Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Bereitstellung von vom Kunden verwalteten Geräten (vor Ort)

Anmerkung:

"Konfiguration von Juniper Secure Edge-Bereitstellungen" und "Hinzufügen von Verzeichnisdiensten" sind für Kunden, die sowohl On-Premises- als auch Secure Edge-Bereitstellungen nutzen, obligatorisch.

JIMS Server

Der JIMS-Server ist standardmäßig für die localhost-Verbindung konfiguriert. Nach der Konfiguration können Sie nur noch den JIMS Server-Port und die maximale Datenrate für den Server bearbeiten.

Es kann auch ein neuer JIMS-Server konfiguriert werden. Gehen Sie folgendermaßen vor, um einen neuen JIMS Server hinzuzufügen:

  1. Klicken Sie auf Hinzufügen, um einen neuen JIMS Server hinzuzufügen.
  2. Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Servers ein.
  3. Geben Sie eine Beschreibung an.
  4. Geben Sie den Benutzernamen und das Kennwort zur Authentifizierung ein.
  5. Wählen Sie den JIMS-Servertyp aus dem Dropdown-Menü aus.
  6. Deaktivieren Sie TLS nur, wenn Sie eine Fehlerbehebung durchführen.
  7. Die Identität, der JIMS-Server-Port und die maximale Datenrate werden automatisch von JIMS konfiguriert. Sie können entweder zu einem von Ihrer Organisation signierten Zertifikat wechseln oder das von JIMS bereitgestellte Standardzertifikat verwenden.

Verzeichnisdienste

Sie müssen mindestens einen Verzeichnisserver konfigurieren, damit JIMS Collector Benutzer, Geräte und Gruppenmitgliedschaften erfassen kann. Derzeit wird nur Active Directory unterstützt.

Wenn Sie beabsichtigen, mehrere Verzeichnisserver mit denselben Anmeldeinformationen zu verwenden, können Sie eine Vorlage erstellen, um die Eingabe für jeden Verzeichnisserver zu reduzieren.

So fügen Sie einen neuen Verzeichnisserver hinzu:

  1. Klicken Sie auf Hinzufügen, um einen neuen Verzeichnisserver hinzuzufügen.
  2. Verwenden Sie optional eine bereits erstellte Vorlage, um die Anmeldeinformationen vorzukonfigurieren.
  3. Die Quelle ist standardmäßig ausgewählt.
  4. Geben Sie eine Beschreibung an.
  5. Geben Sie den Server-Hostnamen oder die IP-Adresse des Servers ein.
  6. Geben Sie die Anmelde-ID) und das Passwort zur Authentifizierung ein.
  7. Wählen Sie TLS-Verbindung aus, wenn Sie die Kommunikation zwischen JIMS und dem Verzeichnisserver verschlüsseln möchten.

Identitäts-Produzenten

Sie können Identitätsproduzenten so konfigurieren, dass Benutzer- und Gerätestatusereignisse erfasst werden. JIMS verwendet diese Informationen, um Zuordnungen zwischen IP-Adressen und Benutzernamen bereitzustellen. JIMS stellt auch Gerätenamen mit Domänennamen für die Durchsetzungspunkte bereit (Firewalls der SRX-Serie).

Die Identitätsproduzenten haben 3 Registerkarten/Optionen. Wählen Sie die entsprechende Option für Ihre Bereitstellung basierend auf den Informationen im Abschnitt Identitäts-Produzenten aus.

Ereignisquelle hinzufügen

So fügen Sie eine neue Ereignisquelle hinzu:

  1. Klicken Sie auf Hinzufügen, um eine neue Ereignisquelle hinzuzufügen.
  2. Verwenden Sie eine vorhandene Vorlage, um die Anmeldeinformationen vorzukonfigurieren.
  3. Wählen Sie den Quellentyp aus dem Dropdown-Menü aus:

    • Domänencontroller

    • Exchange Server

    • Windows-Ereigniserfassung (WEC)

  4. Wenn Sie Windows Event Collector (WEC) auswählen, geben Sie den Kanalpfad ein, aus dem Protokolle gesammelt werden sollen.
  5. Geben Sie optional eine Beschreibung an.
  6. Geben Sie den Server-Hostnamen oder die IP-Adresse des Servers ein.
  7. Geben Sie die Anmelde-ID und das Passwort ein. Verwenden Sie das dedizierte Dienstkonto, das mit eingeschränkten Berechtigungen erstellt wurde.
  8. Geben Sie Startup Event History Catchup Time ein, um sicherzustellen, dass JIMS historische Ereignisprotokolle sammelt, bevor das System mit der aktiven Überwachung beginnt.

