EN ESTA PÁGINA

Configurar la detección de amenazas basada en IDP en un dispositivo radial SSR
Verificar la detección de amenazas basada en IDP
Perfiles de derivación de detección y prevención de intrusiones (IDP)

Detección de amenazas basada en IDP en enrutadores de Session Smart

Siga estos pasos para mejorar la seguridad de la red agregando perfiles de detección y prevención de intrusiones (IDP) a las directivas de la aplicación.

Una política de detección y prevención de intrusiones (IDP) le permite aplicar selectivamente varias técnicas de detección y prevención de ataques en el tráfico de red. Puede habilitar el IDP en el enrutador con Session Smart™ de Juniper® Networks que funciona como un dispositivo radial en su red de Juniper Mist™ activándolo en una política de aplicación. El IDP con un enrutador de Session Smart es útil para el tráfico de ruptura local.

Nota: IDP solo se admite en un enrutador de Session Smart que funcione como radio para el tráfico de ruptura local. IDP no se admite en un dispositivo hub ni para el tráfico de retorno a un hub desde un radio.

La detección de intrusiones es el proceso de supervisar los eventos que ocurren en su red y analizarlos en busca de señales de incidentes, violaciones o amenazas inminentes a sus políticas de seguridad. La prevención de intrusiones es el proceso de realizar la detección de intrusiones y, a continuación, detener los incidentes detectados. Para obtener más información, consulte Descripción general de la detección y prevención de intrusiones.

Nota:

IDP es una característica que requiere muchos cálculos. Es probable que vea una degradación del rendimiento en los SSR de nivel básico, como el SSR120, si habilita el IDP en sus políticas.

Vea el siguiente vídeo para la detección de amenazas basadas en IDP en enrutadores de Session Smart.

Hey everyone, today I want to show you how easy it is to deploy an AI-driven full-stack branch managed by the Mist Cloud. That is a whole branch network with access points, switches, and routers, all being managed by a single pane of glass, with artificial intelligence to alert you to any issues and easily find the root cause of those issues. In this demo, I will show you how Juniper Network's AI-driven full-stack branch simplifies all operational stages. Day zero design, day one deployment, and day two troubleshooting and maintenance. And also, I will show you how quickly this can be done.

All right, let's jump into it. Day zero design. When we talk about day zero operations, we are talking about all the planning and design that you can do prior to deploying any of the systems. These are the tasks that should be performed to make sure that the actual deployment day goes as smoothly as possible. The tasks you want to perform here are designing your network and staging your configuration. Using the Mist Cloud, you have one interface you can log into to configure all of the access points, switches, and routers in your whole network. You can use configuration templates with site-specific variables, so you only have to create a limited number of configurations for large deployments. I have seen deployments with 10,000 sites that only have six or so different designs. So, what do they do? They create six templates and apply the appropriate templates to the correct sites as they are onboarding. I have also dealt with deployments that have a couple variations between sites. Say, for example, they use different IP address schemes at each site. This is not a problem either because all we have to do is input a variable or placeholder like this, and then when we create the site, we say, for this variable, put in this value. With this technology, we can easily deploy 1,000 sites in minutes.

Once you have your network designed and you have staged your configuration, it is time to prepare for deployment day. Day one deployment. Day one stands for the first day of use for our new devices. This is the most exciting day in my opinion. You have a shiny new device and you just can't wait to pull it out of the box and use it. Unfortunately, a lot of times, this day can be ruined by the actual deployment and installation. Well, that does not have to be the case with Juniper Networks. With the AI-driven full-stack branch, you can easily deploy your network using QR codes or claim codes. First, if you didn't do it as part of your day zero tasks, create a site in the Mist cloud and assign the appropriate templates to that site. Then, just look at the back of your device for a QR code and scan it with an app or grab the claim code and add it to your inventory for that site. If you have a white box switcher router, then just copy a few lines of configuration to get that device speaking to the Mist cloud. Once your device connects up to the Mist cloud, it will see what site it is deployed to and grab the appropriate configuration. Another huge benefit of the configuration templates is that if you need to make any changes to your configuration, all you have to do is make the change in the template and the change will get pushed down to all of the appropriate devices. You no longer need to log into each individual device. With these powerful tools at your disposal, you can have a full site up in minutes. This is what we call true zero-touch provisioning.

