Integração do Juniper ATP Cloud e filtragem de Web em roteadores da Série MX
Visão geral
O Juniper Advanced Threat Prevention (Juniper ATP Cloud) é integrado com roteadores da série MX para proteger todos os hosts em sua rede contra ameaças de segurança em evolução, empregando um software de detecção de ameaças baseado em nuvem com um sistema de firewall de próxima geração.
Este tópico oferece uma visão geral do Juniper ATP Cloud, Policy Enforcer, Security Intelligence, filtragem web e seus benefícios quando integrados aos roteadores da Série MX.
Para obter mais informações sobre a plataforma e as informações de versão, veja Feature Explorer .
- Benefícios
- Entendendo o Policy Enforcer e o Juniper ATP Cloud
- Inteligência de segurança (SecIntel) — Visão geral
- Filtragem de Web (filtrada por URL) — Visão geral
Benefícios
-
Simplifica a implantação e aprimora os recursos anti-ameaças quando integrados com os roteadores MX.
-
Oferece proteção contra ameaças de "dia zero" usando uma combinação de ferramentas para fornecer cobertura robusta contra ameaças sofisticadas e evasivas.
-
Verifica o tráfego de entrada e saída com aprimoramentos de políticas que permitem aos usuários parar malwares, colocar em quarentena sistemas infectados, evitar a exfiltração de dados e interromper o movimento lateral.
-
Oferece alta disponibilidade para fornecer serviço ininterrupto.
-
Oferece escalabilidade para lidar com cargas crescentes que exigem mais recursos de computação, maior largura de banda da rede para receber mais submissões de clientes e um grande armazenamento para malware.
-
Fornece inspeção profunda, relatórios acionáveis e bloqueio de malware em linha.
-
Oferece capacidade de fornecer informações de locação usando informações VRF em logs
Entendendo o Policy Enforcer e o Juniper ATP Cloud
O Juniper Networks Security Director é composto por um recurso chamado Policy Enforcer (PE) que permite que ele aprenda com as condições de ameaças, automatize a criação de políticas e implemente dinamicamente a aplicação aos dispositivos da Juniper na rede.
A Figura 1 ilustra o fluxo de tráfego entre o PE, o Juniper ATP Cloud e o roteador MX, que funciona como um firewall.
-
O Policy Enforcer (PE) aprende com as condições de ameaças, automatiza a criação de políticas e implanta a aplicação em dispositivos Juniper na rede.
-
O Juniper Advanced Threat Prevention (Juniper ATP Cloud) protege todos os hosts da sua rede, empregando um software de detecção de ameaças baseado em nuvem com um sistema de firewall de próxima geração.
-
O roteador MX busca os feeds de inteligência de ameaças do Policy Enforcer (PE) e implementa essas políticas para quarentena de hosts comprometidos. Ela compreende os seguintes componentes importantes:
-
Processo de inteligência de segurança
-
Processo de filtragem de Web
-
Processo de firewall
-

Para entender a funcionalidade da arquitetura do sistema, considere o seguinte exemplo — se um usuário baixar um arquivo da Internet e esse arquivo passar por um firewall MX, o arquivo pode ser enviado à nuvem Juniper ATP Cloud para inspeção de malware (dependendo das configurações da sua configuração). Se o arquivo for determinado como malware, PE identificará o endereço IP e o endereço MAC do host que baixaram o arquivo. Com base em uma política definida pelo usuário, esse host pode ser colocado em uma VLAN de quarentena ou impedido de acessar a Internet.
