Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Filtragem de URL

Visão geral da filtragem de URL

Você pode usar a filtragem de URL para determinar qual conteúdo da Web não é acessível aos usuários.

Os componentes deste recurso incluem:

  • Arquivo de banco de dados de filtro de URL

  • Configuração de um ou mais modelos (até oito por perfil)

  • Plug-in de filtro de URL (jservices-urlf)

  • Daemon de filtragem de URL (filtrado por url)

O arquivo de banco de dados do filtro de URL é armazenado no Mecanismo de Roteamento e contém todos os URLs desautorizados. Modelos configurados definem qual tráfego monitorar, quais critérios combinar e quais ações tomar. Você configura os modelos e a localização do arquivo de banco de dados do filtro de URL em um perfil.

A partir do Junos OS Release 17.2R2 e 17.4R1 para Serviços adaptativos, você pode desabilitar a filtragem do tráfego HTTP que contém um endereço IP incorporado (por exemplo, http:/10.1.1.1) pertencente a um nome de domínio não permitido no banco de dados do filtro de URL. A partir do Junos OS Release 19.3R2, essa mesma funcionalidade é suportada para serviços de próxima geração no MX240, MX480 e MX960.

Para habilitar o recurso de filtragem de URL, você deve configurar jservices-urlf como o package-name nível de [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] hierarquia. Uma vez habilitado, o jservices-urlf mantém o perfil de filtragem de URL e recebe todo o tráfego a ser filtrado, os critérios de filtragem e a ação a ser tomada no tráfego filtrado.

Nota:

O MX-SPC3 não precisa jservices-urlf explicitamente como o package-name nível de [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] hierarquia. Ele é suportado por padrão.

O daemon de filtragem de URL (filtrado por url), que também reside no Mecanismo de Roteamento, resolve o nome de domínio de cada URL no banco de dados do filtro de URL para uma lista de endereços IPv4 e IPv6. Em seguida, ele baixa a lista de endereços IP para o serviço PIC, que executa jservices-urlf. Em seguida, a url filtrada interage com o processo de firewall dinâmico (dfwd) para instalar filtros no Mecanismo de encaminhamento de pacotes para pontuar o tráfego selecionado do Mecanismo de encaminhamento de pacotes para o PIC de serviço.

À medida que o novo tráfego HTTP e HTTPS chega ao roteador, uma decisão é tomada com base nas informações no arquivo de banco de dados do filtro de URL. As regras de filtragem são verificadas e o roteador aceita o tráfego e o transmite ou bloqueia o tráfego. Se o tráfego estiver bloqueado, uma das seguintes ações configuradas será tomada:

  • Um redirecionamento HTTP é enviado ao usuário.

  • Uma página personalizada é enviada ao usuário.

  • Um código de status HTTP é enviado ao usuário.

  • Um reset de TCP é enviado.

Aceitar também é uma opção. Neste caso, o tráfego não está bloqueado.

A Figura 1 ilustra a filtragem de URL para sessões DE HTTP.

Figura 1: Filtragem de fluxo de pacotes-URL para sessões Packet Flow-URL Filtering for HTTP Sessions HTTP

A Figura 2 ilustra a filtragem de URL para sessões de HTTPS.

Figura 2: Filtragem de fluxo de pacotes-URL para sessões DE HTTPS Packet Flow-URL Filtering for HTTPS Sessions

Para obter mais detalhes sobre o recurso de filtragem de URL, veja as seguintes seções:

Arquivo de banco de dados do filtro de URL

O arquivo de banco de dados do filtro de URL contém entradas de URLs e endereços IP. Crie o arquivo de banco de dados do filtro de URL no formato indicado na Tabela 1 e localize-o no mecanismo de roteamento no diretório /var/db/filtrado por url .

Tabela 1: Formato de arquivo de banco de dados de filtro de URL

Entrada

Descrição

Exemplo

FQDN

Nome de domínio totalmente qualificado.

www.badword.com/jjj/bad.jpg

URL

URL de string completo sem o protocolo de Camada 7.

www.srch.com/*badword*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

Endereço IPv4

Solicitação de HTTP em um endereço IPv4 específico.

10.1.1.199

Endereço IPv6

Solicitação de HTTP em um endereço IPv6 específico.

1::1

Você deve especificar um banco de dados de filtro de URL personalizado no perfil. Se necessário, você também pode atribuir um arquivo de banco de dados de filtro de URL personalizado com qualquer modelo, e esse banco de dados tem precedência sobre o banco de dados configurado no nível do perfil.

Se você alterar o conteúdo do arquivo de banco de dados do filtro de URL, use o request services (url-filter | web-filter) update comando. Outros comandos que ajudam a manter o arquivo de banco de dados do filtro de URL incluem:

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

Advertências do perfil do filtro de URL

O perfil do filtro de URL consiste de um a oito modelos. Cada modelo consiste em um conjunto de interfaces lógicas configuradas onde o tráfego é monitorado para filtragem de URL e um ou mais termos.

Um termo é um conjunto de critérios de correspondência com ações a serem tomadas se os critérios de correspondência forem atendidos. Você deve configurar pelo menos um termo para configurar a filtragem de URL. Cada termo consiste em uma from declaração e uma then declaração, onde a from declaração define os prefixos IP de origem e as portas de destino que são monitoradas. A then declaração especifica as medidas a serem tomadas. Se você omitir a from declaração, qualquer prefixo IP de origem e qualquer porta de destino serão considerados compatíveis. Mas você pode omitir apenas uma from declaração por modelo ou por perfil.

Configuração de exemplo de vários termos sem as declarações

Se você omitir mais de uma from declaração por modelo, receberá a seguinte mensagem de erro no commit:

Veja também

Configuração da filtragem de URL

Para configurar o recurso de filtragem de URL, você deve primeiro configurar jservices-urlf como o package-name nível de [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] hierarquia. Para obter mais informações sobre a configuração da extension-provider package package-name declaração de configuração, consulte a declaração do pacote (Carregamento no PIC ).

