예제- IoT 디바이스 검색 및 정책 적용 구성
요약 이 예에서는 IoT 디바이스 검색 및 보안 정책 적용을 위해 보안 디바이스를 구성합니다.
개요
네트워크에서 IoT 디바이스 검색을 시작하려면 주니퍼 ATP 클라우드에 연결된 보안 디바이스만 있으면 됩니다. 그림 1 은 이 예에서 사용된 토폴로지입니다.
토폴로지에 표시된 것처럼, 네트워크에는 무선 액세스 포인트(AP)를 통해 SRX 시리즈 디바이스에 연결된 일부 IoT 디바이스가 포함됩니다. 보안 디바이스는 주니퍼 클라우드 ATP 서버 및 호스트 디바이스에 연결됩니다.
보안 디바이스는 IoT 디바이스 메타데이터를 수집하고 관련 정보를 주니퍼 ATP 클라우드로 스트리밍합니다. IoT 메타데이터의 스트리밍을 활성화하려면 보안 메타데이터 스트리밍 정책을 생성하고 이러한 정책을 보안 정책에 첨부해야 합니다. 주니퍼 클라우드 서버에 IoT 디바이스를 분류하기에 충분한 세부 정보가 있으면 IoT 디바이스 트래픽 스트리밍이 자동으로 일시 중지됩니다.
주니퍼 ATP 클라우드는 IoT 디바이스를 검색하고 분류합니다. 발견된 IoT 디바이스의 인벤토리를 사용하면 동적 주소 그룹의 형태로 위협 피드를 생성할 수 있습니다. 보안 디바이스가 동적 주소 그룹을 다운로드하면 동적 주소 그룹을 사용하여 IoT 트래픽에 대한 보안 정책을 생성하고 적용할 수 있습니다.
표 1 과 표 2 는 이 예에서 사용되는 매개변수의 세부 정보를 제공합니다.
존 | 인터페이스 연결 | |
---|---|---|
신뢰 | ge-0/0/2.0 | 클라이언트 디바이스 |
신뢰할 수 없는 | ge-0/0/4.0 및 ge-0/0/3.0 | IoT 트래픽 관리를 위한 액세스 포인트 |
클라우드 | ge-0/0/1.0 | 인터넷(주니퍼 ATP 클라우드에 연결) |
정책 | 유형 | 애플리케이션 |
---|---|---|
P1 | 보안 정책 | 트러스트 존에서 신뢰할 수 없는 영역으로 트래픽 허용 |
P2 | 보안 정책 | 신뢰할 수 없는 존에서 트러스트 존으로 트래픽 허용 |
P3 | 보안 정책 | 트러스트 존에서 클라우드 존으로 트래픽 허용 |
p1 | 메타데이터 스트리밍 정책 | 신뢰할 수 없는 존을 스트리밍하여 존 트래픽 메타데이터를 신뢰합니다. |
p2 | 메타데이터 스트리밍 정책 | 트러스트 존을 clod 존 트래픽 메타데이터로 스트리밍 |
Unwanted_Applications | 글로벌 보안 정책 | 글로벌 컨텍스트에서 위협 피드 및 보안 정책을 기반으로 IoT 트래픽 방지 |
요구 사항
- SRX 시리즈 디바이스 또는 NFX 시리즈 디바이스
- Junos OS 릴리스 22.1R1 이상
- 주니퍼 ATP(Advanced Threat Prevention) 클라우드 계정. 주니퍼 ATP(Advanced Threat Prevention) 클라우드 계정 등록을 참조하십시오.
Junos OS 릴리스 22.1R1과 함께 vSRX 인스턴스를 사용하여 구성을 검증하고 테스트했습니다.
구성
주니퍼 ATP 클라우드로 작동할 수 있는 SRX 시리즈 디바이스를 준비하십시오.
주니퍼 ATP 클라우드 웹 포털과 통신하려면 SRX 시리즈 디바이스를 구성해야 합니다. SRX 시리즈 디바이스가 인터넷에 연결되어 있는지 확인합니다. SRX 시리즈 디바이스를 인터넷에 설정하기 위해 다음 초기 구성을 완료해야 합니다.
- 인터페이스를 구성합니다. 이 예에서는 인터페이스 ge-0/0/1.0을 SRX 시리즈 디바이스의 인터넷 대면 인터페이스로 사용하고 있습니다.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.50.50.1/24
- 보안 존에 인터페이스를 추가합니다.