PC-Probe hinzufügen

So fügen Sie eine neue PC-Sonde hinzu:

  1. Klicken Sie auf Hinzufügen, um einen neuen PC Probes hinzuzufügen.
  2. Geben Sie die Anmelde-ID und das Passwort ein. Dies ist das neu erstellte Dienstkonto mit eingeschränkten Berechtigungen.
  3. Geben Sie optional eine Beschreibung an.
  4. Nachdem Sie die Details angegeben haben, können Sie die Reihenfolge der Benutzernamen in der Reihenfolge verschieben, in der sie ausgeführt werden sollen.

Syslog-Quelle hinzufügen

So fügen Sie eine neue Syslog-Quelle hinzu:

  1. Klicken Sie auf Hinzufügen, um eine neue Syslog-Quelle hinzuzufügen.
  2. Wählen Sie optional eine bereits vorhandene Basiskonfiguration aus, um vordefinierte Einstellungen zu übernehmen.
  3. Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Syslog-Clients (Server, der die Protokolle sendet) ein.
  4. Geben Sie optional eine Beschreibung an.
  5. Klicken Sie auf Hinzufügen, um die passenden regulären Ausdrücke zu definieren.
  6. Navigieren Sie zum Abschnitt Sequenzen regulärer Ausdrücke. Auf der rechten Seite sehen Sie die Schaltflächen "Hinzufügen", "Bearbeiten" und "Löschen".
  7. Klicken Sie auf Hinzufügen, um eine neue Sequenz regulärer Ausdrücke zu definieren. Ein Popup-Fenster mit dem Titel Generator für reguläre Ausdrücke hinzufügen wird angezeigt.
  8. Geben Sie im Pop-up-Fenster die folgenden Details ein:
    1. Beschreibung: Eine kurze Erklärung des Ablaufs.
    2. ID: Automatisch generiert, standardmäßig beginnend mit 1.
    3. Typ: Wählen Sie den Sequenztyp aus dem Dropdown-Menü aus:

      • Sitzung starten

      • Sitzung beenden

    4. Reguläre Attributkategorien: Geben Sie die anwendbaren Attributkategorien an, die für das Muster relevant sind.
    5. Trigger Match Expression: Definieren Sie das Regex-Muster, das einen Match auslösen soll.
    6. Return Count(optional): Legen Sie fest, wie oft dieser Ausdruck eine Übereinstimmung zurückgeben soll.
    7. Startzeit (in Minuten)(optional): Geben Sie das Zeitfenster an, in dem mit der Auswertung von Übereinstimmungen begonnen werden soll.
    8. Mit Quell-IP übereinstimmen: Aktivieren oder deaktivieren Sie das Kontrollkästchen, je nachdem, ob Sie die Quell-IP in Ihrem Ausdruck abgleichen möchten.
  9. Nachdem Sie die Felder ausgefüllt haben, klicken Sie auf Hinzufügen, um die Sequenz zu speichern.
  10. Klicken Sie auf OK, um die Tabelle Sequenzen regulärer Ausdrücke mit Ihren neu definierten(n) Sequenz(en) zu füllen. Nach der Konfiguration werden die Sequenzen regulärer Ausdrücke der ausgewählten Syslog-Quelle zugeordnet und für den entsprechenden Abgleich eingehender Protokollmeldungen verwendet.

Filter

Der JIMS-Server ermöglicht es Ihnen, zu filtern nach:

  • IP-Filter: Hiermit können Sie Datenverkehr aus den angegebenen IP-Bereichen in Berichten ein- oder ausschließen . Die Filter "IP-Adressen einschließen" schließen nur diese IP-Bereiche ein, während Aktualisierungen an SRX gesendet werden, ebenso schließen die Filter "IP-Adressen ausschließen" die IP-Bereiche von der Aktualisierung auf SRX aus. Erfordert eine Eingabe für den Start des IP-Bereichs und das Ende des IP-Bereichs.