Os roteadores da Série MX podem ser integrados ao Juniper ATP Cloud para evitar que hosts comprometidos (botnets) se comuniquem com servidores de comando e controle:
-
A partir do Junos OS Release 18.4R1 com os serviços adaptativos como um recurso de segurança em linha
-
A partir do Junos OS Release 19.3R2 com os Serviços de próxima geração como um recurso de segurança em linha
Inteligência de segurança (SecIntel) — Visão geral
O processo de inteligência de segurança (IPFD), é responsável por baixar os feeds de inteligência de segurança e analisar do conector de feed ou servidor de feed de nuvem ATP Cloud. O processo de IPFD nas plataformas MX busca os feeds IPv4/IPv6 de comando e controle do Policy Enforcer. Os feeds C&C são essencialmente uma lista de servidores que são servidores de comando e controle conhecidos para botnets. A lista também inclui servidores que são fontes conhecidas para downloads de malwares. Assim, as informações coletadas são salvas em um arquivo (urlf_si_cc_db.txt) criado sob o diretório /var/db/filtrado por url .
O formato de arquivo dos IPs desautorizados enviados pelo IPFD para o processo de filtragem da web é o seguinte:
IPv4 address | IPv6 address, threat-level
.
Este threat-level
é um inteiro que varia de 1 a 10 para indicar o nível de ameaça de arquivos digitalizados para malware e para hosts infectados. Aqui, 1 representa o menor nível de ameaça e 10 representa o mais alto nível de ameaça.
Por exemplo: 178.10.19.20, 4
Aqui, 178.10.19.20 indica o IP não permitido e 4 indica o threat-level
.
O banco de dados de feed C&C é sincronizado no mecanismo de roteamento de backup. O IPFD então compartilha as informações para o processo de filtragem da web (filtrado por url). O processo de filtragem da web lê o conteúdo do arquivo e configura os filtros de acordo.
Configuração da inteligência de segurança para baixar o feed CC do Policy Enforcer
Para baixar os feeds de comando e controle IPv4/IPv6 do Juniper ATP Cloud/Policy Enforcer, inclua a security-intelligence
declaração na [edit services]
hierarquia conforme mostrado no seguinte exemplo:
security-intelligence { authentication { auth-token 7QGSBL5ZRKR5UHUZ2X2R6QLHB656D5EN; } url https://10.92.83.245:443/api/v1/manifest.xml; traceoptions { file security-inteligence.log size 1g; level all; flag all; } }
Filtragem de Web (filtrada por URL) — Visão geral
O processo de filtragem da web lê o conteúdo do arquivo obtido do IPFD e configura os filtros no Mecanismo de encaminhamento de pacotes de acordo. O processo de filtragem de web aplica os feeds de comando e controle programando os filtros no Mecanismo de encaminhamento de pacotes para bloquear os pacotes destinados aos endereços IP bloqueados e gerar logs para relatar o incidente.
A Figura 2 ilustra a forma como o feed da C&C é obtido pelo IPFD e depois processado pelo processo de filtragem da web.

O perfil do filtro web pode ter mais de um modelo. Cada modelo consiste em um conjunto de interfaces lógicas configuradas para filtragem de Web e um ou mais termos. Um termo é um conjunto de critérios de correspondência com ações a serem tomadas se os critérios de correspondência forem atendidos. Para configurar o perfil do filtro web para usar o feed C&C buscado dinamicamente, você pode configurar o security-intelligence-policy
comando sob o nível de [edit services web-filter profile profile-name
hierarquia. Você não precisa configurar um termo para perfis security-intelligence-policy
de filtro de web baseados.
Você pode configurar as seguintes ações de nível de ameaça para o perfil do filtro web no nível de edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action
hierarquia:
-
drop
-
drop-and-log
-
log
Você pode configurar apenas um threat-action
para cada threat level
. threat-action
Se não estiver configurado para um determinado threat level
, o padrão threat-action
será accept
.
A partir do Junos OS Release 24.4R1, para ameaças configuradas com log
ação, o nível de ameaça e o locatário ou as informações VRF estão incorporados nos syslogs de saída. Os mapas de políticas de classe de serviço são aprimorados com uma nova user-attribute integer
palavra-chave para armazenar e indicam o nível de ameaça.
Você pode configurar a user-attribute integer
[editi class-of-service policy-map policy-name]
hierarquia.
