URL 필터링

이점

DNS 필터링은 허용되지 않는 웹 사이트 도메인에 대한 DNS 요청을 싱크홀 서버로 리디렉션하는 동시에 시스템을 운영하는 모든 사용자가 허용되지 않는 도메인 목록을 볼 수 없도록 합니다. 허용되지 않는 도메인 이름이 암호화된 형식이기 때문입니다.

허용되지 않는 도메인 필터 데이터베이스 파일

DNS 요청 필터링에는 허용되지 않는 각 도메인 이름, 허용되지 않은 도메인에 대한 DNS 요청에 대해 수행할 작업, DNS 싱크홀 서버의 IP 주소 또는 정규화된 도메인 이름(FQDN)을 식별하는 허용되지 않는 도메인 필터 데이터베이스 .txt 파일이 필요합니다.

DNS 필터 프로파일

DNS 필터 프로필을 구성하여 사용할 허용되지 않는 도메인 필터 데이터베이스 파일을 지정합니다. 또한 DNS 요청 필터링이 수행되는 인터페이스를 지정하고, 필터링을 특정 DNS 서버에 대한 요청으로 제한하고, 필터링을 특정 소스 IP 주소 접두사의 요청으로 제한할 수 있습니다.

개요

Junos OS 릴리스 21.1R1부터는 고객 또는 IP 하위 그룹별로 사용자 지정 도메인 피드를 구성할 수 있습니다. 당신은 할 수 있어요:

• 도메인 피드를 테넌트별로 관리할 수 있도록 여러 테넌트에 대한 도메인 이름 및 작업을 구성합니다.
• 프로필별, dns-filter-template 또는 dns-filter-term별 계층적 도메인 피드 관리를 구성합니다.
• IP, 서브넷 또는 CIDR 수준에서 도메인 피드를 면제합니다.

DNS 필터링에 대한 mutiltenant 지원을 구현하기 위해 템플릿 또는 프로필 수준에서 도메인 필터 데이터베이스 파일을 생성하는 것은 비활성화됩니다. 템플릿 또는 프로필 수준에서 파일을 지정할 필요가 없습니다. Junos OS 21.1R1부터는 기본적으로 고정된 이름, nsf_multi_tenant_dn_custom_file.txt (일반 텍스트 형식) 또는 dnsf_multi_tenant_dn_custom_file_hashed.txt (암호화된 파일)의 전역 파일을 사용할 수 있습니다.

데이터베이스 파일의 각 항목에는 다음 항목이 있습니다.

hashed-domain-name, IPv4 싱크홀 주소, IPv6 싱크홀 주소, 싱크홀 FQDN, ID, 작업, 피드 이름.

파일 해시가 계산되어 파일의 도메인 이름 항목 목록에 추가됩니다. 파일 해시는 전역 키 및 메서드를 사용하여 계산되며, 이는 계층에서 [edit services web-filter] 구성된 해시 키를 사용하여 계산된 파일 해시로 검증됩니다. 계산된 파일 해시가 파일에 있는 파일 해시와 일치하는 경우에만 파일 유효성 검사에 성공합니다.

파일의 각 항목 nsf_multi_tenant_dn_custom_file.txt feed-name이라는 추가 필드로 구성됩니다. 이 피드 이름 은 도메인 이름 집합을 그룹화하고 테넌트(프로필, 템플릿, 용어 또는 IP 주소)에 매핑하는 표시기로 사용됩니다.

특정 SRC IP 주소에서 DNS 패킷이 수신되면 해당 피드 이름을 가져오고 용어와 연결된 피드 이름으로 매핑된 도메인 이름에 대해 조회가 발생합니다. 해당 IP 주소에 대해 feed-name이 프로비저닝되지 않은 경우 템플릿 수준에서 구성된 feed-name으로 폴백되고 템플릿과 연결된 feed-name과 매핑된 도메인 이름에 대해 조회가 발생합니다. feed-name이 템플릿에서 구성되지 않은 경우, 조회는 프로필과 연결된 feed-name에 매핑된 도메인 이름에 대해 이루어집니다.

