MX 시리즈 라우터에 대한 SecIntel 피드 구성
개요
SecIntel은 주니퍼 ATP 클라우드에서 MX 시리즈 라우팅 플랫폼에 이르기까지 세심하게 선별되고 검증된 위협 인텔리전스를 제공하여 탁월한 회선 속도로 악성 IP와 주고받는 명령 및 제어 통신을 차단합니다.
SecIntel 및 MX 시리즈 라우터 통합으로 다음을 수행할 수 있습니다.
- 알려진 악성 IP, 감염된 C&C 호스트 및 DDoS 공격을 탐지하고 차단합니다.
- 싱크홀 악성 DNS 요청.
- 고객 IP 위협 피드를 활성화합니다.
Junos OS 19.3R1 이상 릴리스부터 SecIntel 피드는 MX240, MX480 및 MX960 라우터에서 Policy Enforcer를 사용하여 지원됩니다.
Junos OS 22.1R1 이상 릴리스부터 MX 디바이스의 SecIntel 피드에는 GeoIP 필터링과 주니퍼 ATP 클라우드에 대한 직접 등록 옵션이 포함됩니다.
주니퍼 ATP 클라우드에 직접 등록은 MX240, MX480 및 MX960 라우터에서 지원됩니다.
자세한 내용은 MX의 Juniper SecIntel을 참조하십시오.
혜택
SecIntel 및 MX 시리즈 라우터 통합으로 다음을 수행할 수 있습니다.
-
공격이 시작되기 전에 차단합니다.
-
가입자를 포함한 사용자, 애플리케이션, 인프라를 손상으로부터 보호합니다.
-
추가 인프라 없이 연결 레이어를 보안 레이어로 전환합니다.
사용 사례 1: 주니퍼 ATP 클라우드에 직접 등록
이전 릴리스에서 MX 시리즈 라우터는 Junos Space Security Director/Policy Enforcer를 통해 SecIntel 피드를 다운로드했습니다. Junos OS 릴리스 22.1R1부터 MX 시리즈 라우터는 주니퍼 ATP 클라우드에 등록하지 않고도 클라우드 피드에서 직접 글로벌 SecIntel 피드를 다운로드할 수 있습니다.
이 사용 사례에서는 Junos Space Security Director 또는 Policy Enforcer에 연결하지 않고 MX 시리즈 라우터를 주니퍼 ATP 클라우드에 등록하는 방법을 살펴보겠습니다.
토폴로지
필수 구성 요소
- MX 시리즈용 주니퍼 SecIntel 라이선스( -S-MXxxx-CSECINTELx).
워크플로
-
주니퍼로부터 MX 시리즈 라우터에 대한 SecIntel 라이선스를 받으십시오. 소프트웨어 일련 번호(SSRN)가 필요합니다.
-
MX 시리즈 라우터를 주니퍼 ATP 클라우드에 등록합니다.
-
주니퍼 ATP 클라우드에서 피드를 확인합니다.
-
필터링 구성을 구현하여 다운로드한 피드를 적용합니다.
MX 시리즈 라우터에 필요한 구성
- 등록 스크립트
- 필터 구성
미국 지역 cloudfeed 엔드포인트만 구성할 수 있습니다. 모든 MX cloudfeed 요청은 미국 지역 CF에서만 제공됩니다.
소프트웨어 지원 참조 번호(SSRN)는 주니퍼 소프트웨어 라이선스 구매 후 전자적으로 배송되는 이행 문서에 제공된 소프트웨어 일련 번호입니다.
소프트웨어에 대한 라이센스가 이미 설치된 경우 명령을 실행하여 SSRN(소프트웨어 지원 참조 번호)을 show system license 얻을 수 있습니다. SSRN은 JUNOS에 나열된 '소프트웨어 일련 번호'의 처음 12자리 숫자로 포함되어 있습니다.
일부 제품은 SSRN을 아래 형식으로 보고하여 구매한 각 소프트웨어 인스턴스에 대한 고유 식별자를 생성합니다. 이 시나리오에서는 접미사 문자를 제거하여 실제 숫자 SSRN이 지원 자격으로 사용됩니다.