Nota:

O MX-SPC3 não precisa jservices-urlf explicitamente como o package-name nível de [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] hierarquia. Ele é suportado por padrão.

A filtragem de URL está configurada em um PIC de serviço. As interfaces com as quais você está lidando são interfaces de serviço (que usam o ms prefixo) ou interfaces agregadas de multisserviços (AMS) (que usam o ams prefixo). Para obter mais informações sobre interfaces AMS, consulte o guia de usuário de interfaces de serviços adaptativos para dispositivos de roteamento a partir da compreensão de interfaces agregadas de multisserviços.

Um perfil de filtragem de URL é uma coleção de modelos. Cada modelo consiste em um conjunto de critérios que define quais URLs são desautorizadas e como o destinatário é notificado.

Para configurar o perfil de URL:

  1. Atribua um nome ao perfil de URL.

    A partir do Junos OS Release 18.3R1 para serviços adaptativos. configurar o perfil no nível de [edit services web-filter] hierarquia. Antes da versão 18.3R1 do Junos OS, configure o perfil no nível hierárquicos [edit services url-filter] . A partir do Junos OS Release 19.3R2, essa mesma funcionalidade está disponível para Serices de próxima geração no MX240, MX480 e MX960.

  2. Especifique o nome do banco de dados do filtro de URL para usar.
  3. Configure um ou mais modelos para o perfil.

    Para configurar cada modelo:

    1. Nome do modelo.
      Nota:

      A partir do Junos OS Release 18.3R1, configure o modelo com a url-filter-template declaração. Antes da versão 18.3R1 do Junos OS, configure o modelo com a template declaração.
    2. Vá para esse novo nível de hierarquia de modelo.
    3. Especifique o nome do banco de dados do filtro de URL para usar.
    4. Especifique a interface de loopback para a qual o endereço IP de origem é escolhido para o envio de consultas de DNS.
    5. Desabile a filtragem do tráfego HTTP que contém um endereço IP incorporado (por exemplo, http:/10.1.1.1)pertencente a um nome de domínio não permitido no banco de dados do filtro de URL.
    6. Configure o intervalo de tempo de resolução de DNS em minutos.
    7. Configure o número de retries para uma consulta de DNS no caso de a consulta falhar ou o tempo de saída.
    8. Especifique os endereços IP (IPv4 ou IPv6) de servidores DNS aos quais as consultas de DNS são enviadas.
    9. Especifique as interfaces lógicas voltadas para o cliente nas quais a filtragem de URL está configurada.
    10. Especifique as interfaces lógicas voltadas para o servidor nas quais a filtragem de URL está configurada.
    11. Especifique a instância de roteamento na qual a filtragem de URL está configurada.
    12. Especifique a instância de roteamento na qual o servidor DNS é acessível.
  4. Configure o termo informações.

    Os termos são usados em filtros para segmentar a política ou filtrar em pequenos pares de correspondência e ação.

    1. Diga o termo.
    2. Vá para o novo nível de hierarquia.
    3. Especifique os prefixos de endereço IP de origem para tráfego que você deseja filtrar.
    4. Especifique as portas de destino para tráfego que você deseja filtrar.
    5. Configure uma ação a ser tomada.

      A ação pode ser uma das seguintes:

      custom-page custom-page

      Envie uma string de página personalizada para o usuário.
      http-status-code http-status-code

      Envie um código de status HTTP para o usuário.
      redirect-url redirect-url

      Envie um redirecionamento HTTP para o usuário.
      tcp-reset

      Envie um reset de TCP para o usuário.
  5. Associe o perfil de URL com um conjunto de serviços de próximo salto.
    Nota:

    Para filtragem de URL, você deve configurar o conjunto de serviços como um conjunto de serviços de próximo salto.
    Nota:

    A interface de serviço também pode ser do ams prefixo. Se você estiver usando ams interfaces no nível de [edit services service-set service-set-name] hierarquia para o filtro de URL, você também deve configurar a load-balancing-options hash-keys declaração no nível de [edit interfaces ams-interface-name unit number] hierarquia.
    Nota:

    A partir do Junos OS Release 18.3R1, configure o conjunto de serviços com a web-filter-profile declaração. Antes da versão 18.3R1 do Junos OS, configure o conjunto de serviços com a url-filter-profile declaração.

Veja também

Filtragem de solicitações de DNS para domínios de sites não permitidos

Visão geral da filtragem de solicitações de DNS

A partir do Junos OS Release 18.3R1, você pode configurar a filtragem de DNS para identificar solicitações de DNS para domínios de site não permitidos. A partir do Junos OS Release 19.3R2, você pode configurar a filtragem de DNS se estiver executando serviços de próxima geração com a placa de serviços MX-SPC3. Os serviços de próxima geração têm suporte para roteadores MX240, MX480 e MX960. Para solicitações de DNS dos tipos A, AAAA, MX, CNAME, TXT, SRV e ANY, você configura a ação a ser tomada para uma solicitação de DNS para um domínio desautorizado. Você também pode:

  • Bloqueie o acesso ao site enviando uma resposta DNS que contenha o endereço IP ou o nome de domínio totalmente qualificado (FQDN) de um servidor sumidouro de DNS. Isso garante que, quando o cliente tenta enviar tráfego para o domínio desautorizado, o tráfego vai para o servidor sumidor (ver Figura 3).

  • Registre a solicitação e permita o acesso.

A partir da versão 21.1R1 do Junos OS, você também pode configurar as seguintes ações para uma solicitação de DNS para um domínio desautorizado:

  • Alerta
  • Aceitar
  • Gota
  • Drop-no-log

Para outros tipos de solicitação de DNS para um domínio desautorizado, a solicitação é registrada e o acesso é permitido.

As ações tomadas pelo servidor sumidouro não são controladas pelo recurso de filtragem de solicitação de DNS; você é responsável por configurar as ações do servidor sumidouro. Por exemplo, o servidor sumidouro poderia enviar uma mensagem ao solicitante ou de que o domínio não é acessível e impedir o acesso ao domínio desautorizado.