O mapa de políticas é referenciado em cada configuração de nível de ameaça para mapear o novo atributo do usuário<> no termo do filtro dfw que impulsiona a ação configurada para cada nível de ameaça. O mapa de políticas é usado na [edit services web-filter profile profile-name security-intelligence-policy threat level integer policy-map policy-name]
hierarquia ou [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy threat level integer policy-map policy-name]
hierarquia para mapear o nível de ameaça a um atributo do usuário.
Por exemplo
[edit] user@host set class-of-service policy-map threat1 user-attribute 1 user@host set class-of-service policy-map threat2 user-attribute 2 user@host set class-of-service policy-map threat3 user-attribute 3 ... ... user@host set class-of-service policy-map threat10 user-attribute 10 user@host set class-of-service policy-map white-list user-attribute 11 user@host set class-of-service policy-map black-list user-attribute 12 ...
[edit] user@host set services web-filter profile ATP-P1 security-intelligence-policy threat-level 1 threat-action log user@host set services web-filter profile ATP-P1 security-intelligence-policy threat-level 1 policy-map threat1
Veja também
Configuração do perfil do filtro da Web para amostragem
A partir do Junos OS Release 19.3R1, o processo de filtragem de web (filtrado por url) oferece suporte a amostragem em linha de pacotes como uma ação de nível de ameaça. Os pacotes são descartados, logados e amostrados com base na ação de ameaças que você configura. Para cenários dimensionados, a amostragem de pacotes é preferida em vez da opção de registro. Junto com as ações de nível de ameaça existentes, você pode configurar as seguintes ações de nível de ameaça no perfil do filtro da Web no nível de edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action
hierarquia:
drop-and-sample
drop-log-and-sample
log-and-sample
sample
O monitoramento de fluxo em linha amostra os pacotes e envia os registros de fluxo no formato IPFIX para um coletor de fluxo. Você pode obter o nível de ameaça para os pacotes amostrados recebidos no coletor externo, combinando o IP recebido dos pacotes amostrados com a entrada IP correspondente em /var/db/url-filterd/urlf_si_cc_db.txt. Você pode configurar a amostragem usando qualquer um dos seguintes métodos:
Associe uma instância de amostragem com o FPC em que a interface de mídia está presente no nível de
[edit chassis]
hierarquia. Se você estiver configurando uma amostra de fluxos IPv4, fluxos IPv6 ou fluxos VPLS, você pode configurar o tamanho da tabela de hash de fluxo para cada família.Configure as propriedades do modelo para o monitoramento de fluxo em linha no nível de
[edit services flow-monitoring
hierarquia.Configure uma instância de amostragem e associe o endereço IP do servidor de fluxo, o número da porta, a taxa de exportação de fluxo e especifique os coletores no
[edit forwarding-options
nível de hierarquia.
- Associar uma instância de amostragem ao FPC
- Configure uma instância de amostragem e associe o modelo à instância de amostragem.
- Configure a instância de amostra e associe o endereço IP do servidor de fluxo e outros parâmetros.
- Exemplo: configuração do perfil do filtro da Web para definir diferentes níveis de ameaças
Associar uma instância de amostragem ao FPC
Para associar a instância definida a um determinado FPC, MPC ou DPC, você inclui a sampling-instance
declaração no [edit chassis fpc number]
nível hierárquico, conforme mostrado no exemplo a seguir:
chassis { redundancy { graceful-switchover; } fpc 0 { pic0 { inline-services { bandwidth 10g; } } } pic 2 { inline-services { bandwidth 10g; } } pic 3 { inline-services { bandwidth 10g; } } sampling-instance 1to1; inline-services{ flow-table-size { ipv4-flow-table-size 5; ipv6flow-table-size 5; } } }
Configure uma instância de amostragem e associe o modelo à instância de amostragem.