이점

• MX 라우터와 통합되어 구축을 간소화하고 위협 방지 기능을 강화합니다.

• 정교하고 회피적인 위협에 대해 강력한 커버리지를 제공하는 도구 조합을 사용하여 "제로데이" 위협에 대한 보호 기능을 제공합니다.

• 사용자가 맬웨어를 차단하고, 감염된 시스템을 격리하고, 데이터 유출을 방지하고, 측면 이동을 방해할 수 있는 정책 향상을 통해 인바운드 및 아웃바운드 트래픽을 확인합니다.

• 중단 없는 서비스를 제공하기 위해 고가용성을 지원합니다.

• 더 많은 컴퓨팅 리소스가 필요한 증가하는 부하, 더 많은 고객 제출을 수신하기 위한 증가된 네트워크 대역폭, 맬웨어를 위한 대용량 스토리지를 처리할 수 있는 확장성을 제공합니다.

• 심층 검사, 실행 가능한 보고 및 인라인 멀웨어 차단을 제공합니다.

• 로그의 VRF 정보를 사용하여 테넌시 정보를 제공하는 기능 제공

Policy Enforcer 및 주니퍼 ATP 클라우드 이해하기

주니퍼 네트웍스 Security Director는 위협 조건으로부터 학습하고, 정책 생성을 자동화하며, 네트워크의 주니퍼 디바이스에 동적으로 시행을 배포할 수 있는 PE(Policy Enforcer)라는 기능으로 구성되어 있습니다.

그림 4 는 PE, 주니퍼 ATP 클라우드 및 방화벽 역할을 하는 MX 라우터 간의 트래픽 플로우를 보여줍니다.

• PE(Policy Enforcer)는 위협 조건으로부터 학습하고, 정책 생성을 자동화하며, 네트워크의 주니퍼 디바이스에 집행을 배포합니다.

• 주니퍼 ATP 클라우드(주니퍼 Advanced Threat Prevention)는 차세대 방화벽 시스템과 함께 클라우드 기반 위협 탐지 소프트웨어를 사용하여 네트워크의 모든 호스트를 보호합니다.

• MX 라우터는 PE(Policy Enforcer)에서 위협 인텔리전스 피드를 가져와 이러한 정책을 구현하여 손상된 호스트를 격리합니다. 다음과 같은 중요한 구성 요소로 구성됩니다.

  • 보안 인텔리전스 프로세스

  • 웹 필터링 프로세스

  • 방화벽 프로세스

그림 4: 시스템 아키텍처

시스템 아키텍처의 기능을 이해하기 위해 다음 예를 고려하십시오. 사용자가 인터넷에서 파일을 다운로드하고 해당 파일이 MX 방화벽을 통과하는 경우 (구성 설정에 따라 다름) 맬웨어 검사를 위해 파일을 주니퍼 ATP 클라우드 클라우드로 보낼 수 있습니다. 파일이 맬웨어로 판별되면 PE는 파일을 다운로드한 호스트의 IP 주소와 MAC 주소를 식별합니다. 사용자 정의 정책에 따라 해당 호스트를 격리 VLAN에 배치하거나 인터넷 액세스를 차단할 수 있습니다.

MX 시리즈 라우터는 주니퍼 ATP 클라우드와 통합되어 손상된 호스트(봇넷)가 명령 및 제어 서버와 통신하지 못하도록 방지할 수 있습니다.

• Junos OS 릴리스 18.4R1부터 인라인 보안 기능으로 적응형 서비스 사용

• Junos OS 릴리스 19.3R2부터 인라인 보안 기능으로 차세대 서비스를 제공합니다

MX 시리즈 라우터는 다음 방법 중 하나에서 C&C 및 Geo-IP를 다운로드할 수 있습니다.

• 간접 method-Policy Enforcer는 정의된 환경에 있는 모든 디바이스에 대한 피드 프록시와 같은 역할을 합니다. 이 방법은 개별 디바이스가 인터넷에서 주니퍼 ATP 클라우드 서비스에 액세스하는 것을 방지하는 데 도움이 됩니다. 따라서 인터넷에 도달하는 장치의 취약성을 줄입니다.