Figura 3: Solicitação de DNS para domínio DNS Request for Disallowed Domain não permitido

Benefícios

A filtragem de DNS redireciona as solicitações de DNS para domínios de sites não permitidos para servidores sumidos, ao mesmo tempo em que impede que qualquer pessoa que opere o sistema veja a lista de domínios não permitidos. Isso porque os nomes de domínio não permitidos estão em um formato criptografado.

Arquivo de banco de dados de filtro de domínio desautorizado

A filtragem de solicitação de DNS requer um banco de dados de filtro de domínio não permitido .txt arquivo, que identifica cada nome de domínio não permitido, a ação para realizar uma solicitação de DNS para o domínio não permitido, e o endereço IP ou nome de domínio totalmente qualificado (FQDN) de um servidor sumidor DNS.

Perfil do filtro de DNS

Você configura um perfil de filtro DNS para especificar qual arquivo de banco de dados de filtro de domínio não permitido usar. Você também pode especificar as interfaces em que a filtragem de solicitação de DNS é realizada, limitar a filtragem a solicitações de servidores DNS específicos e limitar a filtragem a solicitações de prefixos de endereço IP de origem específica.

Como configurar a filtragem de solicitações de DNS

Para filtrar as solicitações de DNS para domínios de site não permitidos, execute o seguinte:

Como configurar um banco de dados de filtro de domínio

Crie um ou mais arquivos de banco de dados de filtro de domínio que incluam uma entrada para cada domínio desautorizado. Cada entrada especifica o que fazer com uma solicitação de DNS para um domínio de site desautorizado.

Para configurar um arquivo de banco de dados de filtro de domínio:

  1. Crie o nome do arquivo. O nome do arquivo de banco de dados pode ter um comprimento máximo de 64 caracteres e deve ter uma extensão de .txt .
  2. Adicione um cabeçalho de arquivo com um formato como 20170314_01:domain,sinkhole_ip,v6_sinkhole,sinkhole_fqdn,id,action.
  3. Adicione uma entrada no arquivo para cada domínio desautorizado. Você pode incluir no máximo 10.000 entradas de domínio. Cada entrada no arquivo do banco de dados tem os seguintes itens:

    nome de domínio de hashed,endereço sumidouro IPv4, endereço sumidouro IPv6, sumidouro FQDN, ID, ação

    Onde:

    • hashed-domain-name é um valor hashed do nome de domínio desautorizado (64 caracteres hexadecimal). O método de hash e a chave de hash que você usa para produzir o valor de domínio hashed são necessários quando você configura a filtragem de DNS com o Junos OS CLI.

    • IPv4 sinkhole address é o endereço do servidor de sumidouro de DNS para solicitações de DNS IPv4.

    • IPv6 sinkhole address é o endereço do servidor de sumidouro de DNS para solicitações de DNS IPv6.

    • sinkhole FQDN é o nome de domínio totalmente qualificado do servidor sumidouro de DNS.

    • ID é um número de 32 bits que associa a entrada exclusivamente ao nome de domínio hashed.

    • action é a ação a ser aplicada a uma solicitação de DNS que corresponda ao nome de domínio não permitido. Se você entrar:

      • replace, o roteador da Série MX envia ao cliente uma resposta DNS com o endereço IP ou FQDN do servidor sumidouro de DNS. Se você digitar report, a solicitação de DNS é registrada e depois enviada ao servidor DNS.
      • report, a solicitação de DNS é registrada e depois enviada ao servidor DNS.
      • alert, a solicitação de DNS está registrada e a solicitação é enviada ao servidor DNS.
      • accept, a solicitação de DNS está registrada e a solicitação é enviada ao servidor DNS.
      • dropa solicitação de DNS foi retirada e a solicitação está registrada. A solicitação de DNS não é enviada ao servidor DNS.
      • drop-no-log, a solicitação de DNS é descartada e nenhum syslog é gerado. A solicitação de DNS não é enviada ao servidor DNS.
  4. Na última linha do arquivo, inclua o hash do arquivo, que você calcula usando a mesma chave e método de hash que você usou para produzir os nomes de domínio hashed.
  5. Guarde os arquivos de banco de dados no Mecanismo de Roteamento no diretório /var/db/filtrado por url .
  6. Valide o arquivo de banco de dados do filtro de domínio.
  7. Se você fizer alguma alteração no arquivo do banco de dados, aplique as alterações.

Como configurar um perfil de filtro de DNS

Um perfil de filtro DNS inclui configurações gerais para filtrar solicitações de DNS para domínios de sites não permitidos, e inclui até 32 modelos. As configurações do modelo aplicam-se a solicitações de DNS em interfaces lógicas de uplink e downlink específicas ou instâncias de roteamento, ou a solicitações de DNS de prefixos de endereço IP de origem específica, e substituem as configurações correspondentes no nível de perfil de DNS. Você pode configurar até oito perfis de filtro DNS.

Para configurar um perfil de filtro de DNS:

  1. Configure o nome para um perfil de filtro DNS:

    O número máximo de perfis é de 8.

  2. Configure o intervalo para registrar estatísticas de cada cliente para filtragem de DNS. O intervalo é de 0 a 60 minutos e o padrão é de 5 minutos.
  3. Configure configurações gerais de filtragem de DNS para o perfil. Esses valores são usados se uma solicitação de DNS não corresponder a um modelo específico.
    1. Especifique o nome do banco de dados do filtro de domínio para usar ao filtrar solicitações de DNS.
    2. (Opcional) Para limitar a filtragem de DNS às solicitações de DNS destinadas a servidores DNS específicos, especifique até três endereços IP (IPv4 ou IPv6).
    3. Especifique o formato da chave de hash.
    4. Especifique a chave de hash que você usou para criar o nome de domínio hashed no arquivo de banco de dados do filtro de domínio.
    5. Especifique o método de hash usado para criar o nome de domínio hashed no arquivo de banco de dados do filtro de domínio.

