant_dn_custom_file.txt (formato de texto simples) ou dnsf_multi_tenant_dn_custom_file_hashed.txt (arquivo criptografado) está disponível.

Cada entrada no arquivo de banco de dados tem os seguintes itens:

nome de domínio com hash, endereço de sumidouro IPv4, endereço sumidouro IPv6, FQDN de sumididouro, ID, ação, nome do feed.

O hash do arquivo é calculado e acrescentado à lista de entradas de nome de domínio no arquivo. O hash do arquivo é calculado usando uma chave e um método globais, que são validados com o hash do arquivo calculado usando a chave de hash configurada [edit services web-filter] na hierarquia. A validação do arquivo será bem-sucedida somente se o hash de arquivo calculado corresponder ao hash do arquivo presente no arquivo.

Cada entrada em nsf_multi_tenant_dn_custom_file.txt arquivo consiste em um campo adicional chamado feed-name. Esse nome de feed é usado como um indicador para agrupar um conjunto de nomes de domínio e mapeá-los para um locatário (perfil, modelo, termo ou endereço IP).

Quando os pacotes DNS são recebidos de um endereço IP SRC específico, o nome do feed correspondente é buscado e a pesquisa ocorre nos nomes de domínio mapeados com o nome do feed associado ao termo. Se o nome do feed não for provisionado para esse endereço IP, ele retornará ao nome do feed configurado no nível do modelo e a pesquisa ocorrerá nos nomes de domínio mapeados com o nome do feed associado ao modelo. Se o nome do feed não estiver configurado no modelo, a pesquisa será em relação aos nomes de domínio mapeados em relação ao nome do feed associado ao perfil.

Benefícios

• Simplifica a implantação e aprimora os recursos anti-ameaça quando integrados aos roteadores MX.

• Oferece proteção contra ameaças de "dia zero" usando uma combinação de ferramentas para fornecer cobertura robusta contra ameaças sofisticadas e evasivas.

• Verifica o tráfego de entrada e saída com aprimoramentos de políticas que permitem aos usuários interromper malwares, colocar sistemas infectados em quarentena, evitar a exfiltração de dados e interromper o movimento lateral.

• Oferece suporte a alta disponibilidade para fornecer um serviço ininterrupto.

• Oferece escalabilidade para lidar com cargas cada vez maiores que exigem mais recursos de computação, maior largura de banda de rede para receber mais envios de clientes e um grande armazenamento para malware.

• Oferece inspeção profunda, relatórios acionáveis e bloqueio de malware em linha.

• Fornece a capacidade de fornecer informações de locação usando informações VRF em logs

Entendendo o Policy Enforcer e a Juniper ATP Cloud

O Security Director da Juniper Networks compreende um recurso chamado Policy Enforcer (PE) que permite que ele aprenda com as condições de ameaça, automatize a criação de políticas e implante dinamicamente a aplicação nos dispositivos da Juniper na rede.

A Figura 4 ilustra o fluxo de tráfego entre o PE, a Juniper ATP Cloud e o roteador MX, que funciona como um firewall.

• O Policy Enforcer (PE) aprende com as condições de ameaça, automatiza a criação de políticas e implanta a aplicação nos dispositivos da Juniper na rede.

• O Juniper Advanced Threat Prevention (Juniper ATP Cloud) protege todos os hosts da sua rede empregando um software de detecção de ameaças baseado em nuvem com um sistema de firewall de última geração.

• O roteador MX busca os feeds de inteligência de ameaças do Policy Enforcer (PE) e implementa essas políticas para colocar hosts comprometidos em quarentena. É composto pelos seguintes componentes importantes:

  • Processo de inteligência de Segurança

  • Processo de filtragem da Web

  • Processo de firewall

Figura 4: Arquitetura do sistema

Para entender a funcionalidade da arquitetura do sistema, considere o seguinte exemplo: se um usuário baixar um arquivo da Internet e esse arquivo passar por um firewall MX, o arquivo poderá ser enviado para a nuvem da Juniper ATP Cloud para inspeção de malware (dependendo das configurações). Se o arquivo for determinado como malware, o PE identificará o endereço IP e o endereço MAC do host que baixou o arquivo. Com base em uma política definida pelo usuário, esse host pode ser colocado em uma VLAN de quarentena ou impedido de acessar a Internet.

