Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Détection des menaces basée sur l’IDP sur les routeurs Session Smart

Procédez comme suit pour améliorer la sécurité du réseau en ajoutant des profils de détection et de prévention d’intrusion (IDP) à vos stratégies applicatives.

Une stratégie de détection et de prévention d’intrusion (IDP) vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau. Vous pouvez activer l’IDP sur le routeur Session Smart de Juniper® Networks fonctionnant comme un appareil spoke dans votre réseau Juniper Mist™ en l’activant dans une stratégie d’application.™ L’IDP avec un routeur Session Smart est utile pour le trafic breakout local.

Note: L’IDP n’est pris en charge que sur un routeur Session Smart fonctionnant comme un spoke pour le trafic breakout local. L’IDP n’est pas pris en charge sur un appareil central ou pour le trafic de backhaul vers un hub à partir d’un spoke.

La détection d’intrusion est le processus qui consiste à surveiller les événements qui se produisent sur votre réseau et à les analyser pour détecter les signes d’incidents, de violations ou de menaces imminentes à vos stratégies de sécurité. La prévention d’intrusion consiste à détecter les intrusions puis à résoudre les incidents détectés. Pour plus d’informations, reportez-vous à la section Présentation de la détection et de la prévention des intrusions.

Note:

L’IDP nécessite beaucoup de calculs. Vous constaterez probablement une dégradation des performances sur les SSR d’entrée de gamme tels que le SSR120 si vous activez l’IDP dans vos stratégies.

Regardez la vidéo suivante pour la détection des menaces basée sur IDP sur les routeurs Session Smart.

Hey everyone, today I want to show you how easy it is to deploy an AI-driven full-stack branch managed by the Mist Cloud. That is a whole branch network with access points, switches, and routers, all being managed by a single pane of glass, with artificial intelligence to alert you to any issues and easily find the root cause of those issues. In this demo, I will show you how Juniper Network's AI-driven full-stack branch simplifies all operational stages. Day zero design, day one deployment, and day two troubleshooting and maintenance. And also, I will show you how quickly this can be done.

All right, let's jump into it. Day zero design. When we talk about day zero operations, we are talking about all the planning and design that you can do prior to deploying any of the systems. These are the tasks that should be performed to make sure that the actual deployment day goes as smoothly as possible. The tasks you want to perform here are designing your network and staging your configuration. Using the Mist Cloud, you have one interface you can log into to configure all of the access points, switches, and routers in your whole network. You can use configuration templates with site-specific variables, so you only have to create a limited number of configurations for large deployments. I have seen deployments with 10,000 sites that only have six or so different designs. So, what do they do? They create six templates and apply the appropriate templates to the correct sites as they are onboarding. I have also dealt with deployments that have a couple variations between sites. Say, for example, they use different IP address schemes at each site. This is not a problem either because all we have to do is input a variable or placeholder like this, and then when we create the site, we say, for this variable, put in this value. With this technology, we can easily deploy 1,000 sites in minutes.

Once you have your network designed and you have staged your configuration, it is time to prepare for deployment day. Day one deployment. Day one stands for the first day of use for our new devices. This is the most exciting day in my opinion. You have a shiny new device and you just can't wait to pull it out of the box and use it. Unfortunately, a lot of times, this day can be ruined by the actual deployment and installation. Well, that does not have to be the case with Juniper Networks. With the AI-driven full-stack branch, you can easily deploy your network using QR codes or claim codes. First, if you didn't do it as part of your day zero tasks, create a site in the Mist cloud and assign the appropriate templates to that site. Then, just look at the back of your device for a QR code and scan it with an app or grab the claim code and add it to your inventory for that site. If you have a white box switcher router, then just copy a few lines of configuration to get that device speaking to the Mist cloud. Once your device connects up to the Mist cloud, it will see what site it is deployed to and grab the appropriate configuration. Another huge benefit of the configuration templates is that if you need to make any changes to your configuration, all you have to do is make the change in the template and the change will get pushed down to all of the appropriate devices. You no longer need to log into each individual device. With these powerful tools at your disposal, you can have a full site up in minutes. This is what we call true zero-touch provisioning.

Day two, maintenance and troubleshooting. Once you have your site deployed, then it just comes down to your normal day-to-day operations. This is what we call our day two operations. In the Mist ecosystem, we like to break our telemetry down to SLEs or service level experiences. These SLEs give you insight into the health of your network, devices, links and applications. They alert you to any issues impacting the user experience and provide insights into the root cause. The SLEs are impressive and very powerful, giving you experience insights across the network. But even more powerful is your AI virtual network assistant, Marvis. Marvis Actions proactively alert you to high priority issues impacting your network. This Marvis actions page is a great page to start your day off with, a cup of coffee view, so you can know where you need to spend your attention and solve issues before your customers even know. You can also chat with Marvis to ask questions about your network. Say, for example, you're getting complaints about an application not working. You can ask Marvis if the problem is something on your network, with your ISP or on the application itself. This saves hours of investigating to prove where the problem is and reduces your MTTI or mean time to innocence. Security is also managed by Mist and Marvis. Using the IDP and enhanced web filtering features in your SessionSmart routers, you leverage the Juniper IDP signature database, providing state-of-the-art protection against the most up-to-date vulnerabilities. The database contains definitions of attack objects and application signatures defined in the form of an IDP policy rule set that is updated regularly.By automatically downloading the latest definitions and application signatures, the SSR is able to provide cutting-edge security solutions for your network. When discovered, you can either have your router alert you to the vulnerability or block the traffic, giving you the network protection that you need without the need to purchase additional hardware.

Lastly, with all of this data and all of these cool tools, how can you share this information with interested parties and extend Mist into your business intelligence? This can be done with Premium Analytics. Premium Analytics is another tool that you can use to share with any decision maker, help them get the relevant information they need. Whether it's a CIO looking at further network investment, a branch manager looking at user experience, or a facilities management executive looking at real estate optimization and occupancy management. Premium Analytics provides long-term insights into your network with intuitive graphs and charts. So that was a very brief dive into what the Juniper Network AI-driven full-stack SD branch has to offer. To summarize, the AI-driven full-stack SD branch simplifies every stage of operations, design, deployment, maintenance, and troubleshooting, allowing for the best user experience for your network architects, engineers, operations folks, and end users. There is a lot more that you can do with the Mist Cloud and Mist AI than we have time to show you here. If you'd like to try this out for yourself, sign up for a demo or POC. Thank you for watching.

Configurer la détection des menaces basée sur l’IDP sur un équipement à rayons SSR

Juniper Mist cloud prend en charge les profils IDP suivants :

  • Standard : le profil Standard est le profil par défaut et représente l’ensemble des signatures IDP et des règles recommandées par Juniper Networks. Chaque type et gravité d’attaque fait l’objet d’une action non configurable définie par Juniper et appliquée par le moteur IDP lorsqu’il détecte une attaque. Les actions possibles sont les suivantes :

    • Fermez la connexion TCP client-serveur.

    • Supprimer le paquet en cours et tous les paquets suivants

    • Envoyer une alerte uniquement (pas d’action supplémentaire).

  • Alert (Alerte) : les profils d’alerte ne conviennent qu’aux attaques de faible gravité. Lorsque le moteur IDP détecte du trafic malveillant sur le réseau, le système génère une alerte, mais il ne prend aucune mesure supplémentaire pour empêcher l’attaque. La signature et les règles IDP sont les mêmes que dans le profil standard.

  • Strict (Strict) : le profil Strict contient un ensemble de signatures et de règles IDP similaire à celui du profil standard. Cependant, lorsque le système détecte une attaque, ce profil bloque activement tout trafic malveillant ou autres attaques détectées sur le réseau.

Vous pouvez appliquer un profil IDP à une stratégie d’application. Chaque profil est associé à une action sur le trafic, qui définit comment appliquer un ensemble de règles à un service ou à une stratégie d’application. Les actions du profil IDP sont préconfigurées et ne sont pas disponibles pour les utilisateurs.

Pour configurer la détection des menaces basée sur IDP :

  1. Dans le portail cloud Juniper Mist, cliquez sur Organization > WAN Edge Templates (Organisation modèles WAN Edge ) et sélectionnez un modèle pour votre périphérique spoke.

  2. Sur la page Modèles WAN Edge, faites défiler l’écran jusqu’au volet Stratégies d’applications . Le volet affiche la liste des stratégies d’application existantes.

  3. Sous Colonne IDP , sélectionnez un profil IDP. Par exemple, sélectionnez l’alerte de profil IDP.

    Figure 1 : Configuration d’un profil IDP (alerte) Configure an IDP Profile (Alert)
  4. Cliquez sur Save (Enregistrer).

Le profil IDP sélectionné est appliqué à tous les périphériques spoke.

Note:

Assurez-vous de définir l’action de stratégie sur AUTORISER ; sinon, les paramètres IDP risquent de remplacer l’instruction DNY.

Vérifier la détection des menaces basée sur IDP

Avertissement:

Lorsque vous activez la fonction IDP pour la première fois sur un appareil à rayons, nous vous recommandons de la planifier dans une fenêtre de maintenance. Le démarrage du moteur IDP et l’intégration dans le chemin entre LAN et WAN (c’est-à-dire le chaînage de services) peuvent prendre quelques minutes et interrompre les communications en cours.

Vous pouvez tester les effets de l’analyseur de sécurité basé sur IDP en lançant des exemples d’attaques. Vous pouvez utiliser des outils tels que Nikto dans Kali Linux, qui dispose d’une variété d’options disponibles pour les tests d’intrusion de sécurité.

Utilisez un bureau de machine virtuelle (VM) (desktop1) dans un environnement sandbox ou de laboratoire, et installez un simple analyseur de sécurité pour les serveurs Web, tel que Nikto. Nikto est un serveur web open-source et un scanner d’applications web. Par exemple, vous pouvez exécuter Nikto sur un serveur Web Apache Tomcat non renforcé (ou son équivalent) local dans votre laboratoire. Dans ce test, vous pouvez envoyer des requêtes HTTP brutes ou non chiffrées pour l’inspection IDP.

L’exemple suivant montre un processus dans lequel vous installez l’outil, vérifiez la présence du serveur HTTP, puis lancez les attaques.

Vous pouvez afficher les événements générés en accédant à Site > Secure WAN Edge IDP/URL Events.

Figure 2 : événements IDP de la périphérie WAN sécurisée Secure WAN Edge IDP Events

La figure 3 illustre les événements IDP générés pour le routeur Session Smart.

Figure 3 : événements IDP générés pour un profil IDP Events Generated for an Alert IDP Profile IDP d’alerte

Dans l’exemple précédent, vous avez utilisé la journalisation passive pour les événements à l’aide d’alertes de type de profil IDP. Ensuite, utilisez le type de profil IDP Strict pour arrêter ou atténuer les événements. Lorsque vous utilisez le profil Strict, le moteur IDP ferme les connexions TCP contre les attaques détectées.

Vous pouvez suivre le même processus que celui indiqué dans l’exemple. Toutefois, cette fois-ci, vous modifiez le modèle de périphérique spoke et le profil IDP de Alert (Alerte ) à Strict (Strict), comme illustré à la Figure 4.

Figure 4 : configuration du profil IDP (profil strict) IDP Profile Configuration (Strict Profile)

Exécutez l’analyseur de sécurité. Vous remarquerez que l'analyseur prend plus de temps à s'exécuter, car il détecte plus d'erreurs et moins d'événements.

La figure 5 montre que pour certains événements, l’action consiste à fermer la session afin d’atténuer les menaces (sous le champ Action ).

Figure 5 : événements IDP générés pour un profil IDP Events Generated for Strict IDP Profile IDP strict

Profils de contournement de détection et prévention d’intrusion (IDP)

Le contournement IDP fonctionne en conjonction avec les règles du système de prévention d’intrusion (IPS) pour empêcher la génération d’alarmes inutiles. Vous configurez le profil IDP lorsque vous souhaitez exclure une destination ou un type d’attaque spécifique de la correspondance d’une règle IDP. Cela permet d’éviter que l’IDP ne génère des alarmes inutiles.

Un profil IDP peut avoir plusieurs profils de contournement, chacun avec plusieurs règles de contournement.

Pour créer un profil de contournement IDP :

  1. Dans le portail cloud Juniper Mist, sélectionnez Organization > WAN > Application Policy > IDP bypass profiles.

    La page affiche une liste des profils de contournement IDP (le cas échéant)

  2. Cliquez sur Ajouter un profil de contournement pour créer un profil.
  3. Dans la fenêtre Créer un profil de contournement :
    1. Ajouter un nom. Utilisez des caractères alphanumériques, des traits de soulignement ou des tirets, et ne pouvez pas dépasser 63 caractères.
    2. Sélectionnez le profil de base. Les profils de base pris en charge sont les suivants :
      • Standard
      • Strict
      • Critique uniquement – SRX

      Vous avez besoin d’un profil IDP de base pour créer un profil de contournement IDP.

    3. Cliquez sur Suivant. Le portail ouvre une page de règles dans laquelle vous pouvez définir la règle pour le profil de contournement IDP.
      Figure 6 : règle IDP Bypass Profile Rule de profil de contournement IDP
      • Action : sélectionnez l’action de trafic associée. Les options disponibles sont les suivantes : Modifier, Supprimer ou Fermer.
      • IP de destination : adresse IP de la destination du trafic que vous souhaitez exempter. Vous pouvez sélectionner une ou plusieurs adresses IP de destination dans la liste renseignée ou saisir l’adresse IP de destination en cliquant sur Ajouter une adresse IP de destination.
      • Nom de l’attaque : sélectionnez les attaques que vous souhaitez que l’IDP exempte pour les adresses de destination spécifiées dans la liste affichée. Vous pouvez également saisir l’attaque en cliquant sur Ajouter un nom d’attaque. L’attaque que vous saisissez doit être du type pris en charge par la signature IPS de Juniper Networks.
      • Cliquez sur Save (Enregistrer).

La règle que vous avez créée s’affiche sous le volet IDP Bypass Profile (Profil de contournement IDP). Ensuite, vous devez appliquer le profil de contournement IDP dans une stratégie d’application similaire à l’application de n’importe quel profil IDP en procédant comme suit :

  1. Dans le portail cloud Juniper Mist, cliquez sur Organization > WAN Edge Templates (Organisation modèles WAN Edge ) et sélectionnez un modèle pour votre périphérique spoke.
  2. Dans la colonne IDP, sélectionnez le profil IDP. Par exemple, sélectionnez le profil de contournement IDP que vous avez créé à l’étape précédente.
    Figure 7 : Application du profil de contournement IDP dans la stratégie Apply IDP Bypass Profile in Application Policy applicative
  3. Cliquez sur Enregistrer une fois que vous avez configuré d’autres options dans la stratégie d’application. Reportez-vous à la section Configurer des stratégies d’application sur les routeurs Session Smart.

Vous pouvez afficher les événements générés en accédant à Site > Secure WAN Edge IDP/URL Events.

Documentation connexe