      O único método de hash suportado é hmac-sha2-256.

    6. Configure o intervalo para registrar estatísticas para solicitações de DNS e para ações de sumidouro realizadas para cada endereço IP do cliente. O intervalo é de 1 a 60 minutos e o padrão é de 5 minutos.
    7. Configure o tempo de vida enquanto envia a resposta de DNS após tomar a ação do sumidouro de DNS. O intervalo é de 0 a 86.400 segundos e o padrão é de 1800.
    8. Configure o nível de subdomains que são pesquisados para uma correspondência. O intervalo é de 0 a 10. Um valor de 0 indica que subdomínios não são pesquisados.

      Por exemplo, se você definir o wildcarding-level 4 e o arquivo de banco de dados incluir uma entrada para example.com, as seguintes comparações são feitas para uma solicitação de DNS que chega com o domínio 198.51.100.0.example.com:

      • 198.51.100.0.example.com: sem correspondência

      • 51.100.0.example.com: não há correspondência para um nível para baixo

      • 100.0.example.com: sem correspondência para dois níveis baixos

      • 0.example.com: sem correspondência para três níveis baixos

      • example.com: combinação para quatro níveis para baixo

  4. Configure um modelo. Você pode configurar um máximo de 8 modelos em um perfil. Cada modelo identifica configurações de filtro para solicitações de DNS em interfaces lógicas de uplink e downlink específicas ou instâncias de roteamento, ou para solicitações de DNS de prefixos de endereço IP de origem específica.
    1. Configure o nome do modelo.
    2. (Opcional) Especifique as interfaces lógicas voltadas para o cliente (uplink) às quais a filtragem de DNS é aplicada.
    3. (Opcional) Especifique as interfaces lógicas voltadas para o servidor (downlink) às quais a filtragem de DNS é aplicada.
    4. (Opcional) Especifique a instância de roteamento para a interface lógica voltada para o cliente à qual a filtragem de DNS é aplicada.
    5. (Opcional) Especifique a instância de roteamento para a interface lógica voltada para o servidor à qual a filtragem de DNS é aplicada.
      Nota:

      Se você configurar as interfaces de cliente e servidor ou as instâncias de roteamento de clientes e servidores, filtros implícitos serão instalados nas interfaces ou instâncias de roteamento para direcionar o tráfego de DNS para os serviços PIC para filtragem de DNS. Se você configurar nem as interfaces de cliente e servidor nem as instâncias de roteamento, você deve fornecer uma maneira de direcionar o tráfego de DNS para os serviços PIC (por exemplo, por rotas).
    6. Especifique o nome do banco de dados do filtro de domínio para usar ao filtrar solicitações de DNS.
    7. (Opcional) Para limitar a filtragem de DNS às solicitações de DNS destinadas a servidores DNS específicos, especifique até três endereços IP (IPv4 ou IPv6).
    8. Especifique o método de hash usado para criar o nome de domínio hashed no arquivo de banco de dados do filtro de domínio.

      O único método de hash suportado é hmac-sha2-256.

    9. Especifique a chave de hash usada para criar o nome de domínio hashed no arquivo de banco de dados do filtro de domínio.
    10. Configure o intervalo para registrar estatísticas para solicitações de DNS e para ações de sumidouro realizadas para cada endereço IP do cliente. O intervalo é de 1 a 60 minutos e o padrão é de 5 minutos.
    11. Configure o tempo de vida enquanto envia a resposta de DNS após tomar a ação do sumidouro de DNS. O intervalo é de 0 a 86.400 segundos e o padrão é de 1800.
    12. Configure o nível de subdomains que são pesquisados para uma correspondência. O intervalo é de 0 a 10. Um valor de 0 indica que subdomínios não são pesquisados.

      Por exemplo, se você definir o wildcarding-level 4 e o arquivo de banco de dados incluir uma entrada para example.com, as seguintes comparações são feitas para uma solicitação de DNS que chega com o domínio 198.51.100.0.example.com:

      • 198.51.100.0.example.com: sem correspondência

      • 51.100.0.example.com: sem correspondência para um nível para baixo

      • 100.0.example.com: sem correspondência para dois níveis baixos

      • 0.example.com: sem correspondência para três níveis baixos

      • example.com: combinação para quatro níveis para baixo

    13. (Opcional) Especifique o código de erro de resposta para tipos de consulta SRV e TXT.

      (Opcional) Especifique o código de erro de resposta para tipos de consulta SRV e TXT.

    14. Configure um termo para o modelo. Você pode configurar um máximo de 64 termos em um modelo.
    15. (Opcional) Especifique os prefixos de endereço IP de origem das solicitações de DNS que você deseja filtrar. Você pode configurar um máximo de 64 prefixos em um termo.
    16. Especifique que a ação de sumidouro identificada no banco de dados do filtro de domínio é realizada em solicitações de DNS não proibidas.

Como configurar um conjunto de serviços para filtragem de DNS

Associe o perfil do filtro de DNS com um conjunto de serviços de próximo salto e habilite o registro para filtragem de DNS. A interface de serviço pode ser uma interface ms- ou vms Serviços de próxima geração com placa de serviços MX-SPC3), ou pode ser uma interface agregada de multisserviços (AMS).

Suporte multilocatário para filtragem de DNS

Visão geral

A partir do Junos OS Release 21.1R1, você pode configurar feeds de domínio personalizados por cliente ou subgrupo IP. É possível:

  • Configure nomes e ações de domínio para vários locatários, de forma que os feeds de domínio possam ser gerenciados por locatário.
  • Configure o gerenciamento hierárquico de feed de domínio por perfil, por modelo de filtro dns ou por termo de filtro dns.
  • Feeds de domínio isentos no nível de IP, sub-rede ou CIDR.