> show system license Software Serial Number: XXXXXXXXXXXX-abcdef Support Reference Number: XXXXXXXXXXXX
클라우드 피드에서 피드를 수신하려면 먼저 MX 시리즈 라우터를 주니퍼 ATP 클라우드에 등록하십시오. 등록할 샘플 명령은 다음과 같습니다.
rootuser> op url https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/enroll/secintel/mx/mx-secintel.slax version 21.3XYZ is valid for bootstrapping. Please provide the Juniper SecIntel license SSRN or press 0 to cancel Secintel license SSRN: XXXXXXXXXXXXXXXX
MX 시리즈 라우터에서 SecIntel 구성을 제거하려면 디바이스 등록을 취소해야 합니다. 등록을 취소하는 샘플 명령은 다음과 같습니다.
rootuser> op url https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/disenroll/secintel/mx/mx-secintel.slaxversion 21.3XYZ is valid for bootstrapping. Please provide the activation code or press 0 to cancel SSRN: XXXXXXXXXXXXXXXX
MX 시리즈 라우터에서 사용할 수 있는 글로벌 SecIntel 피드는 다음과 같습니다.
- cc_ip_data
- cc_ipv6_data
- cc_ip_blocklist
- geoip_country
- geoip_country_ipv6
혜택
- Junos Space SD 또는 PE를 사용하여 복잡한 설정이 필요하지 않습니다.
- 다운로드한 피드를 적용하기 위한 간단한 구성.
사용 사례 2: Junos Space Security Director 및 Policy Enforcer를 사용하여 주니퍼 ATP 클라우드에 등록.
이 사용 사례에서는 Junos Space Security Director 및 Policy Enforcer를 사용하여 MX 시리즈 라우터를 주니퍼 ATP 클라우드에 등록하는 방법을 살펴보겠습니다.
토폴로지
워크플로
- Junos Space Security Director 및 Policy Enforcer 구성.
- Junos Space에서 MX 시리즈 라우터 검색이 Threat Protection Fabric에 디바이스로 추가됨(MX 시리즈 라우터를 Policy Enforcer에 등록하는 프로세스입니다).
- 라이선스 요구 사항(주니퍼 영업/고객팀에 문의).
MX 시리즈 라우터 및 SD/PE에 필요한 구성
- SD의 커스텀 피드 구성.
- MX 시리즈 라우터에서 피드가 적용되는 방식 이해
- MX 시리즈 라우터의 필터 구성.
혜택
- 피드는 서비스 프로바이더 라우터의 VRF에서 서비스하는 각 고객에 맞게 사용자 지정할 수 있습니다.
- 모든 위협 완화는 회선 속도로 처리되어 성능을 향상시킵니다.
사용 사례 3: MX 시리즈 라우터에서 command-and-control 트래픽 식별 및 차단
이 사용 사례에서는 연결된 보안 설정의 네트워크 에지에서 C&C 트래픽을 차단하는 방법을 살펴보겠습니다. 여기서 클라이언트는 C & C 서버에 연결하려고 시도하고 MX 라우터는 트래픽을 차단하는 데 사용됩니다.
토폴로지
MX 시리즈 라우터 및 SD/PE에 필요한 구성
-
주니퍼 ATP 클라우드 C&C 피드 및 Security Director와 Policy Enforcer.
-
주니퍼 MX 시리즈 라우터.
워크플로
-
Policy Enforcer는 주니퍼 ATP 클라우드에서 C&C 피드를 다운로드합니다.
-
주니퍼 MX 시리즈 라우터는 Policy Enforcer에서 C&C 피드를 다운로드합니다.
-
주니퍼 MX 시리즈 라우터는 임시 DB 필터에 IP 데이터를 추가합니다.
-
주니퍼 MX 시리즈 라우터는 C&C 피드에 나열된 C&C 서버에서 송수신되는 트래픽을 드롭하여 봇넷 및 멀웨어로부터 보호합니다.
-
주니퍼 MX 시리즈 라우터는 부하가 걸리거나 C&C 피드를 지원할 수 없는 방화벽으로부터 C&C 보호를 오프로드합니다.
구성에 대한 자세한 내용은 MX 데모의 SecIntel을 참조하십시오.