이 페이지 내용

SSR 스포크 디바이스에서 IDP 기반 위협 탐지 구성
IDP 기반 위협 탐지 확인
침입 탐지 및 방지(IDP) 우회 프로파일

Session Smart 라우터에서 침입 탐지 및 방지(IDP) 기반 위협 탐지

애플리케이션 정책에 침입 탐지 및 방지(IDP) 프로파일을 추가하여 네트워크 보안을 강화하려면 다음 단계를 따르십시오.

침입 탐지 및 방지(IDP) 정책을 사용하면 네트워크 트래픽에 다양한 공격 탐지 및 방지 기술을 선택적으로 시행할 수 있습니다. 애플리케이션 정책에서 IDP를 활성화하면 Juniper Mist™ 네트워크에서 스포크 디바이스로 작동하는 주니퍼® 네트웍스 Session Smart™ 라우터에서 IDP를 활성화할 수 있습니다. Session Smart 라우터를 사용하는 침입 탐지 및 방지(IDP)는 로컬 브레이크아웃 트래픽에 유용합니다.

메모: 침입 탐지 및 방지(IDP)는 로컬 브레이크아웃 트래픽에 대해 스포크로 작동하는 Session Smart 라우터에서만 지원됩니다. 침입 탐지 및 방지(IDP)는 허브 디바이스 또는 스포크에서 허브로의 백홀 트래픽에 대해 지원되지 않습니다.

침입 탐지는 네트워크에서 발생하는 이벤트를 모니터링하고 인시던트, 정책 위반 또는 보안 정책에 대한 시급한 위협 요인을 파악하기 위해 분석하는 프로세스입니다. 침입 방지는 침입 탐지를 수행하여 탐지된 인시던트를 차단하는 프로세스입니다. 자세한 내용은 침입 탐지 및 방지 개요를 참조하십시오.

메모:

IDP는 계산이 많은 기능입니다. 정책에서 IDP를 활성화하는 경우 SSR120과 같은 엔트리 레벨 SSR에서 성능 저하가 발생할 수 있습니다.

Session Smart 라우터에서의 침입 탐지 및 방지(IDP) 기반 위협 탐지에 대해서는 다음 동영상을 시청하십시오.

Hey everyone, today I want to show you how easy it is to deploy an AI-driven full-stack branch managed by the Mist Cloud. That is a whole branch network with access points, switches, and routers, all being managed by a single pane of glass, with artificial intelligence to alert you to any issues and easily find the root cause of those issues. In this demo, I will show you how Juniper Network's AI-driven full-stack branch simplifies all operational stages. Day zero design, day one deployment, and day two troubleshooting and maintenance. And also, I will show you how quickly this can be done.

All right, let's jump into it. Day zero design. When we talk about day zero operations, we are talking about all the planning and design that you can do prior to deploying any of the systems. These are the tasks that should be performed to make sure that the actual deployment day goes as smoothly as possible. The tasks you want to perform here are designing your network and staging your configuration. Using the Mist Cloud, you have one interface you can log into to configure all of the access points, switches, and routers in your whole network. You can use configuration templates with site-specific variables, so you only have to create a limited number of configurations for large deployments. I have seen deployments with 10,000 sites that only have six or so different designs. So, what do they do? They create six templates and apply the appropriate templates to the correct sites as they are onboarding. I have also dealt with deployments that have a couple variations between sites. Say, for example, they use different IP address schemes at each site. This is not a problem either because all we have to do is input a variable or placeholder like this, and then when we create the site, we say, for this variable, put in this value. With this technology, we can easily deploy 1,000 sites in minutes.

Once you have your network designed and you have staged your configuration, it is time to prepare for deployment day. Day one deployment. Day one stands for the first day of use for our new devices. This is the most exciting day in my opinion. You have a shiny new device and you just can't wait to pull it out of the box and use it. Unfortunately, a lot of times, this day can be ruined by the actual deployment and installation. Well, that does not have to be the case with Juniper Networks. With the AI-driven full-stack branch, you can easily deploy your network using QR codes or claim codes. First, if you didn't do it as part of your day zero tasks, create a site in the Mist cloud and assign the appropriate templates to that site. Then, just look at the back of your device for a QR code and scan it with an app or grab the claim code and add it to your inventory for that site. If you have a white box switcher router, then just copy a few lines of configuration to get that device speaking to the Mist cloud. Once your device connects up to the Mist cloud, it will see what site it is deployed to and grab the appropriate configuration. Another huge benefit of the configuration templates is that if you need to make any changes to your configuration, all you have to do is make the change in the template and the change will get pushed down to all of the appropriate devices. You no longer need to log into each individual device. With these powerful tools at your disposal, you can have a full site up in minutes. This is what we call true zero-touch provisioning.

