Una fuente de host infectado enumera los hosts que se han visto comprometidos y que deben estar en cuarentena para no comunicarse con otros dispositivos. La fuente tiene el formato de direcciones IP, todas con un nivel de amenaza de 10, por ejemplo, xxx.xxx.xxx.133 con nivel de amenaza 10. Puede configurar políticas de seguridad para llevar a cabo acciones de cumplimiento en el tráfico de entrada y salida hacia y desde un host cuya dirección IP se muestra en la fuente. La fuente de host infectado se descarga al dispositivo de la serie SRX solo cuando el perfil de host infectado está configurado y habilitado en una política de firewall.
Nota:
Una vez que se cumple el umbral global de ATP Cloud de Juniper para un host infectado (consulte Configuración para hosts infectados), ese host se agrega a la fuente de hosts infectados y la nube le asigna un nivel de amenaza de 10. Por lo tanto, todas las direcciones IP de la fuente de hosts infectados son de nivel de amenaza 10.
Para crear el perfil de host infectado y la política de firewall:
- Defina un perfil tanto para el host infectado como para el CC. En este ejemplo, se nombra
ih-profile
el perfil de host infectado y la acción es bloquear cualquier cosa con un nivel de amenaza de 10. El perfil de host CC se denomina cc-profile
y se basa en solicitudes salientes a un host C&C, por lo que agregar reglas de C&C al perfil (los niveles de amenaza 8 y superiores están bloqueados.
root@host# set services security-intelligence profile ih-profile category Infected-Hosts rule if-rule match threat-level 10
root@host# set services security-intelligence profile ih-profile category Infected-Hosts rule if-rule then action block drop
root@host# set services security-intelligence profile ih-profile category Infected-Hosts rule if-rule then log
root@host# set services security-intelligence profile cc-profile category CC
root@host# set services security-intelligence profile cc-profile rule CC_rule match threat-level [8 9 10]
root@host# set services security-intelligence profile cc-profile rule CC_rule then action block drop
root@host# set services security-intelligence profile cc-profile rule CC_rule then log
root@host# set services security-intelligence profile cc-profile default-rule then action permit
A partir de Junos 18.1R1. es compatible con la acción de bloque con redirección de URL HTTP para hosts infectados. Durante el procesamiento de una dirección IP de sesión, si la dirección IP en la lista de hosts infectados y el tráfico HTTP está usando los puertos 80 o 8080, se puede hacer la redirección HTTP de hosts infectados. Si el tráfico HTTP usa puertos dinámicos, no se puede realizar la redirección del tráfico HTTP. Consulte el comando a continuación.
- Verifique su comando con el
show services security-intelligence
Comando cli. Debería ser similar a esto:
root@host# show services security-intelligence profile ih-profile
category Infected-Hosts;
rule if-rule {
match {
threat-level 10;
}
then {
action {
block {
drop;
}
}
log;
}
}
root@host# show services security-intelligence profile cc-profile
category CC;
rule CC_rule {
match {
threat-level [ 10 9 8 ];
}
then {
action {
block {
drop;
}
}
log;
}
}
default-rule {
then {
action {
permit;
}
}
}
- Configure la política de inteligencia de seguridad para incluir ambos perfiles creados en el paso 1. En este ejemplo, la política se denomina
infected-host-cc-policy
.
root@host# set services security-intelligence policy infected-host-cc-policy Infected-Hosts ih-profile
root@host# set services security-intelligence policy infected-host-cc-policy CC cc-profile
- Configure la política de firewall para incluir la política de inteligencia de seguridad. En este ejemplo, se establece la zona de confianza a no confianza.
root@host# set security policies from-zone trust to-zone untrust policy p2 match source-address any destination-address any application any
root@host# set security policies from-zone trust to-zone untrust policy p2 then permit application-services security-intelligence-policy infected-host-cc-policy
- Verifique su comando con el
show security policies
Comando cli. Debería ser similar a esto:
root@host# show security policies
...
from-zone trust to-zone untrust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
security-intelligence-policy infected-host-cc-policy;
}
}
}
}
}
...
[edit]
- Confirme los cambios.