[edit] user@host# set security zones security-zone cloud interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security zones security-zone cloud interfaces ge-0/0/1.0 host-inbound-traffic protocols all
- DNS를 구성합니다.
[edit] user@host# set groups global system name-server 172.16.1.1
- NTP를 구성합니다.
[edit] user@host# set groups global system processes ntp enable user@host# set groups global system ntp boot-server 192.168.1.20 user@host# set groups global system ntp server 192.168.1.20
SRX 시리즈가 ge-0/0/1.0 인터페이스를 통해 인터넷에 도달하면 다음 단계로 진행하십시오.
- 필수 라이선스 및 애플리케이션 서명 패키지 확인
- 주니퍼 ATP 클라우드로 보안 디바이스 등록
- IoT 트래픽 스트리밍 설정 구성
- SRX 시리즈 디바이스 구성
- ATP 클라우드에서 발견된 IOT 디바이스 보기
- 위협 피드 생성
- 능동형 위협 프로파일링 피드를 사용하여 보안 정책 생성
- 결과
필수 라이선스 및 애플리케이션 서명 패키지 확인
- 적절한 주니퍼 ATP 클라우드 라이선스가 있는지 확인합니다.
show system license
명령을 사용하여 라이선스 상태를 확인합니다.user@host> show system license License identifier: JUNOS123456 License version: 4 Software Serial Number: 1234567890 Customer ID: JuniperTest Features: Sky ATP - Sky ATP: Cloud Based Advanced Threat Prevention on SRX firewalls date-based, 2016-07-19 17:00:00 PDT - 2016-07-30 17:00:00 PDT
- 보안 디바이스에 최신 애플리케이션 서명 팩이 있는지 확인합니다.
- 장비에 애플리케이션 식별 라이선스가 설치되어 있는지 확인합니다.
user@host> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 1 3 permanent License identifier: JUNOSXXXXXX License version: 2 Valid for device: AA4XXXX005 Features: appid-sig - APPID Signatur
- 애플리케이션 서명 팩의 최신 버전을 다운로드하십시오.
user@host> request services application-identification download
- 다운로드 상태를 확인합니다.
user@host> request services application-identification download status Downloading application package 3475 succeeded.
- 애플리케이션 식별 서명 팩을 설치합니다.
user@host> request services application-identification install
- 설치된 애플리케이션 서명 팩 버전을 확인합니다.
user@host> show services application-identification version Application package version: 3418 Release date: Tue Sep 14 14:40:55 2021 UTC
- 장비에 애플리케이션 식별 라이선스가 설치되어 있는지 확인합니다.
주니퍼 ATP 클라우드로 보안 디바이스 등록
먼저 주니퍼 ATP 클라우드로 보안 디바이스를 등록할 수 있습니다. 디바이스를 이미 등록한 경우 이 단계를 건너뛰고 직접 IoT 트래픽 스트리밍 설정 구성으로 이동할 수 있습니다. 그렇지 않은 경우 디바이스 등록을 위해 다음 방법 중 하나를 사용하십시오.
방법 1: CLI를 사용하여 보안 장비 등록
- SRX 시리즈 디바이스에서 다음 명령을 실행하여 등록 프로세스를 시작합니다.
user@host> request services advanced-anti-malware enroll Please select geographical region from the list: 1. North America 2. European Region 3. Canada 4. Asia Pacific Your choice: 1
- 기존 영역을 선택하거나 새 영역을 만듭니다.
Enroll SRX to: 1. A new SkyATP security realm (you will be required to create it first) 2. An existing SkyATP security realm
영역을 생성하려면 옵션 1을 선택합니다. 다음 단계를 수행합니다.
-
You are going to create a new Sky ATP realm, please provide the required information:
-
Please enter a realm name (This should be a name that is meaningful to your organization. A realm name can only contain alphanumeric characters and the dash symbol. Once a realm is created, it cannot be changed): Real name: example-company-a
-
Please enter your company name: Company name: Example Company A
-
Please enter your e-mail address. This will be your username for your Sky ATP account: Email: me@example-company-a.com
-
Please setup a password for your new Sky ATP account (It must be at least 8 characters long and include both uppercase and lowercase letters, at least one number, at least one special character): Password: ********** Verify: **********
-
Please review the information you have provided: Region: North America New Realm: example-company-a Company name: Example Company A Email: me@example-company-a.com
-
Create a new realm with the above information? [yes,no] yes Device enrolled successfully!