  • Benutzer-/Gerätefilter: Entwickelt, um bestimmte Benutzer oder Geräte aus Berichten auszuschließen . Sie können Benutzernamen oder Gerätekennungen angeben, um unerwünschte Daten herauszufiltern. Hilft bei der Verfeinerung der Sichtbarkeit von Ereignissen, indem irrelevante oder bekannte Quellen weggelassen werden.

  • Gruppenfilter – Fungiert als Einschlussfilter, die auf alle Firewalls der SRX-Serie in Ihrem Netzwerk angewendet werden. Für ein besseres Matching kann neben der Gruppenangabe auch eine Domain hinzugefügt werden.

  • DN-Filter: Wird verwendet, um Einträge basierend auf Distinguished Names (DN) auszuschließen. Ideal zum Herausfiltern bestimmter Organisationseinheiten oder Nutzerpfade aus Verzeichnissen.

    Anmerkung: Unterstützt die Verwendung regulärer Ausdrücke für einen genaueren und flexibleren Abgleich von Benutzer-/Gerätefiltern, Gruppenfiltern und DN-Filtern.

Einstellungen

Das Menü Einstellungen besteht aus zwei Registerkarten:

Protokollierung

Geben Sie im Abschnitt Protokollierung die folgenden Details ein:

  1. Geben Sie das Präfix Dateiname ein.
  2. Klicken Sie auf Auswählen, um das gewünschte Verzeichnis auszuwählen.
  3. Geben Sie die Dateigröße ein.
    Anmerkung:

    Der zulässige Dateigrößenbereich liegt zwischen 1 und 2000 MB.
  4. Geben Sie die Lebensdauer der Datei ein.
    Anmerkung:

    Die zulässige Dateilebensdauer beträgt 1 bis 30 Tage.

Allgemein

Geben Sie im Abschnitt Allgemein die folgenden Details ein:

  1. Geben Sie unter Konfiguration der Verwaltungsschnittstelle den TLS-Port (https) ein.
  2. Geben Sie unter Konfiguration der Benutzersitzung die Abmeldezeit ein.
    Anmerkung:

    Der akzeptable Zeitrahmen für die Abmeldung sollte zwischen 1 und 1440 Minuten liegen.
  3. Geben Sie im Abschnitt "Globale Konfiguration" (für die ein JIMS-Neustart erforderlich ist) die anfängliche Zeitspanne des Syslogs (Minuten) ein. Wählen Sie die entsprechenden Optionen aus: UPN übergeben, Zusammengesetzte Benutzernamen zulassen und anderen Domänen vertrauen, basierend auf Ihren Anforderungen.

Durchsetzungspunkte

Hinzufügen von Durchsetzungspunkten in der JIMS-Benutzeroberfläche

Sie müssen die Erzwingungspunkte (SRX/NFX-Geräte) konfigurieren, da andernfalls keine Benutzer-, Geräte- und Gruppeninformationen abgerufen werden können, um identitätsorientierte Richtlinien durchzusetzen (Benutzer-Firewall).

Wenn Sie über viele Erzwingungspunkte mit derselben Client-ID und demselben geheimen Clientschlüssel verfügen, können Sie eine Vorlage erstellen, um die Eingabe für jeden von ihnen zu reduzieren.

So fügen Sie einen neuen Erzwingungspunkt hinzu:

  1. Klicken Sie auf Hinzufügen.
  2. Verwenden Sie optional eine bereits erstellte Vorlage, um die Anmeldeinformationen vorzukonfigurieren.
  3. Geben Sie die SRX-IP-Adresse ein.
  4. Wenn Sie mehrere Erzwingungspunkte in einem Subnetz haben, können Sie ein passendes Subnetz eingeben, das alle umfasst.
  5. Geben Sie optional eine Beschreibung an.
  6. Aktivieren Sie die IPv6-Berichterstellung als IPv6, wie sie in Ihrer Organisation verwendet wird. Dadurch werden doppelte Datensätze in der Authentifizierungstabelle am Erzwingungspunkt hinzugefügt.
  7. Geben Sie die Client-ID und den geheimen Clientschlüssel ein, die für dieses Gerät verwendet werden.
  8. Die Token-Lebensdauer wird erzwungen. Diese Lebensdauer kann verändert/angepasst werden.