Day two, maintenance and troubleshooting. Once you have your site deployed, then it just comes down to your normal day-to-day operations. This is what we call our day two operations. In the Mist ecosystem, we like to break our telemetry down to SLEs or service level experiences. These SLEs give you insight into the health of your network, devices, links and applications. They alert you to any issues impacting the user experience and provide insights into the root cause. The SLEs are impressive and very powerful, giving you experience insights across the network. But even more powerful is your AI virtual network assistant, Marvis. Marvis Actions proactively alert you to high priority issues impacting your network. This Marvis actions page is a great page to start your day off with, a cup of coffee view, so you can know where you need to spend your attention and solve issues before your customers even know. You can also chat with Marvis to ask questions about your network. Say, for example, you're getting complaints about an application not working. You can ask Marvis if the problem is something on your network, with your ISP or on the application itself. This saves hours of investigating to prove where the problem is and reduces your MTTI or mean time to innocence. Security is also managed by Mist and Marvis. Using the IDP and enhanced web filtering features in your SessionSmart routers, you leverage the Juniper IDP signature database, providing state-of-the-art protection against the most up-to-date vulnerabilities. The database contains definitions of attack objects and application signatures defined in the form of an IDP policy rule set that is updated regularly.By automatically downloading the latest definitions and application signatures, the SSR is able to provide cutting-edge security solutions for your network. When discovered, you can either have your router alert you to the vulnerability or block the traffic, giving you the network protection that you need without the need to purchase additional hardware.

Lastly, with all of this data and all of these cool tools, how can you share this information with interested parties and extend Mist into your business intelligence? This can be done with Premium Analytics. Premium Analytics is another tool that you can use to share with any decision maker, help them get the relevant information they need. Whether it's a CIO looking at further network investment, a branch manager looking at user experience, or a facilities management executive looking at real estate optimization and occupancy management. Premium Analytics provides long-term insights into your network with intuitive graphs and charts. So that was a very brief dive into what the Juniper Network AI-driven full-stack SD branch has to offer. To summarize, the AI-driven full-stack SD branch simplifies every stage of operations, design, deployment, maintenance, and troubleshooting, allowing for the best user experience for your network architects, engineers, operations folks, and end users. There is a lot more that you can do with the Mist Cloud and Mist AI than we have time to show you here. If you'd like to try this out for yourself, sign up for a demo or POC. Thank you for watching.

SSR 스포크 디바이스에서 IDP 기반 위협 탐지 구성

Juniper Mist 클라우드는 다음 침입 탐지 및 방지(IDP) 프로필을 지원합니다.

표준 - 표준 프로필은 기본 프로필이며 주니퍼 네트웍스에서 권장하는 침입 탐지 및 방지(IDP) 서명 및 규칙 집합을 나타냅니다. 각 공격 유형 및 심각도에는 주니퍼가 정의한 구성할 수 없는 작업이 있으며, 침입 탐지 및 방지(IDP) 엔진은 공격을 탐지할 때 이를 실행합니다. 가능한 조치는 다음과 같습니다.
- 클라이언트 및 서버 TCP 연결을 닫습니다.
- 현재 패킷과 모든 후속 패킷을 삭제합니다
- 경고만 보냅니다(추가 작업 없음).
경고 - 경고 프로필은 심각도가 낮은 공격에만 적합합니다. 침입 탐지 및 방지(IDP) 엔진이 네트워크에서 악의적인 트래픽을 탐지하면 시스템은 경고를 생성하지만 공격을 방지하기 위한 추가 조치를 취하지는 않습니다. 침입 탐지 및 방지(IDP) 서명 및 규칙은 표준 프로파일과 동일합니다.
Strict—Strict 프로필에는 표준 프로필과 유사한 침입 탐지 및 방지(IDP) 서명 및 규칙 집합이 포함되어 있습니다. 그러나 시스템이 공격을 탐지하면 이 프로필은 네트워크에서 탐지된 모든 악성 트래픽 또는 기타 공격을 능동적으로 차단합니다.