또한 주니퍼 ATP 클라우드에 SRX 시리즈를 등록할 때 기존 영역을 사용할 수도 있습니다.
-
show services advanced-anti-malware
상태 CLI 명령을 사용하여 SRX 시리즈 디바이스가 클라우드 서버에 연결되어 있는지 확인합니다.root@idpreg-iot-v2# run show services advanced-anti-malware dynamic-filter status Feb 09 18:36:46 Dynamic Filter Server Connection Status: Server Hostname: srxapi.us-west-2.sky.junipersecurity.net Server Port: 443 Proxy Hostname: None Proxy Port: None Control Plane Connection Status: Connected Last Successful Connect: 2022-02-09 18:36:07 PST Pkts Sent: 2 Pkts Received: 6
방법 2: 주니퍼 ATP 클라우드 웹 포털에 보안 장비 등록
Junos OS 운영(op) 스크립트를 사용하여 SRX 시리즈 디바이스를 구성하여 주니퍼 ATP(Advanced Threat Prevention) 클라우드 서비스에 연결할 수 있습니다.
- 주니퍼 ATP 클라우드 웹 포털에서 Devices 페이지의 등록 버튼을 클릭합니다.
- 클립보드에 명령을 복사하고 OK를 클릭합니다.
- 운영 모드에서 SRX 시리즈 디바이스의 Junos OS CLI에 명령을 붙여 넣습니다.
show services advanced-anti-malware
상태 명령을 사용하여 SRX 시리즈 디바이스에서 클라우드 서버에 대한 연결이 이루어지는지 확인합니다. 다음 샘플의 서버 호스트 이름은 예시에만 해당됩니다.user@host> show services advanced-anti-malware status
Server connection status: Server hostname: srxapi.us-west-2.sky.junipersecurity.net Server realm: qatest Server port: 443 Proxy hostname: None Proxy port: None Control Plane: Connection time: 2022-02-15 21:31:03 PST Connection status: Connected Service Plane: fpc0 Connection active number: 18 Connection retry statistics: 48샘플에서 연결 상태는 클라우드 서버가 보안 디바이스에 연결되어 있음을 나타냅니다.
- 또한 주니퍼 ATP 클라우드 포털에서 등록된 디바이스를 볼 수 있습니다. 디바이스 > 모든 디바이스 페이지로 이동합니다. 페이지에 등록된 모든 디바이스가 나열됩니다.
IoT 트래픽 스트리밍 설정 구성
이 절차에서는 메타데이터 스트리밍 정책을 생성하고 보안 디바이스에서 보안 서비스를 활성화합니다.
- 완전한 클라우드 연결 구성.
[edit] user@host# set services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml user@host# set services security-intelligence authentication tls-profile aamw-ssl
-
보안 메타데이터 스트리밍 정책을 생성합니다.
[edit] user@host# set services security-metadata-streaming policy p1 dynamic-filter user@host# set services security-metadata-streaming policy p2 dynamic-filter
나중에 이러한 보안 메타데이터 스트리밍 정책을 보안 정책에 첨부하여 세션에 대한 IoT 트래픽 스트리밍을 활성화합니다.
- 애플리케이션 추적, 애플리케이션 식별 및 PKI와 같은 보안 서비스를 지원합니다.
[edit] user@host# set services application-identification user@host# set security pki user@host# set security application-tracking
SRX 시리즈 디바이스 구성
이 절차를 사용하여 인터페이스, 존, 정책을 구성하면 보안 디바이스에서 IoT 패킷 필터링 및 스트리밍 서비스를 사용할 수 있습니다.
-
인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-0/0/2 mtu 9092 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.60.60.1/24 user@host# set interfaces ge-0/0/3 mtu 9092 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.70.70.1/24 user@host# set interfaces ge-0/0/4 mtu 9092 user@host# set interfaces ge-0/0/4 unit 0 family inet address 10.80.80.1/24
-
보안 존을 구성하고 각 구성된 존에 대한 애플리케이션 트래픽을 활성화합니다.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols all user@host# set security zones security-zone trust application-tracking user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/3.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust application-tracking user@host# set security zones security-zone cloud application-tracking
토폴로지에서와 같이 언트러스트 존은 네트워크 내 IOT 장치로부터 전송 및 호스트 바운드 트래픽을 수신합니다. 클라이언트 디바이스는 트러스트 존에 있고 주니퍼 ATP 클라우드는 클라우드 존에 있습니다.