Day two, maintenance and troubleshooting. Once you have your site deployed, then it just comes down to your normal day-to-day operations. This is what we call our day two operations. In the Mist ecosystem, we like to break our telemetry down to SLEs or service level experiences. These SLEs give you insight into the health of your network, devices, links and applications. They alert you to any issues impacting the user experience and provide insights into the root cause. The SLEs are impressive and very powerful, giving you experience insights across the network. But even more powerful is your AI virtual network assistant, Marvis. Marvis Actions proactively alert you to high priority issues impacting your network. This Marvis actions page is a great page to start your day off with, a cup of coffee view, so you can know where you need to spend your attention and solve issues before your customers even know. You can also chat with Marvis to ask questions about your network. Say, for example, you're getting complaints about an application not working. You can ask Marvis if the problem is something on your network, with your ISP or on the application itself. This saves hours of investigating to prove where the problem is and reduces your MTTI or mean time to innocence. Security is also managed by Mist and Marvis. Using the IDP and enhanced web filtering features in your SessionSmart routers, you leverage the Juniper IDP signature database, providing state-of-the-art protection against the most up-to-date vulnerabilities. The database contains definitions of attack objects and application signatures defined in the form of an IDP policy rule set that is updated regularly.By automatically downloading the latest definitions and application signatures, the SSR is able to provide cutting-edge security solutions for your network. When discovered, you can either have your router alert you to the vulnerability or block the traffic, giving you the network protection that you need without the need to purchase additional hardware.

Lastly, with all of this data and all of these cool tools, how can you share this information with interested parties and extend Mist into your business intelligence? This can be done with Premium Analytics. Premium Analytics is another tool that you can use to share with any decision maker, help them get the relevant information they need. Whether it's a CIO looking at further network investment, a branch manager looking at user experience, or a facilities management executive looking at real estate optimization and occupancy management. Premium Analytics provides long-term insights into your network with intuitive graphs and charts. So that was a very brief dive into what the Juniper Network AI-driven full-stack SD branch has to offer. To summarize, the AI-driven full-stack SD branch simplifies every stage of operations, design, deployment, maintenance, and troubleshooting, allowing for the best user experience for your network architects, engineers, operations folks, and end users. There is a lot more that you can do with the Mist Cloud and Mist AI than we have time to show you here. If you'd like to try this out for yourself, sign up for a demo or POC. Thank you for watching.

Configurar la detección de amenazas basada en IDP en un dispositivo radial SSR

La nube de Juniper Mist admite los siguientes perfiles de desplazados internos:

Estándar: el perfil estándar es el perfil predeterminado y representa el conjunto de reglas y firmas de IDP que Juniper Networks recomienda. Cada tipo y gravedad de ataque tiene una acción no configurable definida por Juniper que el motor IDP aplica cuando detecta un ataque. Las posibles acciones son las siguientes:
- Cierre la conexión TCP de cliente y servidor.
- Descarte el paquete actual y todos los paquetes subsiguientes
- Enviar solo una alerta (sin acción adicional).
Alerta: los perfiles de alerta solo son adecuados para ataques de baja gravedad. Cuando el motor IDP detecta tráfico malicioso en la red, el sistema genera una alerta, pero no toma medidas adicionales para evitar el ataque. La firma y las reglas del IDP son las mismas que en el perfil estándar.
Estricto: el perfil estricto contiene un conjunto similar de firmas y reglas de desplazados internos que el perfil estándar. Sin embargo, cuando el sistema detecta un ataque, este perfil bloquea activamente cualquier tráfico malicioso u otros ataques detectados en la red.

Puede aplicar un perfil de IDP a una política de aplicación. Cada perfil tiene una acción de tráfico asociada, y estas acciones definen cómo aplicar un conjunto de reglas a un servicio o una política de aplicación. Las acciones del perfil de IDP están preconfiguradas y no están disponibles para que los usuarios las configuren.

Para configurar la detección de amenazas basada en IDP:

En el portal de la nube de Juniper Mist, haga clic en Organization > WAN Edge Templates (Plantillas de borde de WAN de la organización) y seleccione una plantilla para su dispositivo radial.
En la página Plantillas de borde de WAN, desplácese hacia abajo hasta el panel Directivas de aplicaciones . El panel muestra la lista de directivas de aplicación existentes.
En la columna IDP , seleccione un perfil de IDP. Por ejemplo, seleccione la alerta de perfil de IDP.

Figura 1: Configurar un perfil de IDP (alerta)
Haga clic en Guardar.

El perfil de IDP seleccionado se aplica en todos los dispositivos radiales.

Nota:

Asegúrese de establecer la acción de política en PERMITIR; de lo contrario, la configuración del IDP podría invalidar la instrucción DENY.

Verificar la detección de amenazas basada en IDP

Advertencia:

Cuando active la función IDP por primera vez en un dispositivo radial, le recomendamos que la planifique en un período de mantenimiento. El inicio del motor IDP y la inclusión en la ruta de LAN a WAN (es decir, el encadenamiento de servicios) pueden tardar unos minutos y también pueden interrumpir las comunicaciones en curso.

Puede probar los efectos del analizador de seguridad basado en IDP lanzando ataques de ejemplo. Puede usar herramientas como Nikto en Kali Linux, que tiene una variedad de opciones disponibles para pruebas de penetración de seguridad.