Para implementar o suporte mutiltenant para filtragem de DNS, a criação do arquivo de banco de dados do filtro de domínio em modelo ou nível de perfil é desativado. Você não precisa especificar um arquivo no modelo ou nível de perfil. A partir do Junos OS 21.1R1, por padrão, está disponível um arquivo global com nome fixo, nsf_multi_tenant_dn_custom_file.txt (formato de texto simples) ou dnsf_multi_tenant_dn_custom_file_hashed.txt (arquivo criptografado).

Cada entrada no arquivo do banco de dados tem os seguintes itens:

nome de domínio de hashed, endereço sumidouro IPv4, endereço sumidouro IPv6, sumidouro FQDN, ID, ação, nome do feed.

O hash do arquivo é calculado e anexo à lista de entradas de nomes de domínio no arquivo. O hash do arquivo é calculado usando uma chave e método global ,que é validado com o hash de arquivo computado usando a chave de hash configurada na [edit services web-filter] hierarquia. A validação do arquivo só será bem sucedida se o hash de arquivo calculado corresponde ao hash do arquivo presente no arquivo.

Cada entrada em nsf_multi_tenant_dn_custom_file.txt arquivo consiste em um campo adicional chamado feed-name. Este nome de feed é usado como um indicador para agrupar um conjunto de nomes de domínio e mapeá-los para um locatário (perfil, modelo, termo ou endereço IP).

Quando os pacotes DNS são recebidos de um endereço IP SRC específico, o nome de feed correspondente é obtido e a busca acontece em relação aos nomes de domínio mapeados com o nome de feed associado ao termo. Se o nome do feed não for provisionado para esse endereço IP, ele volta para o nome do feed configurado no nível de modelo e a olhada acontece em relação aos nomes de domínio mapeados com o nome do feed associado ao modelo. Se o nome do feed não estiver configurado no modelo, então a busca é contra os nomes de domínio mapeados em relação ao nome do feed associado ao perfil.

Configuração do suporte a vários locatários para filtragem de DNS

  1. Configure o filtro web.
  2. Habilite o suporte a vários locatários
  3. Configure a chave de hash e o método de hash do arquivo global.
    Nota:

    Quando multi-tenant-hashestá configurado, ele indica que o arquivo de feed de dns global consiste apenas em feeds criptografados. Quando multi-tenant-hash não está configurado, ele indica que o arquivo de feed de dns global tem feeds em formato de texto simples.

  4. Configure o nome para um perfil de filtro DNS e mapeie o feed de domínio no nível do perfil. O indicador de nome do feed configurado no nível de perfil é aplicado a todos os modelos e termos sob o perfil que não têm o indicador de nome do feed configurado.
  5. Configure configurações gerais de filtragem de DNS para o perfil. Esses valores são usados se uma solicitação de DNS não corresponder a um modelo específico.
    1. (Opcional) Para limitar a filtragem de DNS às solicitações de DNS destinadas a servidores DNS específicos, especifique até três endereços IP (IPv4 ou IPv6).
    2. Configure o intervalo para registrar estatísticas para solicitações de DNS e para ações de sumidouro realizadas para cada endereço IP do cliente. O intervalo é de 1 a 60 minutos e o padrão é de 5 minutos.
    3. Configure o tempo de vida (TTL) para enviar a resposta de DNS após tomar a ação de sumidouro de DNS. O intervalo é de 0 a 86.400 segundos e o padrão é de 1800.
    4. Configure o nível de subdomains que são pesquisados para uma correspondência. O intervalo é de 0 a 10. Um valor de 0 indica que subdomínios não são pesquisados.
    5. (Opcional) Especifique o código de erro de resposta para o tipo de consulta TXT.
  6. Configure um modelo. Você pode configurar um máximo de 8 modelos em um perfil. Cada modelo identifica configurações de filtro para solicitações de DNS em interfaces lógicas de uplink e downlink específicas ou instâncias de roteamento, ou para solicitações de DNS de prefixos de endereço IP de origem específica.
    1. Configure o nome do modelo.
    2. Configure o nome do feed. Com formato multilocatário, você não pode mais adicionar um nome de arquivo em perfil ou modelo. O nome do feed especificado sob perfil tem menos precedência em comparação com o configurado sob o modelo.
    3. (Opcional) Especifique as interfaces lógicas voltadas para o cliente (uplink) às quais a filtragem de DNS é aplicada.
    4. (Opcional) Especifique as interfaces lógicas voltadas para o servidor (downlink) às quais a filtragem de DNS é aplicada.
    5. (Opcional) Especifique a instância de roteamento para a interface lógica voltada para o cliente à qual a filtragem de DNS é aplicada.
    6. (Opcional) Especifique a instância de roteamento para a interface lógica voltada para o servidor à qual a filtragem de DNS é aplicada.
      Nota:

      Se você configurar as interfaces de cliente e servidor ou as instâncias de roteamento de clientes e servidores, filtros implícitos serão instalados nas interfaces ou instâncias de roteamento para direcionar o tráfego de DNS para os serviços PIC para filtragem de DNS. Se você configurar nem as interfaces de cliente e servidor nem as instâncias de roteamento, você deve fornecer uma maneira de direcionar o tráfego de DNS para os serviços PIC (por exemplo, através de rotas).
    7. Configure o intervalo para registrar estatísticas para solicitações de DNS e para ações de sumidouro realizadas para cada endereço IP do cliente. O intervalo é de 1 a 60 minutos e o padrão é de 5 minutos.
    8. Configure o tempo de vida enquanto envia a resposta de DNS após tomar a ação do sumidouro de DNS. O intervalo é de 0 a 86.400 segundos e o padrão é de 1800.
    9. Configure o nível de subdomains que são pesquisados para uma correspondência. O intervalo é de 0 a 10. Um valor de 0 indica que subdomínios não são pesquisados.
    10. Configure um termo para o modelo. Você pode configurar um máximo de 64 termos em um modelo.
    11. Configure o nome do feed. O nome do feed configurado no termo tem maior precedência em relação ao configurado sob o modelo. No entanto, se o domínio do sumidouro estiver igualando o único domínio mencionado no nome do feed em template, a ação especificada para essa entrada será implementada.
    12. (Opcional) Especifique os prefixos de endereço IP de origem das solicitações de DNS que você deseja filtrar. Você pode configurar um máximo de 64 prefixos em um termo.
    13. Configure que a ação de sumidouro identificada no banco de dados do filtro de domínio seja realizada em solicitações de DNS não proibidas.
  7. Associe o perfil do filtro de DNS com um conjunto de serviços de próximo salto e habilite o registro para filtragem de DNS. A interface de serviço pode ser uma interface multisserviços (ms) ou multisserviços virtuais (vms) (Serviços de próxima geração com placa de serviços MX-SPC3), ou pode ser uma interface agregada de multisserviços (AMS).
  8. Se você estiver executando serviços de próxima geração na placa de serviços MX-SPC3, configure a interface vms para obter as informações de FPC e PIC no syslog.