-
보안 정책 P1을 구성합니다.
[edit] user@host# set security policies from-zone trust to-zone untrust policy P1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy P1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy P1 match application any user@host# set security policies from-zone trust to-zone untrust policy P1 then permit
이 구성을 통해 트러스트 존에서 신뢰할 수 없는 영역으로 트래픽을 허용할 수 있습니다.
-
보안 정책 P2를 구성합니다.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P2 match source-address any user@host# set security policies from-zone untrust to-zone trust policy P2 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy P2 match application any user@host# set security policies from-zone untrust to-zone trust policy P2 then permit user@host# set security policies from-zone untrust to-zone trust application-services security-metadata-streaming-policy p1
이 구성은 언트러스트 존에서 트러스트 존으로의 트래픽을 허용하고 보안 메타데이터 스트리밍 정책 p1을 적용하여 세션에 대한 IoT 트래픽 스트리밍을 지원합니다.
-
보안 정책 P3을 구성합니다.
[edit] user@host# set security policies from-zone trust to-zone cloud policy P3 match source-address any user@host# set security policies from-zone trust to-zone cloud policy P3 match destination-address any user@host# set security policies from-zone trust to-zone cloud policy P3 match application any user@host# set security policies from-zone trust to-zone cloud policy P3 then permit user@host# set security policies from-zone trust to-zone cloud application-services security-metadata-streaming-policy p2
이 구성은 트러스트 존에서 클라우드 존으로의 트래픽을 허용하고 보안 메타데이터 스트리밍 정책 p2를 적용하여 세션에 대한 IoT 트래픽 스트리밍을 지원합니다.
- 구성을 커밋합니다.
[edit] user@host# commit
주니퍼 ATP 클라우드 포털에서 발견된 모든 IoT 디바이스를 확인할 수 있습니다.
ATP 클라우드에서 발견된 IOT 디바이스 보기
주니퍼 ATP 클라우드 포털에서 발견된 IoT 디바이스를 보려면 Minotor > IoT 디바이스 페이지를 탐색하십시오.
디바이스 범주, 제조업체, 운영 체제 유형에 따라 IoT 디바이스를 클릭하고 필터링할 수 있습니다.
페이지에는 IP 주소, 유형, 제조업체, 모델 등과 같은 세부 정보가 포함된 IoT 디바이스가 나열됩니다. 이러한 세부 정보를 사용하여 위협 피드를 모니터링하고 생성하여 보안 정책을 적용할 수 있습니다.
위협 피드 생성
주니퍼 ATP 클라우드가 IoT 디바이스를 식별하면 위협 피드를 만들 수 있습니다. 보안 디바이스가 동적 주소 그룹 형태로 위협 피드를 다운로드하면 피드 보안 정책을 사용하여 이러한 IoT 디바이스의 인바운드 및 아웃바운드 트래픽에 대한 적용 조치를 취할 수 있습니다.
- Minotor > IoT 디바이스 페이지로 가서 피드 만들기 옵션을 클릭합니다.
-
더하기 기호(+)를 클릭합니다. 새 피드 추가 페이지가 나타납니다.
이 예에서는 피드 이름 android_phone_user 7일 간의 TTL(Time-to-Live)과 함께 사용합니다.
-
피드 이름:
위협 피드에 고유한 이름을 입력합니다. 피드 이름은 알파 숫자 문자로 시작해야 하며 문자, 숫자 및 밑판이 포함될 수 있습니다. 공간은 허용되지 않습니다. 길이는 8~63자입니다.
-
형식: 피드의 컨텐츠 유형을 IP로 선택합니다.
-
데이터 소스: 피드를 IOT로 만들기 위한 데이터 소스를 선택합니다.
-
삶의 시간: 필수 피드 입력이 활성 상태여야 하는 일수를 입력합니다. 피드 항목이 라이브 시간(TTL) 값을 넘은 후 피드 항목이 자동으로 제거됩니다. 사용 가능한 범위는 1~365일입니다.
-
- OK를 클릭하여 변경 사항을 저장합니다.
- 능동형 위협 프로파일링 > 구성으로 이동합니다. 페이지에는 생성된 모든 위협 피드가 표시됩니다. 페이지에서 위협 피드 android_phone_user 볼 수 있습니다.