Utilice un escritorio de máquina virtual (VM) (desktop1) en un entorno de sandbox o laboratorio, e instale un escáner de seguridad sencillo para servidores web, como Nikto. Nikto es un servidor web de código abierto y escáner de aplicaciones web. Por ejemplo, puede ejecutar Nikto en un servidor web Apache Tomcat no reforzado (o su equivalente) que sea local en su laboratorio. En esta prueba, puede enviar solicitudes HTTP sin formato o sin cifrar para la inspección de IDP.

En el ejemplo siguiente se muestra un proceso en el que se instala la herramienta, se comprueba la presencia del servidor HTTP y, a continuación, se inician los ataques.

Para ver los eventos generados, vaya a Site > Secure WAN Edge IDP/URL Events.

Figura 2: Eventos de IDP en el borde de WAN seguro Secure WAN Edge IDP Events

La figura 3 muestra los eventos de IDP generados para el enrutador de Session Smart.

Figura 3: Eventos de desplazados internos generados para un perfil IDP Events Generated for an Alert IDP Profile

de IDP de alerta

En el ejemplo anterior, usó el registro pasivo para los eventos mediante alertas de tipo de perfil de IDP. A continuación, use el tipo de perfil de IDP Strict para detener o mitigar los eventos. Cuando se utiliza el perfil Strict, el motor IDP cierra las conexiones TCP contra los ataques detectados.

Puede seguir el mismo proceso que se muestra en el ejemplo. Sin embargo, esta vez cambiará la plantilla de dispositivo radial y el perfil de IDP de Alerta a Estricto, como se muestra en la figura 4.

Figura 4: Configuración del perfil de IDP (perfil estricto) IDP Profile Configuration (Strict Profile)

Ejecute el escáner de seguridad. Notará que el escáner tarda más en ejecutarse porque detecta más errores y menos eventos.

La figura 5 muestra que, para algunos eventos, la acción es cerrar la sesión para mitigar las amenazas (en el campo Acción ).

Figura 5: Eventos de desplazados internos generados para el perfil IDP Events Generated for Strict IDP Profile

de desplazados internos estricto

Perfiles de derivación de detección y prevención de intrusiones (IDP)

El IDP Bypass funciona junto con las reglas del sistema de prevención de intrusiones (IPS) para evitar que se generen alarmas innecesarias. El perfil de IDP se configura cuando desea excluir un destino específico o un tipo de ataque para que no coincida con una regla de IDP. Esto evita que los desplazados internos generen alarmas innecesarias.

Un perfil IDP puede tener varios perfiles de derivación, cada uno con varias reglas de derivación.

Para crear un perfil de omisión de IDP:

En el portal de la nube de Juniper Mist, seleccione Política de aplicación de > de WAN > de organización > perfiles de derivación de IDP.

La página muestra una lista de perfiles de omisión de IDP (si están disponibles)
Haga clic en Agregar perfil de omisión para crear un perfil.
En la ventana Crear perfil de derivación:
1. Agregar nombre. Utilice caracteres alfanuméricos, guiones bajos o guiones, y no puede superar los 63 caracteres.
2. Seleccione el perfil base. Los perfiles base admitidos son:
  - Estándar
  - Estricto
  - Solo crítico: SRX
  Necesita un perfil de IDP base para crear un perfil de derivación de IDP.
3. Haga clic en Siguiente. El portal abre una página de reglas en la que puede definir la regla para el perfil de omisión de IDP.
  Figura 6: Regla de perfil de omisión de desplazados internos
  - Acción: seleccione la acción de tráfico asociada. Las opciones disponibles son: Modificar, Quitar o Cerrar.
  - IP de destino: dirección IP del tráfico de destino que desea eximir. Puede seleccionar una o más direcciones IP de destino de la lista rellenada o puede introducir la dirección IP de destino haciendo clic en Agregar IP de destino.
  - Nombre del ataque: seleccione los ataques que desea que el IDP exima para las direcciones de destino especificadas de la lista mostrada. Alternativamente, puede ingresar al ataque haciendo clic en Agregar nombre de ataque. El ataque que introduzca debe ser del tipo admitido por la firma IPS de Juniper Networks.
  - Haga clic en Guardar.

La regla que ha creado aparece en el panel Perfil de omisión de IDP. A continuación, debe aplicar el perfil de omisión de IDP en una política de aplicación similar a la aplicación de cualquier perfil de IDP mediante los pasos siguientes:

En el portal de la nube de Juniper Mist, haga clic en Organization > WAN Edge Templates (Plantillas de borde de WAN de la organización) y seleccione una plantilla para su dispositivo radial.
En la columna IDP, seleccione el perfil de IDP. Por ejemplo, seleccione el perfil de omisión de IDP que creó en el paso anterior.
Figura 7: Aplicación del perfil de omisión de desplazados internos en la política de aplicación
Haga clic en Guardar una vez que configure otras opciones en la directiva de aplicación. Consulte Configurar directivas de aplicación en enrutadores de Session Smart.