Para configurar as propriedades do modelo para o monitoramento de fluxo em linha, inclua as seguintes declarações no nível de edit services flow-monitoring
hierarquia, conforme mostrado no exemplo a seguir:
services { flow-monitoring { version-ipfix { template ipv4 { flow-active-timeout 60; flow-inactive-timeout 60; template-refresh-rate { packets 48000; seconds 60; } option-refresh-rate { packets 48000; seconds 60; } ipv4-template; template ipv6 { flow-active-timeout 60; flow-inactive-timeout 60; template-refresh-rate { packets 48000; seconds 60; } ipv6-template; } } }
Configure a instância de amostra e associe o endereço IP do servidor de fluxo e outros parâmetros.
Para configurar uma instância de amostragem e associar o endereço IP do servidor de fluxo e outros parâmetros. incluem as seguintes declarações na [edit forwarding-options]
hierarquia, conforme mostrado no exemplo a seguir:
forwarding-options { sampling { traceoptions { file ipfix.log size 10k; } instance { 1to1 { input { rate 1; } family inet { output { flow-server 192.168.9.194; port 2055;; autonomous-system-type origin; version-ipfix { template { ipv4; } } } inline-jflow { source-address 192.168.9.195; } } } family inet6 { output { flow-server 192.168.9.194; port 2000; autonomous-system-type origin; version-ipfix { template { ipv6; } } } inline-jflow { source-address 192.168.9.195; } } } } }
Exemplo: configuração do perfil do filtro da Web para definir diferentes níveis de ameaças
web-filter { profile Profile1 ; security-intelligence-policy{ file-type txt; threat-level 7 { threat-action { log-and-sample; } } threat-level 8 { threat-action { drop-log-and-sample; } } threat-level 10 { threat-action { drop-log-and-sample; } } threat-level 5{ threat-action { drop-log-and-sample; } } threat-level 6 { threat-action { drop-log-and-sample; } } threat-level 9{ threat-action { drop-log-and-sample; } } } url-filter-template template1 { client-interfaces ge-0/0/4.0; client-routing-instance inet.0; } } traceoptions { file webfilter_log size 1g; level all; flag all; } } }
Veja também
Filtragem de GeoIP
Visão geral
Os feeds GeoIP são essencialmente uma lista de endereços IP para mapeamentos de código de país. A partir do Junos OS 21.4R1, você pode configurar locais geo baseados em IP em roteadores da Série MX para obter os feeds GeoIP do Policy Enforcer. Ao implantar os feeds GeoIP, você pode habilitar a rede para evitar que os dispositivos se comuniquem com endereços IP pertencentes a países específicos.
Você pode configurar o processo de inteligência de segurança (IPFD) em roteadores da série MX para obter os feeds GeoIP do Policy Enforcer. Semelhante aos feeds de IP C&C ou IPv6 existentes, o IPFD baixa os feeds GeoIP do Policy Enforcer. O IPFD traduz o feed no formato de arquivo que é processado pelo processo de filtragem da web (filtrado por url) posteriormente.
A partir do Junos OS 22.1R1, você pode configurar o processo de inteligência de segurança (IPFD) em roteadores da série MX para obter os feeds GeoIP da Juniper ATP Cloud. Semelhante aos feeds de C&C IP ou IPv6 existentes, o IPFD baixa os feeds GeoIP do Juniper ATP Cloud.
Como configurar a filtragem de GeoIP em roteadores da Série MX
As informações coletadas pelo IPFD são salvas em um arquivo (urlf_si_geoip_db.txt) criado no local /var/db/filtrado por url .
O formato do arquivo enviado pelo IPFD para o processo de filtragem web é o seguinte:
IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num
. Gen-num é sempre 0. VRF-name refere-se a um código de país.
Por exemplo, 178,10,19,22,12.255,EUA,0
O IPFD e o processo de filtragem web mantêm uma conexão de pconn para comunicar a criação ou atualização de arquivos que contêm feeds GeoIP. O processo de filtragem de Web aplica os feeds geoIP programando os filtros no PFE para bloquear os pacotes destinados aos países bloqueados. As APIs fornecidas pelo liburlf são usadas para validar e analisar os arquivos.
