Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Technische Übersicht

In diesem Abschnitt wird gezeigt, wie die Bausteine von Juniper Connected Security zusammenarbeiten, um eine umfassende Sicherheitslösung für Ihr Unternehmen bereitzustellen.

Komponenten der Juniper Connected Security-Lösung

Abbildung 1 zeigt einen allgemeinen Workflow, wie Policy Enforcer, Security Director, Juniper Networks® Advanced Threat Prevention Cloud (ATP Cloud) und Junos-Geräte interagieren, um eine sichere Netzwerkbereitstellung mit Juniper Connected Security zu gewährleisten.

Abbildung 1: Komponenten Juniper Connected Security Solution Components der Juniper Connected Security-Lösung

Switches der EX-Serie bieten Switching-Services in Zweigstellen-, Campus- und Datencenter-Netzwerken. Die Switches der QFX-Serie sind leistungsstarke Edge-Geräte mit niedriger Latenz, die für Datencenter-Umgebungen optimiert sind.

Bei der Juniper Connected Security-Lösung sind Clients/Endgeräte mit Switches der EX-Serie und der QFX-Serie mit Endgeräteschutz-Software verbunden. Diese Switches bieten Zugriffssicherheit und -steuerung.

Services Gateways der SRX-Serie bieten Sicherheitsdurchsetzung und Tiefenprüfung auf allen Netzwerkebenen und Anwendungen.

Im Kontext der Juniper Connected Security-Lösung werden Geräte der SRX-Serie als Perimeter-Firewalls eingesetzt, die mit der Juniper ATP Cloud für Anti-Malware-Services verbunden sind.

Juniper ATP Cloud identifiziert unterschiedliche Risikostufen und bietet ein höheres Maß an Genauigkeit beim Bedrohungsschutz. Es lässt sich in Gateways der SRX-Serie integrieren, um eine gründliche Inspektion, Inline-Malware-Blockierung und umsetzbare Berichte zu ermöglichen.

Policy Enforcer nutzt die von der Juniper ATP-Cloud erfassten und gemeldeten Informationen, um Bedrohungen zu erkennen und schnell auf neue Bedrohungsbedingungen zu reagieren. Mit diesen Informationen kann der Policy Enforcer Richtlinien automatisch aktualisieren und neue Durchsetzungsmaßnahmen für Firewalls und Switches bereitstellen, infizierte Hosts unter Quarantäne stellen und verfolgen, um das Fortschreiten von Bedrohungen zu stoppen.

Policy Enforcer identifiziert einen infizierten Host anhand seiner IP- und MAC-Adresse und ermöglicht so die Verfolgung und fortgesetzte Blockierung des Hosts, selbst wenn er sich zu einem anderen Switch oder Access Point im Netzwerk bewegt.

Durch die Zusammenarbeit dieser Komponenten werden Bedrohungen schneller erkannt, da Bedrohungsdaten aus mehreren Quellen (einschließlich Feeds von Drittanbietern) genutzt werden. Die Netzwerksicherheit kann sich dynamisch an Echtzeit-Bedrohungsinformationen anpassen, sodass Sicherheitsrichtlinien konsistent durchgesetzt werden.

Überblick über den Workflow von Juniper Connected Security

Die folgenden Beispiele bieten einen allgemeinen Workflow, der zeigt, wie die Komponenten von Juniper Connected Security zusammenarbeiten, um infizierte Endgeräte zu erkennen und zu blockieren, die infizierten Endgeräte zu verfolgen und sie automatisch unter Quarantäne zu stellen oder den Zugriff auf das Internet zu blockieren.

Erkennung und Verfolgung infizierter Hosts

Werfen wir einen Blick auf ein typisches Unternehmen mit Clients, Endgeräten, Zugriffs-Switches und Wireless Access Points. Wenn ein Client durch den Kontakt mit einem Endgerät außerhalb des Unternehmensnetzwerks kompromittiert wird, wird er zu einer Bedrohung für andere Hosts im Netzwerk. Sie müssen in der Lage sein, den infizierten Host zu kontrollieren, um sicherzustellen, dass sich das Problem nicht ausbreitet.

Abbildung 2 zeigt einen Nachverfolgungs-Workflow für infizierte Hosts.

Abbildung 2: Juniper Connected Security-Workflow – Erkennen eines infizierten Endpunkts Juniper Connected Security Workflow - Detecting an Infected Endpoint

Dieses Szenario umfasst die folgenden Schritte:

  1. Ein Benutzer (192.168.10.1) in Campus C stellt eine Verbindung zu einer Website im Internet her und lädt eine Datei herunter.

  2. Die Datei wird an der Perimeter-Firewall (Gerät der SRX-Serie) gescannt.

  3. Basierend auf benutzerdefinierten Richtlinien sendet die Firewall die Datei zur Analyse an einen Anti-Malware-Service (Juniper ATP Cloud).

  4. Juniper ATP Cloud erkennt, dass die Datei Malware enthält, identifiziert 192.168.10.1 als infizierten Host und benachrichtigt das SRX-Gerät und den Policy Enforcer.

  5. Die Firewall blockiert die Datei und verhindert, dass sie heruntergeladen werden kann.

  6. Policy Enforcer identifiziert die IP- und MAC-Adresse des Hosts, der die Datei heruntergeladen hat, und platziert eine Sicherheitsrichtlinie auf den Firewalls und Firewall-Filter auf den Switches, um weitere Bedrohungen zu verhindern.

  7. Das infizierte Endgerät, das mit einem Switch der EX-Serie in Campus C verbunden ist, wird unter Quarantäne gestellt.

Die Verschiebung infizierter Endgeräte und die daraus resultierende Änderung der Netzwerk-IP-Adressen kann die Sicherheit in reinen Perimeterschutzarchitekturen leicht umgehen.

Im weiteren Verlauf des Szenarios wechselt der infizierte Host an einen anderen Standort (Campus B) und erhält eine neue IP-Adresse, wie in Abbildung 3 dargestellt.

Abbildung 3: Nachverfolgen der Bewegung Tracking Infected Endpoint Movement infizierter Endgeräte

Policy Enforcer verfolgt die Bewegung infizierter Hosts und informiert die Juniper ATP-Cloud über die neue Bindung von MAC-Adresse zu IP-Adresse. Wenn der infizierte Host an seinen neuen Standort (in Campus B) verlegt wird, erkennt Policy Enforcer den Host als anhaltende Bedrohung und blockiert ihn im Netzwerk.

Schutz vor Botnet-C&C-Angriffen

Wenn ein Host im Netzwerk versucht, Kontakt mit einem möglichen C&C-Server (Command and Control) im Internet aufzunehmen, kann das Gerät der SRX-Serie mit Juniper ATP Cloud, Security Director und Policy Enforcer zusammenarbeiten, um den Datenverkehr abzufangen und eine Durchsetzungsaktion durchzuführen, die auf Echtzeit-Intelligence-Feed-Informationen basiert, die die IP-Adresse und URL des C&C-Servers identifizieren.

Abbildung 4 zeigt ein Beispiel dafür, wie die Juniper Connected Security-Lösung Schutz vor Botnet-C&C-Angriffen bietet.

Abbildung 4: Schutz vor Botnet-C&C-Angriffen Protection from Botnet C&C Attack

Dieses Szenario umfasst die folgenden Schritte:

  1. Ein Benutzer lädt eine Datei aus dem Internet herunter.

  2. Das Gerät der SRX-Serie empfängt die heruntergeladene Datei und überprüft sein Sicherheitsprofil, um festzustellen, ob weitere Maßnahmen ergriffen werden müssen. Bei Bedarf werden Dateien zur Malware-Prüfung an die Juniper ATP Cloud gesendet.

  3. Die Überprüfung stellt fest, dass es sich bei dieser Datei um Schadsoftware handelt, und informiert Policy Enforcer über die Ergebnisse.

  4. Auf dem SRX-Gerät und den EX/QFX-Switches wird automatisch eine Durchsetzungsrichtlinie bereitgestellt.

  5. Der infizierte Endpunkt wird unter Quarantäne gestellt.

Zugehörige Dokumentation