• 직접 방식-MX 시리즈 라우터는 주니퍼 ATP 클라우드에 직접 등록하여 C&C 및 Geo-IP 피드를 다운로드합니다.

보안 인텔리전스(SecIntel) - 개요

IPFD(보안 인텔리전스 프로세스)는 보안 인텔리전스 피드를 다운로드하고 피드 커넥터 또는 ATP 클라우드 클라우드 피드 서버에서 구문 분석하는 작업을 담당합니다. MX 플랫폼의 IPFD 프로세스는 Policy Enforcer에서 명령 및 제어 IPv4/IPv6 피드를 가져옵니다. C&C 피드는 기본적으로 봇넷의 명령 및 제어 서버로 알려진 서버 목록입니다. 이 목록에는 맬웨어 다운로드의 알려진 소스인 서버도 포함됩니다. 이렇게 가져온 정보는 /var/db/url-filterd 디렉토리 아래에 생성된 파일(urlf_si_cc_db.txt)에 저장됩니다.

IPFD가 웹 필터링 프로세스로 전송하는 허용되지 않는 IP의 파일 형식은 다음과 같습니다.

IPv4 address | IPv6 address, threat-level.

은 threat-level 1에서 10 사이의 정수로, 맬웨어 및 감염된 호스트에 대해 검사한 파일의 위협 수준을 나타냅니다. 여기서 1은 가장 낮은 위협 수준을 나타내고 10은 가장 높은 위협 수준을 나타냅니다.

예: 178.10.19.20, 4

여기서 178.10.19.20은 허용되지 않는 IP를 나타내고 4 threat-level는 .

C&C 피드 데이터베이스가 백업 라우팅 엔진에 동기화됩니다. 그런 다음 IPFD는 정보를 웹 필터링 프로세스(url-filterd)에 공유합니다. 웹 필터링 프로세스는 파일 내용을 읽고 그에 따라 필터를 구성합니다.

웹 필터링(URL 필터링) - 개요

웹 필터링 프로세스는 IPFD에서 가져온 파일 내용을 읽고 그에 따라 패킷 포워딩 엔진의 필터를 구성합니다. 웹 필터링 프로세스는 차단된 IP 주소로 향하는 패킷을 차단하고 인시던트 보고를 위한 로그를 생성하도록 패킷 포워딩 엔진의 필터를 프로그래밍하여 명령 및 제어 피드를 시행합니다.

그림 5 는 IPFD에서 C&C 피드를 가져온 다음 웹 필터링 프로세스에서 처리하는 방법을 보여줍니다.

그림 5: 웹 필터링

웹 필터 프로필에는 둘 이상의 템플릿이 있을 수 있습니다. 각 템플릿은 웹 필터링을 위해 구성된 논리적 인터페이스 집합과 하나 이상의 용어로 구성됩니다. 용어는 일치 기준이 충족될 경우 수행할 작업이 포함된 일치 기준 집합입니다. 동적으로 가져오는 C&C 피드를 사용하도록 웹 필터 프로필을 구성하기 위해 계층 수준에서 [edit services web-filter profile profile-name 명령을 구성할 security-intelligence-policy 수 있습니다. 기반 웹 필터 프로필에 대한 security-intelligence-policy 용어를 구성할 필요가 없습니다.

계층 수준에서 웹 필터 프로필에 대해 다음과 같은 위협 수준 작업을 구성할 수 있습니다.edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action

• drop

• drop-and-log

• log

각 threat level에 대해 하나 threat-action 만 구성할 수 있습니다. 이 threat-action 특정 threat level에 대해 구성되지 않은 경우 기본값 threat-action 은 accept입니다.

Junos OS 릴리스 24.4R1부터 작업으로 log 구성된 위협의 경우 위협 수준 및 테넌트 또는 VRF 정보가 나가는 syslog에 포함됩니다. 서비스 등급 정책 맵은 위협 수준을 저장하고 나타내는 새로운 user-attribute integer 키워드로 향상되었습니다.