O processo de filtragem web lê o arquivo que contém a lista de endereços IP e os filtros PFE são programados com os endereços IP de destino listados no feed e a ação configurada para o país associado.
-
Países com filtros globais estão configurados sob a regra global em um perfil. Todos os endereços IP para países específicos dessa regra global são programados em um único filtro e aplicados a todos os modelos do perfil. Você pode configurar um perfil para obter dinamicamente o feed GeoIP configurando
geo-ip rule match country country-name
na[edit services web-filter profile profile-name security-intelligence-policy]
hierarquia. Filtro de grupo- Grupos de países estão configurados sob um modelo. Todos os endereços IP associados aos países para um Grupo são programados em um filtro de grupo aplicado aos modelos nos quais esse grupo está configurado. Grupo é uma lista de países definidos em um arquivo json que é analisado por liburlf.
Para configurar um filtro de grupo, você deve configurar um arquivo json no local /var/db/filtrado por url , onde o arquivo group.json contém os mapeamentos de grupo.
O formato do arquivo json é o seguinte:
[
{
"group_name" : "group1",
"country" : ["ZA","YE"]
},
{
"group_name" : "group2",
"country" : ["YT"]
}
]
Para obter feeds GeoIP dinamicamente, você pode configurar um filtro global usando um único perfil ou configurar vários filtros de grupo usando templates. Não apoiamos as duas configurações juntas.
Os grupos criados no arquivo json são referidos na cláusula de correspondência geoIP definida na
[edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name]
hierarquia.
Lista de permitidores globais e blocos globais
Você pode optar por personalizar o feed de IP adicionando sua própria lista de permitidos e blocos. Isso pode ser útil para gerenciar feeds de inteligência personalizados para seu centro de operações de segurança ou como uma medida temporária para falsos positivos. A partir da versão 21.4R1 do Junos OS, você pode permitir ou bloquear determinados endereços IP com base na configuração por meio de uma CLI ou um arquivo. Você pode configurar uma lista separada para permitirlist e uma lista separada para blocklist ou incluir os endereços IP em um arquivo e incluir o nome do arquivo na configuração CLI.
Você pode criar uma IP-address-list
hierarquia [edit services web-filter]
. Aqui, IP-address-list
contém a lista de endereços IP que devem ser permitidos ou bloqueados. Você também pode criar um arquivo que contenha os endereços IP que precisam ser permitidos ou bloqueados no local /var/db/filtrado por url . Os endereços IP configurados como parte da lista de endereços IP ou arquivo são programados como parte do filtro global, que é anexado a todos os modelos.
Você pode definir uma lista de permitidores global configurando white-list (IP-address-list | file-name)
na edit services web-filter profile profile-name security-intelligence-policy
hierarquia. Você pode definir uma lista de bloqueio global configurando a black-list (IP-address-list | file-name)
edit services web-filter profile profile-name security-intelligence-policy
hierarquia. Aqui, a IP-address-list, refere-se ao nome da lista de endereços IP especificada na [edit services web-filter]
hierarquia. Refere-se file-name ao nome do arquivo que contém a lista dos endereços IP que devem ser permitidos ou bloqueados. O arquivo deve estar no local /var/db/filtrado por url e deve ter o mesmo nome que na configuração.
O formato do arquivo de lista de permitir global é o seguinte:
Security Intelligence Policy Enforcement Version 2.0
IP Address,Prefix,Threat-level,VRF-Name,Gen-Num 198.51.100.1,32,0,junos-default-vrf,0
O formato do arquivo de blocklist global é o seguinte:
Security Intelligence Policy Enforcement Version 2.0
IP Address,Prefix,Threat-level,VRF-Name,Gen-Num 192.168.1.1,255,junos-default-vrf,0
O processo de filtragem da Web analisa a lista de endereços e programas IP de lista de bloqueio globais ou de lista global que os termos do filtro implícitos com os endereços IP configurados permitem ou bloqueiam os pacotes.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.