Exemplo: configuração de suporte multilocatário para filtragem de DNS

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].

Integração do Juniper ATP Cloud e filtragem de Web em roteadores da Série MX

Visão geral

O Juniper Advanced Threat Prevention (Juniper ATP Cloud) é integrado com roteadores da série MX para proteger todos os hosts em sua rede contra ameaças de segurança em evolução, empregando um software de detecção de ameaças baseado em nuvem com um sistema de firewall de próxima geração.

Este tópico oferece uma visão geral do Juniper ATP Cloud, Policy Enforcer, Security Intelligence, filtragem web e seus benefícios quando integrados aos roteadores da Série MX (MX240, MX480 e MX960).

Benefícios

  • Simplifica a implantação e aprimora os recursos anti-ameaças quando integrados com os roteadores MX.

  • Oferece proteção contra ameaças de "dia zero" usando uma combinação de ferramentas para fornecer cobertura robusta contra ameaças sofisticadas e evasivas.

  • Verifica o tráfego de entrada e saída com aprimoramentos de políticas que permitem aos usuários parar malwares, colocar em quarentena sistemas infectados, evitar a exfiltração de dados e interromper o movimento lateral.

  • Oferece alta disponibilidade para fornecer serviço ininterrupto.

  • Oferece escalabilidade para lidar com cargas crescentes que exigem mais recursos de computação, maior largura de banda da rede para receber mais submissões de clientes e um grande armazenamento para malware.

  • Fornece inspeção profunda, relatórios acionáveis e bloqueio de malware em linha.

Entendendo o Policy Enforcer e o Juniper ATP Cloud

O Juniper Networks Security Director é composto por um recurso chamado Policy Enforcer (PE) que permite que ele aprenda com as condições de ameaças, automatize a criação de políticas e implemente dinamicamente a aplicação aos dispositivos da Juniper na rede.

A Figura 4 ilustra o fluxo de tráfego entre o PE, o ATP Cloud da Juniper e o roteador MX, que funciona como um firewall.

  • O Policy Enforcer (PE) aprende com as condições de ameaças, automatiza a criação de políticas e implanta a aplicação em dispositivos Juniper na rede.

  • O Juniper Advanced Threat Prevention (Juniper ATP Cloud) protege todos os hosts da sua rede, empregando um software de detecção de ameaças baseado em nuvem com um sistema de firewall de próxima geração.

  • O roteador MX busca os feeds de inteligência de ameaças do Policy Enforcer (PE) e implementa essas políticas para quarentena de hosts comprometidos. Ela compreende os seguintes componentes importantes:

    • Processo de inteligência de segurança

    • Processo de filtragem de Web

    • Processo de firewall

Figura 4: Arquitetura System Architecture de sistema

Para entender a funcionalidade da arquitetura do sistema, considere o seguinte exemplo — se um usuário baixar um arquivo da Internet e esse arquivo passar por um firewall MX, o arquivo pode ser enviado à nuvem Juniper ATP Cloud para inspeção de malware (dependendo das configurações da sua configuração). Se o arquivo for determinado como malware, PE identificará o endereço IP e o endereço MAC do host que baixaram o arquivo. Com base em uma política definida pelo usuário, esse host pode ser colocado em uma VLAN de quarentena ou impedido de acessar a Internet.

Os roteadores da Série MX (MX240, MX480 e MX960) podem ser integrados ao Juniper ATP Cloud para evitar que hosts comprometidos (botnets) se comuniquem com servidores de comando e controle:

  • A partir do Junos OS Release 18.4R1 com os serviços adaptativos como um recurso de segurança em linha

  • A partir do Junos OS Release 19.3R2 com os Serviços de próxima geração como um recurso de segurança em linha

Inteligência de segurança (SecIntel) — Visão geral

O processo de inteligência de segurança (IPFD), é responsável por baixar os feeds de inteligência de segurança e analisar do conector de feed ou servidor de feed de nuvem ATP Cloud. O processo de IPFD nas plataformas MX busca os feeds IPv4/IPv6 de comando e controle do Policy Enforcer. Os feeds C&C são essencialmente uma lista de servidores que são servidores de comando e controle conhecidos para botnets. A lista também inclui servidores que são fontes conhecidas para downloads de malwares. Assim, as informações coletadas são salvas em um arquivo (urlf_si_cc_db.txt) criado sob o diretório /var/db/filtrado por url .

O formato de arquivo dos IPs desautorizados enviados pelo IPFD para o processo de filtragem da web é o seguinte:

IPv4 address | IPv6 address, threat-level.

Este threat-level é um inteiro que varia de 1 a 10 para indicar o nível de ameaça de arquivos digitalizados para malware e para hosts infectados. Aqui, 1 representa o menor nível de ameaça e 10 representa o mais alto nível de ameaça.

Por exemplo: 178.10.19.20, 4

Aqui, 178.10.19.20 indica o IP não permitido e 4 indica o threat-level.