침입 탐지 및 방지(IDP) 프로필을 애플리케이션 정책에 적용할 수 있습니다. 각 프로파일에는 연관된 트래픽 작업이 있으며, 이러한 작업은 서비스 또는 애플리케이션 정책에 규칙 세트를 적용하는 방법을 정의합니다. 침입 탐지 및 방지(IDP) 프로필의 작업은 사전 구성되어 있으며 사용자가 구성할 수 없습니다.

침입 탐지 및 방지(IDP) 기반 위협 탐지 구성 방법:

Juniper Mist 클라우드 포털에서 조직(Organization ) > WAN Edge 템플릿(WAN Edge Templates )을 클릭하고 스포크 디바이스에 대한 템플릿을 선택합니다.
WAN Edge 템플릿(WAN Edge Templates) 페이지에서 애플리케이션 정책(Applications Policies ) 창까지 아래로 스크롤합니다. 창에 기존 응용 프로그램 정책 목록이 표시됩니다.
침입 탐지 및 방지(IDP) 열에서 침입 탐지 및 방지(IDP) 프로필을 선택합니다. 예를 들어 침입 탐지 및 방지(IDP) 프로필 경고를 선택합니다.

그림 1: 침입 탐지 및 방지(IDP) 프로필 구성(경고)
저장을 클릭합니다.

선택한 침입 탐지 및 방지(IDP) 프로필이 모든 스포크 디바이스에 적용됩니다.

메모:

정책 작업을 PERMIT으로 설정해야 합니다. 그렇지 않으면 IDP 설정이 DENY 문을 재정의할 수 있습니다.

IDP 기반 위협 탐지 확인

경고:

스포크 디바이스에서 처음으로 침입 탐지 및 방지(IDP) 기능을 활성화할 때는 유지 관리 기간에 계획하는 것이 좋습니다. IDP 엔진을 시작하고 LAN에서 WAN으로의 경로에 포함(즉, 서비스 체이닝)하는 데 몇 분 정도 걸릴 수 있으며 진행 중인 통신이 중단될 수도 있습니다.

샘플 공격을 시작하여 IDP 기반 보안 스캐너의 효과를 테스트할 수 있습니다. 보안 침투 테스트에 사용할 수 있는 다양한 옵션이 있는 Kali Linux에서 Nikto와 같은 도구를 사용할 수 있습니다.

샌드박스 또는 랩 환경에서 VM(가상 머신) 데스크톱(desktop1)을 사용하고 Nikto와 같은 웹 서버용 간단한 보안 스캐너를 설치합니다. Nikto는 오픈 소스 웹 서버 및 웹 애플리케이션 스캐너입니다. 예를 들어, 랩에 로컬인 강화되지 않은 Apache Tomcat 웹 서버(또는 이와 동등한 서버)에 대해 Nikto를 실행할 수 있습니다. 이 테스트에서는 IDP 검사를 위해 일반 또는 암호화되지 않은 HTTP 요청을 보낼 수 있습니다.

다음 샘플에서는 도구를 설치하고 HTTP 서버의 존재 여부를 확인한 다음 공격을 시작하는 프로세스를 보여 줍니다.

Site > Secure WAN Edge IDP/URL Events(사이트 보안 WAN Edge IDP/URL 이벤트)로 이동하여 생성된 이벤트를 볼 수 있습니다.

그림 2: 보안 WAN 에지 IDP 이벤트 Secure WAN Edge IDP Events

그림 3 은 Session Smart 라우터에서 생성된 침입 탐지 및 방지(IDP) 이벤트를 보여줍니다.

그림 3: 경고 침입 탐지 및 방지(IDP) 프로필에 대해 생성된 침입 탐지 및 방지(IDP) 이벤트 IDP Events Generated for an Alert IDP Profile

이전 예에서는 침입 탐지 및 방지(IDP) 프로필 유형 경고를 사용하여 이벤트에 대해 패시브 로깅을 사용했습니다. 그런 다음 침입 탐지 및 방지(IDP) 프로필 유형 엄격을 사용하여 이벤트를 중지하거나 완화합니다. Strict 프로필을 사용하면 IDP 엔진이 탐지된 공격에 대해 TCP 연결을 닫습니다.

샘플에 표시된 것과 동일한 프로세스를 따를 수 있습니다. 그러나 이번에는 스포크 디바이스 템플릿을 변경하고 그림 4와 같이 IDP 프로필을 Alert에서 Strict로 변경합니다.