계층에서 구성할 user-attribute integer 수 있습니다.[editi class-of-service policy-map policy-name]

정책 맵은 각 위협 수준 구성에서 참조되어 새로운 사용자 속성<>을 dfw 필터 용어에 매핑하여 각 위협 수준에 대해 구성된 작업을 구동합니다. 정책 맵은 위협 수준을 사용자 속성에 매핑하기 위해 계층 또는 [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy threat level integer policy-map policy-name] 계층에서 [edit services web-filter profile profile-name security-intelligence-policy threat level integer policy-map policy-name] 사용됩니다.

예를 들어

FPC와 샘플링 인스턴스 연결

정의된 인스턴스를 특정 FPC, MPC 또는 DPC와 연결하려면 다음 예와 같이 계층 수준에서 [edit chassis fpc number] 문을 포함 sampling-instance 합니다.

샘플링 인스턴스를 구성하고 템플릿을 샘플링 인스턴스와 연결합니다.

인라인 플로우 모니터링을 위한 템플릿 속성을 구성하기 위해 다음 예와 같이 계층 수준에서 edit services flow-monitoring 다음 문을 포함합니다.

샘플 인스턴스를 구성하고 플로우 서버 IP 주소 및 기타 매개 변수를 연결합니다.

샘플링 인스턴스를 구성하고 플로우 서버 IP 주소 및 기타 매개 변수를 연결합니다. 다음 예와 같이 계층에 [edit forwarding-options] 다음 문을 포함합니다.

예: 다른 위협 수준을 정의하기 위한 웹 필터 프로필 구성

개요

GeoIP 피드는 기본적으로 IP 주소와 국가 코드 매핑 목록입니다. Junos OS 21.4R1부터 MX 시리즈 라우터에서 IP 기반 지리적 위치를 구성하여 Policy Enforcer에서 GeoIP 피드를 가져올 수 있습니다. GeoIP 피드를 배포하면 네트워크가 디바이스가 특정 국가에 속한 IP 주소와 통신하지 못하도록 할 수 있습니다.

MX 시리즈 라우터에서 보안 인텔리전스 프로세스(IPFD)를 구성하여 Policy Enforcer에서 GeoIP 피드를 가져올 수 있습니다. 기존 C&C IP 또는 IPv6 피드와 마찬가지로 IPFD는 Policy Enforcer에서 GeoIP 피드를 다운로드합니다. IPFD는 이후에 웹 필터링 프로세스(url-filterd)에서 처리되는 파일 형식으로 피드를 변환합니다.

Junos OS 22.1R1부터 MX 시리즈 라우터에서 보안 인텔리전스 프로세스(IPFD)를 구성하여 주니퍼 ATP 클라우드에서 GeoIP 피드를 가져올 수 있습니다. 기존 C&C IP 또는 IPv6 피드와 마찬가지로 IPFD는 주니퍼 ATP 클라우드에서 GeoIP 피드를 다운로드합니다.

MX 시리즈 라우터에서 GeoIP 필터링을 구성하는 방법

IPFD에서 가져온 정보는 /var/db/url-filterd 위치에 생성된 파일(urlf_si_geoip_db.txt)에 저장됩니다.

IPFD가 웹 필터링 프로세스로 보내는 파일의 형식은 다음과 같습니다.

IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num. Gen-num은 항상 0입니다. VRF-name 국가 코드를 나타냅니다.

예를 들어 178.10.19.22,12,255,US,0입니다.

IPFD와 웹 필터링 프로세스는 GeoIP 피드가 포함된 파일의 생성 또는 업데이트를 통신하기 위한 pconn 연결을 유지합니다. 웹 필터링 프로세스는 차단된 국가로 향하는 패킷을 차단하도록 PFE의 필터를 프로그래밍하여 GeoIP 피드를 적용합니다. liburlf에서 제공하는 API는 파일의 유효성을 검사하고 구문 분석하는 데 사용됩니다.

웹 필터링 프로세스는 IP 주소 목록이 포함된 파일을 읽고 PFE 필터는 피드에 나열된 대상 IP 주소와 관련 국가에 대해 구성된 작업으로 프로그래밍됩니다.

