付録:すべてのトポロジーの共通テストケース

高度なアプリケーションステアリング

アプリケーションはトラフィックの宛先を表します。ジュニパーセッション®スマート®ネットワーキングでは、アプリケーションがアプリケーションポリシーで使用されるトラフィックの宛先を決定します。

Juniper Mist WAN Assuranceの設計では、 アプリケーション とはネットワークユーザーがアクセスするサービスまたはプログラムを指します。これらは、ジュニパー Mistポータル内でカテゴリ(ソーシャルメディアなど)を選択するか、定義済みのリストから特定のアプリケーション(Microsoft Teamsなど)を選択することで、手動で定義できます。または、一般的なトラフィックタイプの組み込みリストを使用するか、必要に応じてカスタムアプリケーション定義を作成することもできます。

注:

内部VPNを設定する際は、必ずカスタムルールでIPプレフィックスを使用して、基本的なトラフィック転送ポリシーを確立することから始めてください。これらの基本ルールをテストおよび検証したら、特定のアプリケーションを検出して誘導するための追加の基準を組み込んで、構成を改良できます。

ユーザーがアプリケーションにアクセスできるようにするには、まずアプリケーションを定義し、次にアプリケーションポリシーを使用してアクセスを制御(許可または拒否)する必要があります。これには、アプリケーションを特定のユーザーまたはネットワークに関連付け、トラフィックステアリングポリシーとアクセスルールの両方を割り当てることが含まれます。

アプリケーションを定義する際には、そのタイプによって以下のオプションが定義されます。

• カスタムアプリをアプリケーション識別子として使用すると、以下を構成できます。
  • IPアドレスまたはIPプレフィックス。1つ以上のIPアドレスまたはサブネットをカンマで区切って入力します。
  • ドメイン名。FQDN-DNS名を使用します。複数のエントリーはカンマで区切ることができます。
  • プロトコル。TCP、UDP、GRE、またはカスタム値を使用できます。
  • 宛先ポート。ポート番号をサポートするプロトコルに適用可能な開始ポートと終了ポートを指定します。
• アプリケーション識別子として アプリ を使用する:
  • ドロップダウンメニューから、事前設定済みの既知のアプリケーションを個別に選択するか、検索できます。
• アプリケーション識別子としての URLカテゴリ の使用
  • 組み込みのURL分類データベースを使用して、分類されたWebサイトに基づいてアプリケーションを定義します。必要な粒度のレベルに応じて、 URLカテゴリグループ、 URLカテゴリ、 またはURLサブカテゴリを使用してルールを適用できます。
  • URLカテゴリグループは、すべて、標準、ストリクトです。
  • URLカテゴリは、アダルト、広告、芸術とエンターテイメント、ビジネス、キャリアと教育、コラボレーション、会議、デバイスIOT、ファイル共有、金融、ゲーム、政府、画像、インフラストラクチャ、マルウェア、ネットワーキング、ニュースと参照、レクリエーション、宗教、リモートデスクトップ、検索エンジン、セキュリティ、ショッピング、ソーシャルメディア、ソフトウェアアップデート、スポーツ、ストリーミングメディア、テクノロジー、暴力です
  • URLサブカテゴリは次のとおりです:中絶、アダルトコンテンツ、アダルト素材、高度なマルウェアコマンドアンドコントロール、高度なマルウェアペイロード、広告、アルコールとタバコ、代替ジャーナル、アプリケーションとソフトウェアのダウンロード、帯域幅、ブログコメント、ブログ投稿、ブログと個人サイト、ボットネットワーク、ビジネスと経済、クラシファイド投稿、コラボレーションオフィス、侵害されたWebサイトコンピューターセキュリティ、コンテンツ配信ネットワーク、文化機関、教育、教育機関、 教材、教育ビデオ、新たなエクスプロイト、エンターテイメント、ファイルダウンロードサーバー、パスワードを含むファイル、財務データとサービス、フリーウェアとソフトウェアのダウンロード、ゲーム、ゲイまたはレズビアンまたはバイセクシュアルの興味、政府、ハッキング、趣味、ホストされたビジネスアプリケーション、画像サーバー、画像メディア、情報技術、インターネットオークション、インターネットラジオとテレビ、インターネット電話、不寛容、就職活動、キーロガー、ランジェリーと水着、悪意のある組み込みiFrame、 悪意のある埋め込みリンク、悪意のあるWebサイト、メディアファイルのダウンロード、過激派と過激派、軍事、モバイルマルウェア、ネットワークエラー、ニュースとメディア、非伝統的な宗教、非伝統的な宗教とオカルトと民間伝承、ヌード、オフィスアプリ、オフィスドキュメント、オフィスドライブ、オフィスメール、オンライン仲介と取引、パークドメイン、ピアツーピアファイル共有、パーソナルネットワークのストレージとバックアップ、個人とデート、 フィッシングおよびその他の詐欺、政治団体、悪用される可能性のある文書、望ましくない可能性のあるソフトウェア、プライベートIPアドレス、プロチョイス、プロライフ、専門家および労働者組織、プロキシ回避、不動産、参考資料、宗教、レストランと食事、検索エンジンとポータル、セキュリティ、サービスおよび慈善団体、セックス、性教育、ショッピング、社会および所属組織、社会組織、ソーシャルウェブ、Facebook、ソーシャルウェブ、LinkedIn、LinkedIn、 ソーシャルWeb Twitter、ソーシャルWeb Youtube、社会とライフスタイル、特別イベント、スポーツハンティングとガンクラブ、スポーツ、スパイウェア、ストリーミングメディア、監視、不審なコンテンツ、不審な埋め込みリンク、無味乾燥な、伝統的な宗教、無許可のモバイルマーケットプレイス、暴力、バイラルビデオ、Web分析、Webおよび電子メールマーケティング、Webおよび電子メールスパム、Webホスティング、Web画像、Webインフラストラクチャ、Web翻訳
• アプリケーション識別子としての カスタムURL の使用
  • カスタムURLを使用すると、事前定義されたアプリやURLカテゴリではないサービスやアプリケーションを何らかの方法で識別できます。例については、以下の図を参照してください。