그림 4: 침입 탐지 및 방지(IDP) 프로필 구성(엄격한 프로필) IDP Profile Configuration (Strict Profile)

보안 스캐너를 실행합니다. 스캐너는 더 많은 오류와 더 적은 이벤트를 감지하기 때문에 실행하는 데 시간이 더 오래 걸린다는 것을 알 수 있습니다.

그림 5 는 일부 이벤트의 경우 Action( 작업 ) 필드 아래에서 위협을 완화하기 위해 세션을 닫는 작업을 보여 줍니다.

그림 5: 엄격한 침입 탐지 및 방지(IDP) 프로필에 대해 생성된 침입 탐지 및 방지(IDP) 이벤트 IDP Events Generated for Strict IDP Profile

침입 탐지 및 방지(IDP) 우회 프로파일

침입 탐지 및 방지(IDP) 우회는 IPS(침입 방지 시스템) 규칙과 함께 작동하여 불필요한 경보가 생성되는 것을 방지합니다. 특정 대상 또는 공격 유형을 침입 탐지 및 방지(IDP) 규칙과 일치하는 대상에서 제외하려는 경우 침입 탐지 및 방지(IDP) 프로필을 구성합니다. 이를 통해 IDP가 불필요한 경보를 생성하는 것을 방지합니다.

침입 탐지 및 방지(IDP) 프로필에는 각각 여러 우회 규칙이 있는 여러 우회 프로필이 있을 수 있습니다.

침입 탐지 및 방지(IDP) 우회 프로파일 생성:

Juniper Mist 클라우드 포털에서 조직 > WAN > 애플리케이션 정책 > IDP 우회 프로파일을 선택합니다.

이 페이지에 IDP 우회 프로파일 목록(사용 가능한 경우)이 표시됩니다
우회 프로파일 추가를 클릭하여 프로파일을 생성합니다.
우회 프로파일 생성 창에서 다음을 수행합니다.
1. 이름 추가를 클릭합니다. 영숫자, 밑줄 또는 대시를 사용하며 63자를 초과할 수 없습니다.
2. 기본 프로파일을 선택합니다. 지원되는 기본 프로필은 다음과 같습니다.
  - 표준
  - 엄격한
  - 크리티컬만 해당– SRX
  침입 탐지 및 방지(IDP) 우회 프로필을 생성하려면 기본 침입 탐지 및 방지(IDP) 프로필이 필요합니다.
3. 다음을 클릭합니다. 포털에서 IDP 우회 프로필에 대한 규칙을 정의할 수 있는 규칙 페이지가 열립니다.
  그림 6: IDP 우회 프로필 규칙
  - Action(작업) – 연결된 트래픽 작업을 선택합니다. 사용 가능한 옵션은 변경(Alter), 삭제(Drop) 또는 닫기(Close)입니다.
  - 대상 IP – 제외하려는 트래픽 대상의 IP 주소입니다. 채워진 목록에서 하나 이상의 대상 IP 주소를 선택하거나 대상 IP 추가를 클릭하여 대상 IP 주소를 입력할 수 있습니다.
  - Attack Name(공격 이름) – 표시된 목록에서 IDP가 지정된 대상 주소에 대해 제외할 공격을 선택합니다. 또는 Add Attack Name(공격 이름 추가)을 클릭하여 공격을 입력할 수 있습니다. 입력하는 공격은 주니퍼 네트웍스 IPS 서명이 지원하는 유형이어야 합니다.
  - 저장을 클릭합니다.

생성한 규칙이 IDP 우회 프로필 창 아래에 나타납니다. 그런 다음 다음 단계를 사용하여 침입 탐지 및 방지(IDP) 프로필을 적용하는 것과 유사한 애플리케이션 정책에 침입 탐지 및 방지(IDP) 우회 프로필을 적용해야 합니다.

Juniper Mist 클라우드 포털에서 조직(Organization ) > WAN Edge 템플릿(WAN Edge Templates )을 클릭하고 스포크 디바이스에 대한 템플릿을 선택합니다.
침입 탐지 및 방지(IDP) 열 아래에서 침입 탐지 및 방지(IDP) 프로필을 선택합니다. 예를 들어 이전 단계에서 생성한 IDP 우회 프로필을 선택합니다.
그림 7: 애플리케이션 정책 에서 IDP 우회 프로파일 적용
응용 프로그램 정책에서 다른 옵션을 구성한 후 Save(저장 )를 클릭합니다. Session Smart Router에서 애플리케이션 정책 구성의 내용을 참조하십시오.