위협 피드를 클릭하여 위협 피드에 포함된 IP 주소를 표시합니다.
- 보안 디바이스에서 피드를 다운로드했는지 확인합니다. 다운로드는 정기적으로 자동으로 수행되지만 몇 분이 걸릴 수 있습니다.
user@host> show services security-intelligence sec-profiling-feed status Category name :SecProfiling Feed name :Android_Phone_User Feed type :IP Last post time :N/A Last post status code:N/A Last post status :N/A Feed name :IT_feed Feed type :IP Last post time :N/A Last post status code:N/A Last post status :N/A Feed name :High_Risk_Users Feed type :IP Last post time :N/A Last post status code:N/A Last post status :N/A
다음 명령을 사용하여 위협 피드를 수동으로 다운로드할 수 있습니다.
request services security-intelligence download status ||match android_phone_user
계속하여 다운로드된 위협 피드를 사용하여 보안 정책을 생성할 수 있습니다.
능동형 위협 프로파일링 피드를 사용하여 보안 정책 생성
보안 장비가 위협 피드를 다운로드하면 보안 정책에서 동적 주소 그룹으로 참조할 수 있습니다. 동적 주소는 특정 도메인에 속하는 IoT 디바이스의 IP 주소 그룹입니다.
이 예에서는 Android 휴대폰에서 트래픽을 감지하고 트래픽을 차단하는 정책을 만듭니다.
- 보안 정책 일치 기준을 정의합니다.
[edit] user@host# set security policies global policy Block_Android_Traffic match source-address android_phone_user user@host# set security policies global policy Block_Android_Traffic match destination-address any user@host# set security policies global policy Block_Android_Traffic match application any
- 보안 정책 조치를 정의합니다.
[edit] user@host# set security policies global policy Block_Android_Traffic then deny
이 예에서는 구성을 커밋할 때 보안 디바이스가 특정 도메인에 속하는 IoT 디바이스의 HTTP 트래픽을 차단합니다.
자세한 내용은 Adaptive Threat Profiling 구성을 참조하십시오.
결과
구성 모드에서 show 보안 명령을 입력하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security policies from-zone trust to-zone untrust { policy P1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy P2 { match { source-address any; destination-address any; application any; } then { permit; } } application-services { security-metadata-streaming-policy p1; } } from-zone trust to-zone cloud { policy P3 { match { source-address any; destination-address any; application any; } then { permit; } } application-services { security-metadata-streaming-policy p2; } }
user@host# show security policies global policy Block_Android_Traffic { match { source-address android_phone_user; destination-address any; application any; } then { deny; } }
보안 존을 확인합니다.
[edit] user@host# show security zones security-zone trust { interfaces { ge-0/0/2.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } application-tracking; } security-zone untrust { interfaces { ge-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } ge-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } application-tracking; } security-zone cloud { interfaces { ge-0/0/0.1 { host-inbound-traffic { system-services { all; } protocols { all; } } } } application-tracking; }
show services
[edit] user@host# show services advanced-anti-malware { dynamic-filter { traceoptions { file dyn-filterd-log size 1g world-readable; level all; flag all; } } connection { url https://srxapi.us-west-2.sky.junipersecurity.net; authentication { tls-profile aamw-ssl; } } } ssl { initiation { profile aamw-ssl { trusted-ca [ aamw-secintel-ca aamw-cloud-ca ]; client-certificate aamw-srx-cert; actions { crl { disable; } } } } } security-metadata-streaming { policy p1 { dynamic-filter; } policy p2 { dynamic-filter; } } security-intelligence { url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml; authentication { tls-profile aamw-ssl; } }
디바이스에서 기능 구성을 완료한 경우 구성 모드에서 커밋을 입력합니다.
확인
피드 요약 및 상태 확인
목적: 보안 장비가 동적 주소 그룹의 형태로 IP 주소 피드를 수신하고 있는지 확인합니다.
작업: 다음 명령을 실행합니다.
user@host> show services advanced-anti-malware dynamic-filter status Dynamic Filter Server Connection Status: Server Hostname: srxapi.us-west-2.sky.junipersecurity.net Server Port: 443 Proxy Hostname: None Proxy Port: None Control Plane Connection Status: Connected Last Successful Connect: 2022-02-12 09:51:50 PST Pkts Sent: 3 Pkts Received: 42
의미 출력은 연결 상태와 주니퍼 ATP 클라우드 서버의 기타 세부 정보를 표시합니다.