定義済みアプリケーションの使用例

組織 -> アプリケーションに移動し、以下の設定で新しいアプリケーションを作成します。

• 名前=MYAPP
• タイプ=Apps
• アプリ=BBC + CNN

次に、既存のWANエッジテンプレートに移動し、以下のアプリケーションポリシーを挿入します。

• 数=4
  • 名前=MYAPP-traffic
  • ネットワーク=SPOKE-LAN1
  • アクション=Pass
  • アプリケーション=MYAPP
  • トラフィックステアリング=VPN前回のラボ「 スポークでのローカルトラフィックブレークアウト 」ですでにLBOを設定している場合は、それも使用できます。

上記の変更によって実際のトラフィックフローは変更されません。以下に定義されるより広範なルールにより、ハブでのセントラルブレイクアウトは引き続き使用されます。この手順は、ルールがトラフィックを正しく識別していることを確認するためのものです。変更が保存され、スポークに正常に適用されていることを確認します。

次に、このカスタムアプリケーションのトラフィックを生成する必要があります。この例では、ブラウザを https://www.cnn.com に向けて、spoke1 に接続された desktop1 VM を使用します。

トラフィックを生成した後、次の図に示すように、アプリケーション名=MYAPPのアプリケーション->セッションに移動して、スポークでテストツールを使用します。このトラフィックが正しく識別され、処理されたことがわかります。

IDPベースの脅威検知

侵入検出および防止(IDP)ポリシーを使用すると、ネットワークトラフィックに対してさまざまな攻撃検出および防止技術を選択的に適用できます。アプリケーションポリシーでアクティブ化することで、ジュニパー Mistネットワークでスポークデバイスとして動作するセッションスマートルーターでIDPを有効にするには、有効にできます。

侵入検出とは、ネットワーク上で発生するイベントを監視し、セキュリティ ポリシーに対するインシデント、違反、または差し迫った脅威の兆候がないか分析するプロセスのことです。侵入防御とは、侵入検出を実行し、検知されたインシデントを阻止するプロセスです。詳細については、「 侵入検出および防止の概要」を参照してください。

注:

1. セッションスマートルーターでIDPを設定できるのは、デバイスがスポークデバイスとして動作している場合のみです。

2. IDPを初めてアクティブ化するときは、メンテナンスウィンドウを考慮してください。IDP エンジンの起動と LAN から WAN へのパスへの組み込み(つまり、サービス チェイニング)には数分かかる場合があり、継続的な通信が中断される可能性もあります。

3. ローカルブレイクアウトにトラフィックステアリングを使用する場合、ハブ上の一致ルールは必要ありません。ただし、セッションスマートルーターで、IDPがVPNオーバーレイを通過してハブに渡るトラフィックを検査する場合、ハブでIDPを有効にした一致ルールも設定する必要があります。これは、IDPが適用されると内部サービス名が変更され、ハブ自体がIDP検査を実行していなくても、対応するサービス名がリモートハブに存在する必要があるためです。

ジュニパーMistクラウドは、以下のIDPプロファイルをサポートしています。

• 標準—標準プロファイルはデフォルトプロファイルであり、推奨されるIDPシグネチャとルールのセットを表します。各攻撃タイプと重大度には、ジュニパーが定義した設定不可能なアクションがあり、IDPエンジンはこのアクションを攻撃を検知するとこのアクションを適用します。可能なアクションは次のとおりです。
  • クライアントとサーバーのTCP接続を閉じます。
  • 現在のパケットとそれ以降のすべてのパケットをドロップします
  • アラートのみを送信します(追加アクションは送信されません)。
• アラート—アラートプロファイルは、重大度の低い攻撃にのみ適しています。IDPエンジンがネットワーク上で悪意のあるトラフィックを検出すると、システムはアラートを生成しますが、攻撃を防ぐための追加対策は講じません。IDPシグネチャとルールは、標準プロファイルと同じです。
• 厳密—厳密なプロファイルには、標準プロファイルと同様のIDPシグネチャとルールのセットが含まれています。ただし、システムが攻撃を検出すると、このプロファイルはネットワーク上で検出された悪意のあるトラフィックやその他の攻撃を積極的にブロックします。

アプリケーションポリシーにIDPプロファイルを適用できます。各プロファイルには関連するトラフィックアクションがあり、これらのアクションは、サービスまたはアプリケーションポリシーにルールセットを適用する方法を定義します。IDPプロファイルのアクションは事前設定されており、ユーザーが設定することはできません。

IDPテストケースの例

このテストケースでは、最初のラボ 付録:3 つのスポークと 2 つのハブを備えたベース SD-WAN トポロジーの構築を変更して 、次のことを行います。

• 中央ブレイクアウトではなく、VPN以外のすべてのトラフィックのローカルブレークアウト。
• このトラフィックのIDPアラートを有効にします。
• スポークに接続されたクライアントにセキュリティスキャナーを取り付けます。
• セキュリティスキャナーを実行して、ラボ内のWebサーバー(VPNの一部ではありません)を検査します。
• キャプチャされたIDPイベントをジュニパーMistポータルで確認します。

IDPベースの脅威検知の例を設定するには:

• ジュニパー Mist クラウドポータルで、 組織>WANエッジ テンプレートをクリックし、スポークデバイスのテンプレートを選択します。
• 次に、スポークのWANエッジテンプレートで追加のトラフィックステアリングポリシーを設定します。
  • 名前=LBO
  • 戦略=Weighted
  • パス
    • タイプ1=WAN: INET
    • コスト1=10
    • タイプ2=WAN: MPLS
    • コスト2=20
• 既存のアプリケーションポリシーを変更する
  • 数=4
    • 名前= internet-via-hub-cbo
    • ネットワーク=SPOKE-LAN1
    • アクション=Pass
    • アプリケーション=any
    • IDP=Alert
    • トラフィックステアリング=LBO

テンプレートを 保存 して、このIDP設定をスポークでコミットします。

数分後にWANエッジのスポークを検査します。 高度なセキュリティで、IDPサービスがアクティブ化されるはずです。

次に、スポークに取り付けられたクライアントでテストを続けます。IPアドレス 10.99.99.99 Spoke1に接続したdesktop1 VMに接続します。そこには、 nikto と呼ばれるセキュリティ スキャナー サービスをインストールし、研究室がたまたま持っているローカル Web サーバーを検査させます。

次に、 サイト->セキュリティイベント に移動し、 IDP をチェックして、キャプチャされたIDPイベントを確認します(次の図を参照)。