Konfigurieren von JIMS in Junos

Konfiguration von JIMS mit Firewall der SRX-Serie

Führen Sie die folgenden Schritte aus, um JIMS mit der Firewall der SRX-Serie zu konfigurieren:

  1. Konfigurieren Sie den FQDN/die IP-Adresse des primären/sekundären JIMS-Servers.

  2. Konfigurieren Sie die Client-ID und den geheimen Clientschlüssel, die das Gerät der SRX-Serie dem primären/sekundären JIMS Server im Rahmen seiner Authentifizierung bereitstellt.

  3. Konfigurieren Sie optional die Quell-IP oder Routing-Instanz, die zum Erreichen von JIMS-Servern verwendet werden soll.

    Anmerkung:

    Sie können den Erzwingungspunkt auch so konfigurieren, dass das Zertifikat des JIMS-Servers validiert wird. Informationen dazu finden Sie im Abschnitt "Erweitert".

  4. Konfigurieren Sie die maximale Anzahl von Benutzeridentitätselementen, die das Gerät als Antwort auf die Abfrage in einem Batch akzeptiert.

  5. Konfigurieren Sie das Intervall in Sekunden, nach dem das Gerät eine Abfrageanforderung für neu generierte Benutzeridentitäten ausgibt.

  6. Konfigurieren Sie Active Directory-Domänen, die für die Firewall der SRX-Serie von Interesse sind. Sie können bis zu zwanzig Domänennamen für den Filter angeben.

  7. Konfigurieren Sie den Namen des Adressbuchs so, dass er den IP-Filter enthält.

  8. Verwenden Sie die folgenden Befehle, um den Adresssatz, den Namen der Ablaufverfolgungsoptionsdatei, die Größe der Ablaufverfolgungsdatei, die Ebene der Debugging-Ausgabe und die Ablaufverfolgungsidentitätsverwaltung für alle Module zu konfigurieren:

Konfiguration der Authentifizierungsquelle für die Geräteidentität (Endbenutzerprofil)

Geben Sie die Authentifizierungsquelle für die Geräteidentität und die Sicherheitsrichtlinie an. Das Gerät ruft die Geräteidentitätsinformationen für authentifizierte Geräte von der Authentifizierungsquelle ab. Das Gerät durchsucht die Authentifizierungstabelle für die Geräteidentität nach einer Geräteübereinstimmung, wenn Datenverkehr, der vom Gerät eines Benutzers ausgeht, auf dem Gerät eingeht. Wenn eine Übereinstimmung gefunden wird, sucht das Gerät nach einer übereinstimmenden Sicherheitsrichtlinie. Wenn eine übereinstimmende Sicherheitsrichtlinie gefunden wird, wird die Aktion der Sicherheitsrichtlinie auf den Datenverkehr angewendet.

Führen Sie die folgenden Schritte aus, um die Authentifizierungsquelle für die Geräteidentität zu konfigurieren:

  1. Geben Sie die Authentifizierungsquelle für die Geräteidentität an.

  2. Konfigurieren Sie das Geräteidentitätsprofil und den Domänennamen, zu dem das Gerät gehört.

  3. Konfigurieren Sie die Geräteidentitätszeichenfolge des Profilnamenattributs.

Konfiguration der Firewall-Richtlinie, die mit der Quellidentität übereinstimmt.

Führen Sie die folgenden Schritte aus, um eine oder mehrere Firewall-Richtlinien zu konfigurieren, die den Zugriff basierend auf der Identität steuern.

  1. Erstellen Sie eine Quell- oder Zieladresse für eine Sicherheitsrichtlinie, und konfigurieren Sie die Anwendung/den Dienst so, dass sie der Richtlinie entspricht.

  2. Definieren Sie einen Benutzernamen oder einen Rollennamen (Gruppennamen), den das JIMS an das Gerät sendet. Beispiel: "jims-dom1.local\user1".

  3. Lassen Sie das Paket zu, wenn die Richtlinie übereinstimmt.

  4. Verwenden Sie die folgenden Befehle, um die Sitzungsinitiierungszeit und die Sitzungsschließungszeit zu konfigurieren:

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: