Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinien durchsetzen und Endgerätesicherheit mit Junos OS Enforcer konfigurieren

In einer Unified Access Control (UAC)-Umgebung kann das Gerät der SRX-Serie, nachdem ein Gerät der SRX-Serie Junos OS Enforcer wurde, Datenverkehr basierend auf einer bestimmten Sicherheitsrichtlinie Junos OS verweigern. Der Infranet-Agent wird auf den Endpunkten ausgeführt, um Datenverkehr zu sichern, indem er UAC Host Checker überprüft. Basierend auf den Host Checker Compliance-Ergebnissen ermöglicht Junos OS Enforcer den Zugriff auf das Endgerät oder verweigern diesen.

Grundlegendes Junos OS Durchsetzung von Richtliniendurchsetzung

Sobald sich das Gerät der SRX-Serie erfolgreich als Junos OS Enforcer etabliert hat, sichert es den Datenverkehr wie folgt:

  1. Der Junos OS Enforcer verwendet zunächst die entsprechende Junos OS Sicherheitsrichtlinie zur Verarbeitung des Datenverkehrs. Eine Sicherheitsrichtlinie verwendet Kriterien wie die Quell-IP-Adresse des Datenverkehrs oder die Tageszeit des Datenverkehrs, um zu bestimmen, ob der Datenverkehr zugelassen werden sollte oder nicht.

  2. Sobald er bestimmt, dass der Datenverkehr anhand der Sicherheitsrichtlinie Junos OS wird, ordnet der Junos OS Enforcer den Datenverkehrsfluss einem Authentifizierungstabelleneintrag zu. Der Junos OS Enforcer verwendet die Quell-IP-Adresse des ersten Pakets im Datenfluss zur Erstellung der Zuordnung.

    Ein Authentifizierungstabelleneintrag enthält die IP-Quelladresse und Benutzerrolle eines Benutzers, der bereits eine UAC-Sitzung erfolgreich eingerichtet hat. Eine Benutzerrolle identifiziert eine Gruppe von Benutzern anhand von Kriterien wie Typ (z. B. "Engineering" oder "Marketing") oder status (z. B. "Antivirus Running"). Der Junos OS Enforcer bestimmt, ob der Datenverkehr basierend auf den in der entsprechenden Authentifizierungstabelleneingabe gespeicherten Authentifizierungsergebnissen erlaubt oder nicht.

    Die UAC-Appliance der IC-Serie über pusht die Einträge der Authentifizierungstabelle an den Junos OS Enforcer, wenn die Geräte sich zuerst miteinander und bei Bedarf während der Sitzung verbinden. Beispielsweise kann die Appliance der IC-Serie aktualisierte Einträge der Authentifizierungstabelle an den Junos OS Enforcer übertragen, wenn der Computer des Benutzers gegen die Sicherheitsrichtlinien der Endgeräte nicht konform wird, wenn Sie die Konfiguration einer Benutzerrolle ändern oder wenn Sie alle Benutzerkonten auf der Appliance der IC-Serie deaktivieren, wenn ein Sicherheitsproblem wie ein Virus im Netzwerk vor sich geht.

    Wenn der Junos OS Enforcer aufgrund eines fehlenden Authentifizierungstabelleneintrags ein Paket verfällt, sendet das Gerät eine Nachricht an die Appliance der IC-Serie, die wiederum einen neuen Authentifizierungstabelleneintrag bereitstellen und an den Junos OS Enforcer sendet. Dieser Prozess wird als dynamische Authentifizierungstabellenbereitstellung bezeichnet.

  3. Sobald er bestimmt, dass der Datenverkehr anhand der Einträge der Authentifizierungstabelle übergehen darf, ordnet der Junos OS Enforcer den Datenstrom einer Ressource zu. Der Junos OS Enforcer verwendet die im Datenfluss angegebene Ziel-IP-Adresse zur Erstellung der Zuordnung. Dann verwendet das Gerät diese Ressource sowie die im Eintrag der Authentifizierungstabelle angegebene Benutzerrolle, um den Datenstrom einer Ressourcenzugriffsrichtlinie zuordnen zu können.

    Eine Richtlinie für den Ressourcenzugriff gibt eine bestimmte Ressource an, für die der Zugriff basierend auf einer Benutzerrolle kontrolliert werden soll. Beispielsweise können Sie eine Zugriffsrichtlinie für Ressourcen erstellen, die nur Benutzern, die Mitglieder der Technik und Antivirus sind Ausgeführte Benutzerrollen Zugriff auf den Engineering-Only-Server ermöglichen. Sie können auch eine Zugriffsrichtlinie für Ressourcen erstellen, die Mitgliedern der "No Antivirus Running User Role" Zugriff auf den Problembehinterungsserver gestattet, auf dem Antivirussoftware zum Download zur Verfügung steht.

    Die Appliance der IC-Serie über pusht die Richtlinien für den Ressourcenzugriff an den Junos OS Enforcer, wenn die Geräte sich zum ersten Mal miteinander verbinden und wenn Sie die Konfigurationen Ihrer Ressourcenzugriffsrichtlinien auf der Appliance der IC-Serie ändern.

    Wenn der Junos OS Enforcer aufgrund einer "Verweigern"-Richtlinie das Paket fallen lässt, sendet der Junos OS Enforcer eine Nachricht an die Appliance der IC-Serie, die wiederum (falls vorhanden) eine Nachricht an die Odyssey Access Client des Endpunkts sendet. (Die Appliance der IC-Serie sendet keine "Verweigern"-Nachrichten an den agentenlosen Client.)

  4. Sobald er bestimmt, dass der Datenverkehr anhand der Ressourcenzugriffsrichtlinien weitergeben darf, verarbeitet der Junos OS Enforcer den Datenverkehr über die verbleibenden in der Junos OS definierten Anwendungsdienste. Der Junos OS Enforcer führt die verbleibenden Dienste in folgender Reihenfolge aus: Intrusion Detection and Prevention (IDP), URL-Filterung und Anwendungsebene-Gateways (ALGs).

Konfigurieren der Junos OS Enforcer-Failover-Optionen (CLI-Prozedur)

Bevor Sie beginnen:

  1. Aktivieren Sie UAC über die Junos OS Sicherheitsrichtlinien.

  2. Konfigurieren Sie das Gerät der SRX-Serie als Junos OS Enforcer. Definieren Sie während der Konfiguration einen Cluster von Appliances der IC-Serie, mit dem der Junos OS Enforcer verbindungiert werden soll. Siehe Aktivieren von UAC in einer Junos OS-Umgebung (CLI-Prozedur).

Zur Konfiguration der UAC-Appliance-Failover-Verarbeitung der IC-Serie muss der Junos OS Enforcer so konfiguriert werden, dass eine Verbindung zu einem Cluster von Appliances der IC-Serie hergestellt wird. Der Junos OS Enforcer kommuniziert mit einer dieser Appliances der IC-Serie nach und verwendet die anderen Appliances für die Failover-Verarbeitung.

So konfigurieren Sie die Failover-Verarbeitung:

  1. Geben Sie an, wie oft (in Sekunden) der Junos OS Enforcer ein Heartbeat-Signal von der Appliance der IC-Serie erwarten soll, das eine aktive Verbindung angibt:

  2. Geben Sie das Intervall (in Sekunden) an, in dem der Junos OS Enforcer die aktuelle Time-out-Verbindung berücksichtigen sollte:

    Hinweis:

    Alle Änderungen im UAC-Kontaktintervall und den Timeout-Werten von Unified Access Control auf Geräten der SRX-Serie sind erst nach der nächsten Verbindung des Geräts der SRX-Serie mit der Appliance der IC-Serie wirksam.

  3. Geben Sie an, wie der Junos OS Enforcer alle aktuellen und nachfolgenden Datenverkehrssitzungen verarbeiten soll, wenn die Verbindung zu einem Appliance-Cluster der IC-Serie mal zu viel wird:

Testing Junos OS Enforcer Richtlinienzugriffsentscheidungen mit nur Testmodus (CLI verfahren)

Bevor Sie beginnen:

  1. Aktivieren Sie UAC über die Junos OS Sicherheitsrichtlinien. Siehe Aktivieren von UAC in einer Junos OS(CLI-Prozedur)

  2. Konfigurieren Sie die Geräte der SRX-Serie als Junos OS Enforcer. Informationen finden Sie unter Konfigurieren der Kommunikation zwischen dem Junos OS Enforcer und der UAC-Appliance der IC-Serie (CLI Verfahren).

  3. Wenn Sie eine Verbindung zu einem Cluster aus UAC-Appliances der IC-Serie herstellen, aktivieren Sie Failover-Optionen. Siehe Konfigurieren der Junos OS Enforcer Failover-Optionen (CLI-Prozedur).

Bei der Konfiguration im Testmodus ermöglicht das Gerät der SRX-Serie die Aktivierung des ganzen UAC-Datenverkehrs unabhängig von den UAC-Richtlinieneinstellungen. Das Gerät protokolliert die Zugriffsentscheidungen der UAC-Richtlinie, ohne diese durchsetzen zu müssen. So können Sie die Implementierung testen, ohne den Datenverkehr zu beeinflussen.

Geben Sie die folgende Konfigurationserklärung ein, um den Testmodus zu aktivieren oder zu deaktivieren:

Überprüfung der Junos OS Enforcer-Richtliniendurchsetzung

Anzeige der Authentifizierungstabellen-Einträge der UAC-Appliance der IC-Serie aus dem Junos OS Enforcer

Zweck

Zeigen Sie eine Zusammenfassung der von der UAC-Appliance der IC-Serie konfigurierten Authentifizierungstabelleneinträge an.

Aktion

Geben Sie den CLI show services unified-access-control authentication-table ein.

Anzeige der Ressourcenzugriffsrichtlinien für die UAC-Appliance der IC-Serie aus dem Junos OS Enforcer

Zweck

Zeigen Sie eine Zusammenfassung der von der UAC-Appliance der IC-Serie konfigurierten Richtlinien für den UAC-Ressourcenzugriff an.

Aktion

Geben Sie den CLI show services unified-access-control policies ein.

Verstehen der Endpunktsicherheit Mit dem Infranet Agent mit dem Junos OS Enforcer

Ein Infranet-Agent hilft Ihnen bei der Sicherung des Datenverkehrs in Ihrem Netzwerk von den Endpunkten, die die Kommunikation folgendermaßen initiieren:

  1. Der Infranet-Agent, der direkt auf dem Endgerät ausgeführt wird, überprüft, ob das Endgerät mit den UAC-Richtlinien (Unified Access Control) Host Checker ist. Sie können eine Vielzahl von Kriterien innerhalb einer UAC-Richtlinie Host Checker festlegen, um die Compliance zu bestimmen. Beispielsweise können Sie die Host Checker konfigurieren, um zu bestätigen, dass auf dem Endgerät Antivirussoftware oder eine Firewall ausgeführt wird oder dass auf dem Endgerät keine bestimmten Arten von Malware oder Prozessen ausgeführt werden.

  2. Der Infranet-Agent überträgt die Compliance-Informationen an den Junos OS Enforcer.

  3. Der Junos OS Enforcer ermöglicht oder verweigern basierend auf den Compliance-Ergebnissen des Netzwerks den Zugriff des Host Checker auf die Ressourcen in Ihrem Netzwerk.

Da der Infranet-Agent direkt auf dem Endgerät ausgeführt wird, können Sie den Infranet-Agent verwenden, um das Endgerät jederzeit auf Sicherheitskonformität zu prüfen. Wenn beispielsweise ein Benutzer versucht, sich bei der UAC-Appliance der IC-Serie zu anmelden, kann der Infranet agent sofort die Compliance-Ergebnisse senden. Der Benutzer wird nicht einmal die Anmeldeseite sehen, bis der Infranet Agent die positiven Compliance-Ergebnisse an die Appliance der IC-Serie zurückgibt. Sie können den Infranet-Agenten auch so konfigurieren, dass er die Einhaltung nach der Benutzerprüfung oder regelmäßig während der Benutzersitzung überprüft.

Wenn die Endpunkte, auf denen der Infranet Agent ausgeführt wird, über einen geeigneten Zugriff verfügen, senden sie automatisch ihre Compliance-Ergebnisse an die Appliance der IC-Serie. Die Appliance der IC-Serie aktualisiert die Einträge der Authentifizierungstabelle entsprechend und über pusht sie an den Junos OS Enforcer. Der Junos OS Enforcer unterstützt Verbindungen mit den Odyssey Access Client- und "agentenlosen" Infranet-Agenten.

Konfigurieren der Endpunktsicherheit mithilfe des Infranet Agent mit dem Junos OS Enforcer

Für die Integration des Infranet-Agenten in eine Junos OS-UAC-Bereitstellung ist keine besondere Konfiguration des Junos OS Enforcer erforderlich. Sie müssen einfach Sicherheitsrichtlinien erstellen, die den Zugriff auf die entsprechenden Endpunkte wie bei jeder anderen Junos OS-UAC-Bereitstellung ermöglichen.