Información general sobre listas de permitidos y bloqueados
Una lista de permitidos contiene direcciones IP de confianza, hashes, direcciones de correo electrónico y URL conocidas. No es necesario inspeccionar el contenido descargado de ubicaciones de la lista de permitidos en busca de malware. Una lista de bloqueo contiene direcciones IP y URL conocidas que no son de confianza. El acceso a las ubicaciones en la lista de bloqueo está bloqueado y, por lo tanto, no se puede descargar contenido de esos sitios.
Beneficios de las listas de permitidos y las listas bloqueadas
-
Allowlist permite a los usuarios descargar archivos de fuentes que se sabe que son seguras. La lista de permitidos se puede agregar para disminuir los falsos positivos.
-
Las listas de bloqueo impiden que los usuarios descarguen archivos de fuentes que se sabe que son dañinas o sospechosas.
Las listas de permitidos personalizadas o las listas de bloqueo personalizadas le permiten agregar elementos manualmente. Ambos están configurados en el servidor en la nube ATP Cloud de Juniper. El orden de prioridad es el siguiente:
Lista de permitidos personalizada
Lista de bloqueo personalizada
Si una ubicación está en varias listas, gana el primer partido.
Los tipos admitidos de listas de permitidos se enumeran en la tabla 1.
Tipo |
Información |
---|---|
Antimalware |
Dirección IP, URL, hash de archivo y remitente de correo electrónico |
SecIntel |
Dirección IP y dominio de C&C |
ETI |
Dirección IP y nombre de host |
DNS |
Dominios |
Carcasa inversa |
Direcciones IP y dominios de destino |
Dominio hace referencia a un nombre de dominio completo (FQDN).
Los tipos admitidos de listas de bloqueo se enumeran en la tabla 2.
Tipo |
Información |
---|---|
Antimalware |
Dirección IP, URL, hash de archivo y remitente de correo electrónico |
SecIntel |
Dirección IP y dominio de C&C |
-
Para IP y URL, la interfaz de usuario web realiza comprobaciones de sintaxis básicas para asegurarse de que las entradas son válidas.
-
La URL de la fuente de nube para las listas de permitidos y las listas de bloqueo se configura automáticamente cuando ejecuta el script op para configurar el firewall de la serie SRX. Consulte Descargar y ejecutar el script ATP Cloud de Juniper.
-
Un hash es una firma única para un archivo generado por un algoritmo. Puede agregar hashes personalizados de lista de permitidos y listas de bloqueo para filtrar, pero deben aparecer en un archivo de texto con cada entrada en una sola línea. Solo puede tener un archivo en ejecución que contenga hasta 15.000 hashes de archivo. Para obtener más información sobre la carga, consulte Crear listas de permitidos y listas de bloqueo. Tenga en cuenta que las listas hash son ligeramente diferentes de otros tipos de lista, ya que operan en el lado de la nube en lugar del lado del firewall de la serie SRX. Esto significa que el portal web puede mostrar hits en elementos hash.
El firewall de la serie SRX realiza solicitudes aproximadamente cada dos horas para contenido de fuente nuevo y actualizado. Si no hay nada nuevo, no se descargan nuevas actualizaciones.
Utilice el comando de la show security dynamic-address instance advanced-anti-malware
CLI para ver las listas de permitidos y las listas de bloqueo basadas en IP en el firewall de la serie SRX. En este momento, no hay ningún comando de CLI que muestre las listas de permitidos y las listas de bloqueo basadas en dominios o URL.
Ejemplo mostrar instancia de dirección dinámica de seguridad anti-malware avanzado
user@host>show security dynamic-address instance advanced-anti-malware No. IP-start IP-end Feed Address 1 x.x.x.0 x.x.x.10 custom_whitelist ID-80000400 2 x.x.0.0 x.x.0.10 custom_blacklist ID-80000800 Instance advanced-anti-malware Total number of matching entries: 2
Si no ve las actualizaciones, espere unos minutos y vuelva a probar el comando. Es posible que no esté fuera del período de sondeo de ATP Cloud de Juniper.
Utilice el comando CLI show services security-intelligence category summary
para mostrar el resumen de la categoría de SecIntel especificada.
Ejemplo de resumen de categorías de inteligencia de seguridad de servicios
user@host> show services security-intelligence category summary ........... Category name :Blacklist Status :Enable Description :Blacklist data Update interval :3600s TTL :3456000s Feed name :blacklist_domain logical-system:root-logical-system Vrf name :junos-default-vrf Version :20211013.4 Objects number:0 Create time :2021-10-13 16:50:44 UTC Update time :2024-12-05 17:08:29 UTC Update status :N/A Expired :Yes Status :Active Options :N/A Feed name :blacklist_ip logical-system:root-logical-system Vrf name :junos-default-vrf Version :N/A Objects number:0 Create time :2021-10-13 16:51:18 UTC Update time :2024-12-05 17:08:29 UTC Update status :N/A Expired :Yes Status :Active Options :N/A ............ Category name :Whitelist Status :Enable Description :Whitelist data Update interval :1800s TTL :3456000s Feed name :whitelist_ip logical-system:root-logical-system Vrf name :junos-default-vrf Version :N/A Objects number:0 Create time :2023-03-20 23:32:59 UTC Update time :2024-12-05 17:10:17 UTC Update status :N/A Expired :Yes Status :Active Options :N/A
Utilice el comando de la show security dynamic-address instance default
CLI para mostrar el número total de entradas coincidentes predeterminadas.
Ejemplo mostrar instancia de dirección dinámica de seguridad predeterminada
root@SRX-30-GW> show security dynamic-address instance default No. IP-start IP-end Feed Address CountryCode 1 10.0.90.165 10.0.90.165 CC/2 ID-fffc0821 -- 2 10.0.128.88 10.0.128.88 CC/2 ID-fffc0821 -- 3 10.0.128.112 10.0.128.112 CC/2 ID-fffc0821 -- 4 10.0.128.209 10.0.128.209 CC/2 ID-fffc0821 -- 5 10.0.131.69 10.0.131.69 CC/2 ID-fffc0821 -- 6 10.0.132.55 10.0.132.55 CC/2 ID-fffc0821 -- ...........
Use el comando CLI show security dynamic-address category-name Blacklist
para ver la lista de ubicaciones, como direcciones IP y direcciones URL en las que no confía.
Ejemplo mostrar seguridad-dirección-dinámica-categoría-nombre Lista negra
root@SRX-30-GW> show security dynamic-address category-name Blacklist No. IP-start IP-end Feed Address CountryCode 1 10.1.1.1 10.1.1.1 Blacklist/2 ID-80004420 -- 2 10.2.2.100 10.2.2.100 Blacklist/2 ID-80004420 -- Instance default Total number of matching entries: 2
Utilice el comando de la show security dynamic-address category-name Whitelist
CLI para ver la lista de ubicaciones, como direcciones IP y URL en las que confía.
Ejemplo mostrar lista blanca de nombres de categoría de dirección dinámica de seguridad
root@SRX-30-GW> show security dynamic-address category-name Whitelist No. IP-start IP-end Feed Address CountryCode 1 10.10.10.10 10.10.10.11 Whitelist/1 ID-80004010 -- Instance default Total number of matching entries: 1