O banco de dados de feed C&C é sincronizado no mecanismo de roteamento de backup. O IPFD então compartilha as informações para o processo de filtragem da web (filtrado por url). O processo de filtragem da web lê o conteúdo do arquivo e configura os filtros de acordo.

Configuração da inteligência de segurança para baixar o feed CC do Policy Enforcer

Para baixar os feeds de comando e controle IPv4/IPv6 do Juniper ATP Cloud/Policy Enforcer, inclua a security-intelligence declaração na [edit services] hierarquia conforme mostrado no seguinte exemplo:

Filtragem de Web (filtrada por URL) — Visão geral

O processo de filtragem da web lê o conteúdo do arquivo obtido do IPFD e configura os filtros no Mecanismo de encaminhamento de pacotes de acordo. O processo de filtragem de web aplica os feeds de comando e controle programando os filtros no Mecanismo de encaminhamento de pacotes para bloquear os pacotes destinados aos endereços IP bloqueados e gerar logs para relatar o incidente.

A Figura 5 ilustra a forma como o feed da C&C é obtido pelo IPFD e depois processado pelo processo de filtragem da web.

Figura 5: Filtragem de Web Filtering Web

O perfil do filtro web pode ter mais de um modelo. Cada modelo consiste em um conjunto de interfaces lógicas configuradas para filtragem de Web e um ou mais termos. Um termo é um conjunto de critérios de correspondência com ações a serem tomadas se os critérios de correspondência forem atendidos. Para configurar o perfil do filtro web para usar o feed C&C buscado dinamicamente, você pode configurar o security-intelligence-policy comando sob o nível de [edit services web-filter profile profile-name hierarquia. Você não precisa configurar um termo para perfis security-intelligence-policy de filtro de web baseados.

Você pode configurar as seguintes ações de nível de ameaça para o perfil do filtro web no nível de edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action hierarquia:

  • drop

  • drop-and-log

  • log

Você pode configurar apenas um threat-action para cada threat level. threat-action Se não estiver configurado para um determinado threat level, o padrão threat-action será accept.

Veja também

Configuração do perfil do filtro da Web para amostragem

A partir do Junos OS Release 19.3R1, o processo de filtragem de web (filtrado por url) oferece suporte a amostragem em linha de pacotes como uma ação de nível de ameaça. Os pacotes são descartados, logados e amostrados com base na ação de ameaças que você configura. Para cenários dimensionados, a amostragem de pacotes é preferida em vez da opção de registro. Junto com as ações de nível de ameaça existentes, você pode configurar as seguintes ações de nível de ameaça no perfil do filtro da Web no nível de edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action hierarquia:

  • drop-and-sample

  • drop-log-and-sample

  • log-and-sample

  • sample

O monitoramento de fluxo em linha amostra os pacotes e envia os registros de fluxo no formato IPFIX para um coletor de fluxo. Você pode obter o nível de ameaça para os pacotes amostrados recebidos no coletor externo, combinando o IP recebido dos pacotes amostrados com a entrada IP correspondente em /var/db/url-filterd/urlf_si_cc_db.txt. Você pode configurar a amostragem usando qualquer um dos seguintes métodos:

  • Associe uma instância de amostragem com o FPC em que a interface de mídia está presente no nível de [edit chassis] hierarquia. Se você estiver configurando uma amostra de fluxos IPv4, fluxos IPv6 ou fluxos VPLS, você pode configurar o tamanho da tabela de hash de fluxo para cada família.

  • Configure as propriedades do modelo para o monitoramento de fluxo em linha no nível de [edit services flow-monitoring hierarquia.

  • Configure uma instância de amostragem e associe o endereço IP do servidor de fluxo, o número da porta, a taxa de exportação de fluxo e especifique os coletores no [edit forwarding-options nível de hierarquia.

Associar uma instância de amostragem ao FPC

Para associar a instância definida a um determinado FPC, MPC ou DPC, você inclui a sampling-instance declaração no [edit chassis fpc number] nível hierárquico, conforme mostrado no exemplo a seguir:

Configure uma instância de amostragem e associe o modelo à instância de amostragem.

Para configurar as propriedades do modelo para o monitoramento de fluxo em linha, inclua as seguintes declarações no nível de edit services flow-monitoring hierarquia, conforme mostrado no exemplo a seguir:

Configure a instância de amostra e associe o endereço IP do servidor de fluxo e outros parâmetros.

Para configurar uma instância de amostragem e associar o endereço IP do servidor de fluxo e outros parâmetros. incluem as seguintes declarações na [edit forwarding-options] hierarquia, conforme mostrado no exemplo a seguir:

Exemplo: configuração do perfil do filtro da Web para definir diferentes níveis de ameaças

Veja também

Filtragem de GeoIP

Visão geral

Os feeds GeoIP são essencialmente uma lista de endereços IP para mapeamentos de código de país. A partir do Junos OS 21.4R1, você pode configurar locais geo baseados em IP em roteadores da Série MX para obter os feeds GeoIP do Policy Enforcer. Ao implantar os feeds GeoIP, você pode habilitar a rede para evitar que os dispositivos se comuniquem com endereços IP pertencentes a países específicos.

Você pode configurar o processo de inteligência de segurança (IPFD) em roteadores da série MX para obter os feeds GeoIP do Policy Enforcer. Semelhante aos feeds de IP C&C ou IPv6 existentes, o IPFD baixa os feeds GeoIP do Policy Enforcer. O IPFD traduz o feed no formato de arquivo que é processado pelo processo de filtragem da web (filtrado por url) posteriormente.

A partir do Junos OS 22.1R1, você pode configurar o processo de inteligência de segurança (IPFD) em roteadores da série MX para obter os feeds GeoIP da Juniper ATP Cloud. Semelhante aos feeds de C&C IP ou IPv6 existentes, o IPFD baixa os feeds GeoIP do Juniper ATP Cloud.

Como configurar a filtragem de GeoIP em roteadores da Série MX

As informações coletadas pelo IPFD são salvas em um arquivo (urlf_si_geoip_db.txt) criado no local /var/db/filtrado por url .