Os roteadores da Série MX podem ser integrados com a Juniper ATP Cloud para evitar que hosts comprometidos (botnets) se comuniquem com servidores de comando e controle:

• A partir do Junos OS versão 18.4R1 com os serviços adaptativos como um recurso de segurança em linha

• A partir do lançamento do Junos OS 19.3R2 com os serviços de próxima geração como um recurso de segurança em linha

Os roteadores MX Sseries podem baixar C&C e Geo-IP de qualquer um dos seguintes métodos:

• O método indireto - Policy Enforcer atua como um proxy de feed para todos os dispositivos em um ambiente definido. Esse método é benéfico para evitar que dispositivos individuais acessem os serviços de nuvem do Juniper ATP na Internet. Assim, diminuindo a vulnerabilidade dos dispositivos que chegam à Internet.

• Os roteadores da série MX de método direto se inscrevem diretamente na nuvem ATP da Juniper para baixar os feeds C&C e Geo-IP.

Inteligência de Segurança (SecIntel) - Visão geral

O processo de Inteligência de Segurança (IPFD) é responsável por baixar os feeds de inteligência de segurança e analisar do conector de feed ou do servidor de feed de nuvem do ATP Cloud. O processo IPFD nas plataformas MX busca os feeds IPv4/IPv6 de comando e controle do Policy Enforcer. Os feeds C&C são essencialmente uma lista de servidores que são conhecidos como servidores de comando e controle para botnets. A lista também inclui servidores que são fontes conhecidas de downloads de malware. As informações assim buscadas são salvas em um arquivo (urlf_si_cc_db.txt) criado no diretório /var/db/url-filterd .

O formato de arquivo dos IPs não permitidos enviados pelo IPFD para o processo de filtragem da Web é o seguinte:

IPv4 address | IPv6 address, threat-level.

O threat-level é um número inteiro que varia de 1 a 10 para indicar o nível de ameaça dos arquivos verificados em busca de malware e de hosts infectados. Aqui, 1 representa o nível de ameaça mais baixo e 10 representa o nível de ameaça mais alto.

Por exemplo: 178.10.19.20, 4

Aqui, 178.10.19.20 indica o IP não permitido e 4 indica o threat-level.

O banco de dados de feeds C&C é sincronizado com o Mecanismo de Roteamento de backup. O IPFD então compartilha as informações com o processo de filtragem da Web (filtrado por url). O processo de filtragem da Web lê o conteúdo do arquivo e configura os filtros de acordo.

Filtragem da Web (filtrada por URL) - Visão geral

O processo de filtragem da Web lê o conteúdo do arquivo obtido do IPFD e configura os filtros no Mecanismo de Encaminhamento de Pacotes de acordo. O processo de filtragem da Web impõe os feeds de comando e controle programando os filtros no Mecanismo de Encaminhamento de Pacotes para bloquear os pacotes destinados aos endereços IP bloqueados e gerar logs para relatar o incidente.

A Figura 5 ilustra a maneira como o feed C&C é buscado pelo IPFD e, em seguida, processado pelo processo de filtragem da Web.

Figura 5: Filtragem da Web

O perfil de filtro da Web pode ter mais de um modelo. Cada modelo consiste em um conjunto de interfaces lógicas configuradas para filtragem da Web e um ou mais termos. Um termo é um conjunto de critérios de correspondência com ações a serem tomadas se os critérios de correspondência forem atendidos. Para configurar o perfil de filtro da Web para usar o feed C&C buscado dinamicamente, você pode configurar o security-intelligence-policy comando no [edit services web-filter profile profile-name nível de hierarquia. Você não precisa configurar um termo para perfis de security-intelligence-policy filtro da Web baseados.