• 전역 필터 - 국가는 프로필 내의 전역 규칙에 따라 구성됩니다. 해당 글로벌 규칙과 관련된 국가의 모든 IP 주소는 단일 필터에 프로그래밍되고 프로필의 모든 템플릿에 적용됩니다. 계층에서 [edit services web-filter profile profile-name security-intelligence-policy] 구성 geo-ip rule match country country-name 하여 GeoIP 피드를 동적으로 가져오도록 프로필을 구성할 수 있습니다.

• 그룹 필터- 국가 그룹은 템플릿 아래에 구성됩니다. 그룹의 국가와 관련된 모든 IP 주소는 해당 그룹이 구성된 템플릿에 적용되는 그룹 필터에 프로그래밍됩니다. 그룹은 liburlf에 의해 구문 분석되는 json 파일에 정의된 국가 목록입니다.

  그룹 필터를 구성하려면 group.json 파일에 그룹 매핑이 포함된 /var/db/url-filterd 위치에 json 파일을 구성해야 합니다.

  json 파일의 형식은 다음과 같습니다.

  [

  {

  "group_name" : "group1",

  "country" : ["ZA","YE"]

  },

  {

  "group_name" : "group2",

  "country" : ["YT"]

  }

  ]

  GeoIP 피드를 동적으로 가져오려면 단일 프로필을 사용하여 글로벌 필터를 구성하거나 템플릿을 사용하여 여러 그룹 필터를 구성할 수 있습니다. 두 구성을 함께 지원하지는 않습니다.

  json 파일에서 생성된 그룹은 계층에 [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name] 정의된 GeoIP 일치 절에서 참조됩니다.

자체 허용 목록과 차단 목록을 추가하여 IP 피드를 사용자 지정하도록 선택할 수 있습니다. 이는 보안 운영 센터에 사용자 지정된 인텔리전스 피드를 관리하거나 오탐에 대한 임시 조치로 유용할 수 있습니다. Junos OS 릴리스 21.4R1부터는 CLI 또는 파일을 통해 구성에 따라 특정 IP 주소를 허용하거나 차단할 수 있습니다. 허용 목록에 대한 별도의 목록과 차단 목록에 대한 별도의 목록을 구성하거나 파일에 IP 주소를 포함하고 CLI 구성에 파일 이름을 포함할 수 있습니다.

계층에서 을 생성할 IP-address-list 수 있습니다. [edit services web-filter] 여기에는 IP-address-list 허용하거나 차단해야 하는 IP 주소 목록이 포함되어 있습니다. /var/db/url-filterd 위치에서 허용하거나 차단해야 하는 IP 주소가 포함된 파일을 만들 수도 있습니다. 파일 또는 IP 주소 목록의 일부로 구성된 IP 주소는 모든 템플릿에 첨부되는 글로벌 필터의 일부로 프로그래밍됩니다.

계층에서 edit services web-filter profile profile-name security-intelligence-policy 구성 white-list (IP-address-list | file-name) 하여 전역 허용 목록을 정의할 수 있습니다. 계층에서 구성 black-list (IP-address-list | file-name) 하여 글로벌 차단 목록을 정의할 수 있습니다.edit services web-filter profile profile-name security-intelligence-policy 여기서 IP-address-list은(는) 계층에 지정된 IP 주소 목록의 이름을 나타냅니다.[edit services web-filter] 은 file-name 허용하거나 차단해야 하는 IP 주소 목록이 포함된 파일 이름을 나타냅니다. 파일은 /var/db/url-filterd 위치에 있어야 하며 구성과 동일한 이름을 가져야 합니다.

전역 허용 목록 파일의 형식은 다음과 같습니다.

전역 차단 목록 파일의 형식은 다음과 같습니다.

웹 필터링 프로세스는 전역 허용 목록 또는 전역 차단 목록 IP 주소 목록을 구문 분석하고 구성된 IP 주소로 암시적 필터 용어를 프로그래밍하여 패킷을 허용하거나 차단합니다.