O formato do arquivo enviado pelo IPFD para o processo de filtragem web é o seguinte:

IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num. Gen-num é sempre 0. VRF-name refere-se a um código de país.

Por exemplo, 178,10,19,22,12.255,EUA,0

O IPFD e o processo de filtragem web mantêm uma conexão de pconn para comunicar a criação ou atualização de arquivos que contêm feeds GeoIP. O processo de filtragem de Web aplica os feeds geoIP programando os filtros no PFE para bloquear os pacotes destinados aos países bloqueados. As APIs fornecidas pelo liburlf são usadas para validar e analisar os arquivos.

O processo de filtragem web lê o arquivo que contém a lista de endereços IP e os filtros PFE são programados com os endereços IP de destino listados no feed e a ação configurada para o país associado.

  • Países com filtros globais estão configurados sob a regra global em um perfil. Todos os endereços IP para países específicos dessa regra global são programados em um único filtro e aplicados a todos os modelos do perfil. Você pode configurar um perfil para obter dinamicamente o feed GeoIP configurando geo-ip rule match country country-name na [edit services web-filter profile profile-name security-intelligence-policy] hierarquia.

  • Filtro de grupo- Grupos de países estão configurados sob um modelo. Todos os endereços IP associados aos países para um Grupo são programados em um filtro de grupo aplicado aos modelos nos quais esse grupo está configurado. Grupo é uma lista de países definidos em um arquivo json que é analisado por liburlf.

    Para configurar um filtro de grupo, você deve configurar um arquivo json no local /var/db/filtrado por url , onde o arquivo group.json contém os mapeamentos de grupo.

    O formato do arquivo json é o seguinte:

    [

    {

    "group_name" : "group1",

    "country" : ["ZA","YE"]

    },

    {

    "group_name" : "group2",

    "country" : ["YT"]

    }

    ]

    Para obter feeds GeoIP dinamicamente, você pode configurar um filtro global usando um único perfil ou configurar vários filtros de grupo usando templates. Não apoiamos as duas configurações juntas.

    Os grupos criados no arquivo json são referidos na cláusula de correspondência geoIP definida na [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name] hierarquia.

Lista de permitidores globais e blocos globais

Você pode optar por personalizar o feed de IP adicionando sua própria lista de permitidos e blocos. Isso pode ser útil para gerenciar feeds de inteligência personalizados para seu centro de operações de segurança ou como uma medida temporária para falsos positivos. A partir da versão 21.4R1 do Junos OS, você pode permitir ou bloquear determinados endereços IP com base na configuração por meio de uma CLI ou um arquivo. Você pode configurar uma lista separada para permitirlist e uma lista separada para blocklist ou incluir os endereços IP em um arquivo e incluir o nome do arquivo na configuração CLI.

Você pode criar uma IP-address-list hierarquia [edit services web-filter] . Aqui, IP-address-list contém a lista de endereços IP que devem ser permitidos ou bloqueados. Você também pode criar um arquivo que contenha os endereços IP que precisam ser permitidos ou bloqueados no local /var/db/filtrado por url . Os endereços IP configurados como parte da lista de endereços IP ou arquivo são programados como parte do filtro global, que é anexado a todos os modelos.

Você pode definir uma lista de permitidores global configurando white-list (IP-address-list | file-name) na edit services web-filter profile profile-name security-intelligence-policy hierarquia. Você pode definir uma lista de bloqueio global configurando a black-list (IP-address-list | file-name) edit services web-filter profile profile-name security-intelligence-policy hierarquia. Aqui, a IP-address-list, refere-se ao nome da lista de endereços IP especificada na [edit services web-filter] hierarquia. Refere-se file-name ao nome do arquivo que contém a lista dos endereços IP que devem ser permitidos ou bloqueados. O arquivo deve estar no local /var/db/filtrado por url e deve ter o mesmo nome que na configuração.

O formato do arquivo de lista de permitir global é o seguinte:

Security Intelligence Policy Enforcement Version 2.0

O formato do arquivo de blocklist global é o seguinte:

Security Intelligence Policy Enforcement Version 2.0

O processo de filtragem da Web analisa a lista de endereços e programas IP de lista de bloqueio globais ou de lista global que os termos do filtro implícitos com os endereços IP configurados permitem ou bloqueiam os pacotes.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Lançamento
Descrição
19.3R2
A partir do Junos OS Release 19.3R2, essa mesma funcionalidade é suportada para serviços de próxima geração no MX240, MX480 e MX960.
19.3R2
A partir do Junos OS Release 19.3R2, essa mesma funcionalidade está disponível para Serices de próxima geração no MX240, MX480 e MX960.
19.3R2
A partir do Junos OS Release 19.3R2, você pode configurar a filtragem de DNS se estiver executando serviços de próxima geração com a placa de serviços MX-SPC3. Os serviços de próxima geração têm suporte para roteadores MX240, MX480 e MX960.
19.3R2
A partir do Junos OS Release 19.3R2 com os Serviços de próxima geração como um recurso de segurança em linha
19.3R1
A partir do Junos OS Release 19.3R1, o processo de filtragem de web (filtrado por url) oferece suporte a amostragem em linha de pacotes como uma ação de nível de ameaça
18.4R1
A partir do Junos OS Release 18.4R1 com os serviços adaptativos como um recurso de segurança em linha
18.3R1
A partir do Junos OS Release 18.3R1 para serviços adaptativos. configurar o perfil no nível de [edit services web-filter] hierarquia. Antes da versão 18.3R1 do Junos OS, configure o perfil no nível hierárquicos [edit services url-filter] .
17.2R2
A partir do Junos OS Release 17.2R2 e 17.4R1 para Serviços adaptativos, você pode desabilitar a filtragem do tráfego HTTP que contém um endereço IP incorporado (por exemplo, http:/10.1.1.1) pertencente a um nome de domínio não permitido no banco de dados do filtro de URL.