Você pode configurar as seguintes ações no nível da ameaça para o perfil de filtro da Web no nível da edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action hierarquia:

• drop

• drop-and-log

• log

Você pode configurar apenas um threat-action para cada threat level. Se o threat-action não estiver configurado para um determinado threat level, o padrão threat-action é accept.

A partir do Junos OS Release 24.4R1, para ameaças configuradas com log ação, o nível de ameaça e as informações de locatário ou VRF são incorporados nos syslogs de saída. Os mapas de política de classe de serviço foram aprimorados com uma nova user-attribute integer palavra-chave para armazenar e indicar o nível de ameaça.

Você pode configurar o user-attribute integer na [editi class-of-service policy-map policy-name] hierarquia.

O mapa de política é referenciado em cada configuração de nível de ameaça para mapear o novo atributo de usuário<> no termo de filtro dfw que direciona a ação configurada para cada nível de ameaça. O mapa de política é usado na [edit services web-filter profile profile-name security-intelligence-policy threat level integer policy-map policy-name] hierarquia ou [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy threat level integer policy-map policy-name] hierarquia para mapear o nível de ameaça para um atributo de usuário.

Por exemplo,

Associar uma instância de amostragem ao FPC

Para associar a instância definida a um FPC, MPC ou DPC específico, inclua a sampling-instance instrução no nível de [edit chassis fpc number] hierarquia, conforme mostrado no exemplo a seguir:

Configure uma instância de amostragem e associe o modelo à instância de amostragem.

Para configurar as propriedades do modelo para monitoramento de fluxo em linha, inclua as seguintes declarações no nível da edit services flow-monitoring hierarquia, conforme mostrado no exemplo a seguir:

Configure a instância de exemplo e associe o endereço IP do servidor de fluxo e outros parâmetros.

Para configurar uma instância de amostragem e associar o endereço IP do servidor de fluxo e outros parâmetros. Inclua as seguintes instruções na [edit forwarding-options] hierarquia, conforme mostrado no exemplo a seguir:

Exemplo: configurar o perfil de filtro da Web para definir diferentes níveis de ameaça

Visão geral

Os feeds GeoIP são essencialmente uma lista de endereços IP para mapeamentos de código de país. A partir do Junos OS 21.4R1, você pode configurar localizações geográficas baseadas em IP em roteadores da Série MX para buscar os feeds GeoIP do Policy Enforcer. Ao implantar os feeds GeoIP, você pode habilitar a rede para impedir que os dispositivos se comuniquem com endereços IP pertencentes a países específicos.

Você pode configurar o processo de inteligência de segurança (IPFD) em roteadores da série MX para buscar os feeds GeoIP do Policy Enforcer. Semelhante aos feeds IP ou IPv6 existentes do C&C, O IPFD baixa os feeds GeoIP do Policy Enforcer. O IPFD traduz o feed no formato de arquivo que é processado pelo processo de filtragem da Web (filtro de url) posteriormente.

A partir do Junos OS 22.1R1, você pode configurar o processo de inteligência de segurança (IPFD) em roteadores da série MX para buscar os feeds GeoIP da Juniper ATP Cloud. Semelhante aos feeds C&C IP ou IPv6 existentes, o IPFD baixa os feeds GeoIP da Juniper ATP Cloud.

Como configurar a filtragem GeoIP em roteadores da Série MX

As informações buscadas pelo IPFD são salvas em um arquivo (urlf_si_geoip_db.txt) criado no local /var/db/url-filterd .

O formato do arquivo enviado pelo IPFD para o processo de filtragem da Web é o seguinte:

IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num. Gen-num é sempre 0. VRF-name refere-se a um código de país.

Por exemplo, 178.10.19.22,12,255,US,0

O IPFD e o processo de filtragem da Web mantêm uma conexão pconn para comunicar a criação ou atualização de arquivos contendo feeds GeoIP. O processo de filtragem da Web impõe os feeds GeoIP programando os filtros no PFE para bloquear os pacotes destinados aos países bloqueados. As APIs fornecidas pelo liburlf são usadas para validar e analisar os arquivos.

O processo de filtragem da Web lê o arquivo que contém a lista de endereços IP e os filtros PFE são programados com os endereços IP de destino listados no feed e a ação configurada para o país associado.

• Filtro global- Os países são configurados sob a regra global em um perfil. Todos os endereços IP para países específicos dessa regra global são programados em um único filtro e aplicados a todos os modelos no perfil. Você pode configurar um perfil para buscar dinamicamente o feed GeoIP configurando geo-ip rule match country country-name na [edit services web-filter profile profile-name security-intelligence-policy] hierarquia .

• Filtro de grupo- Grupos de países são configurados em um modelo. Todos os endereços IP associados aos países de um grupo são programados em um filtro de grupo aplicado aos modelos nos quais esse grupo está configurado. Grupo é uma lista de países definidos em um arquivo json que é analisado por liburlf.

  Para configurar um filtro de grupo, você deve configurar um arquivo json no local /var/db/url-filterd , onde o arquivo group.json contém os mapeamentos de grupo.

  O formato do arquivo json é o seguinte:

  [

  {

  "group_name" : "group1",

  "country" : ["ZA","YE"]

  },

  {

  "group_name" : "group2",

  "country" : ["YT"]

  }

  ]

  Para buscar dinamicamente feeds GeoIP, você pode configurar um filtro global usando um único perfil ou configurar vários filtros de grupo usando modelos. Não oferecemos suporte a ambas as configurações juntas.

  Os grupos criados no arquivo json são referenciados na cláusula de correspondência GeoIP definida na [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name] hierarquia.

Você pode optar por personalizar o feed de IP adicionando sua própria lista de permissões e lista de bloqueios. Isso pode ser útil para gerenciar feeds de inteligência personalizados para seu centro de operações de segurança ou como uma medida temporária para falsos positivos. A partir do lançamento 21.4R1 do Junos OS, você pode permitir ou bloquear determinados endereços IP com base na configuração por meio de uma CLI ou de um arquivo. Você pode configurar uma lista separada para a lista de permissões e uma lista separada para a lista de bloqueios ou incluir os endereços IP em um arquivo e incluir o nome do arquivo na configuração da CLI.

Você pode criar um IP-address-list na [edit services web-filter] hierarquia. Aqui, IP-address-list contém a lista de endereços IP que devem ser permitidos ou bloqueados. Você também pode criar um arquivo contendo os endereços IP que precisam ser permitidos ou bloqueados no local /var/db/url-filterd . Os endereços IP configurados como parte do arquivo ou lista de endereços IP são programados como parte do filtro global, que é anexado a todos os modelos.

Você pode definir uma lista de permissões global configurando white-list (IP-address-list | file-name) na edit services web-filter profile profile-name security-intelligence-policy hierarquia. Você pode definir uma lista de bloqueio global configurando a black-list (IP-address-list | file-name) hierarquia edit services web-filter profile profile-name security-intelligence-policy . Aqui, o IP-address-list, refere-se ao nome da lista de endereços IP especificada na [edit services web-filter] hierarquia. O file-name refere-se ao nome do arquivo que contém a lista dos endereços IP que devem ser permitidos ou bloqueados. O arquivo deve estar no local /var/db/url-filterd e deve ter o mesmo nome da configuração.

O formato do arquivo de lista de permissões global é o seguinte:

O formato do arquivo de lista de bloqueio global é o seguinte:

O processo de filtragem da Web analisa a lista de endereços IP da lista de permissões globais ou da lista de bloqueios globais e programa os termos de filtro implícitos com os endereços IP configurados para permitir ou bloquear os pacotes.