Juniper - logo

OS Junos
Zabezpečení Uživatelská příručka IoT
Publikováno
2023-12-14

Společnost Juniper Networks, Inc.
1133 Inovační cesta
Sunnyvale, Kalifornie 94089
USA
408-745-2000
www.juniper.net
Juniper Networks, logo Juniper Networks, Juniper a Junos jsou registrované ochranné známky společnosti Juniper Networks, Inc.
ve Spojených státech a dalších zemích. Všechny ostatní ochranné známky, servisní známky, registrované známky nebo registrované servisní známky jsou majetkem příslušných vlastníků.
Juniper Networks nepřebírá žádnou odpovědnost za jakékoli nepřesnosti v tomto dokumentu. Juniper Networks si vyhrazuje právo změnit, upravit, převést nebo jinak revidovat tuto publikaci bez upozornění.
Uživatelská příručka pro IoT Junos OS Security
Copyright © 2023 Juniper Networks, Inc. Všechna práva vyhrazena.
Informace v tomto dokumentu jsou aktuální k datu na titulní straně.
OZNÁMENÍ ROK 2000
Hardwarové a softwarové produkty Juniper Networks jsou v souladu s rokem 2000. Junos OS nemá žádná známá časová omezení do roku 2038. Je však známo, že aplikace NTP bude mít v roce 2036 určité potíže.
LICENČNÍ SMLOUVA S KONCOVÝM UŽIVATELEM
Produkt Juniper Networks, který je předmětem této technické dokumentace, se skládá ze softwaru Juniper Networks (nebo je s ním určen). Používání takového softwaru podléhá ustanovením a podmínkám Licenční smlouvy s koncovým uživatelem („EULA“) zveřejněné na adrese https://support.juniper.net/support/eula/. Stažením, instalací nebo používáním takového softwaru souhlasíte s podmínkami dané EULA.

Obsah skrýt
1 O této příručce
2 Nadview
3 Zavedení
4 Konfigurace
5 Ověření
6 Konfigurační příkazy a operační příkazy
7 Dokumenty / zdroje
7.1 Reference
8 Související příspěvky

O této příručce

V této příručce se dozvíte o funkci zjišťování a klasifikace zařízení IoT na vašem bezpečnostním zařízení.
Znalost zařízení IoT v síti pomáhá správcům sítě lépe řídit zabezpečení sítě a snížit povrch útoků IoT

Nadview

Zabezpečení IoT skončiloview

SHRNUTÍ
Přečtěte si tuto příručku, abyste porozuměli bezpečnostnímu řešení IoT dostupnému na vašich zařízeních řady SRX/NFX a zjistěte, jak tuto funkci začít používat.

Zavedení

Z hlediska rozsahu přebírá síť internet věcí (IoT). Jako technologie je IoT transformační, obohacuje data, přidává kontext do procesů a poskytuje bezprecedentní úroveň viditelnosti napříč organizacemi. Objem a rozmanitost zařízení IoT, jako jsou IP kamery, inteligentní výtahy, lékařské vybavení a průmyslové ovladače, mohou zvýšit složitost zabezpečení vaší sítě. S tolika zařízeními v síti potřebujete přehled v reálném čase, inteligentní funkce pro vynucování zásad, které hladce fungují v celé síti. Většina koncových bodů IoT má omezenou stopu a neznámá zařízení, jejichž síť může být důvodem bezpečnostního incidentu.
Znalost IoT zařízení v síti umožňuje uživatelům nebo správcům sítě lépe spravovat zabezpečení sítě. Je ještě důležitější mít přehled o zařízeních IoT v síti, zejména proto, že zranitelnosti zero-day explodují.
Bezpečnostní řešení IoT společnosti Juniper Networks poskytuje zjišťování, viditelnost a klasifikaci zařízení IoT v síti. Viditelnost zařízení IoT vám pomáhá průběžně objevovat, monitorovat a prosazovat zásady zabezpečení napříč všemi připojenými zařízeními IoT.

Bezpečnostní řešení IoT

Řešení Juniper Networks Security IoT zahrnuje integraci bezpečnostních zařízení s Juniper ATP Cloud za účelem:

  • Poskytněte hluboký přehled o zařízeních IOT v síti v reálném čase
  • Vytvořte zásady zabezpečení pomocí atributů objeveného zařízení IoT
  • Prosazujte bezpečnostní zásady, abyste zabránili útokům a snížili povrch útoků

Zjišťování zařízení IOT poskytuje základ pro prosazování bezpečnostních politik a řešení bezpečnostních rizik identifikací abnormálního chování objevených zařízení.

Vlastnosti

  • Objevování zařízení IoT za přístupovým bodem Wi-Fi
  • Podpora široké škály IoT zařízení
  • Zrnité otisky prstů na každém zařízení včetně typu, značky, modelu, IP, MAC adresy
  • Jediný panel skla pro efektivní inventarizaci a klasifikaci zařízení IoT
  • Podrobná pravidla zabezpečení založená na atributech zařízení IoT

Výhody zabezpečení IOT

  • Objevování a správa všech IoT zařízení v síti bez ručního zásahu zvyšuje efektivitu a produktivitu bezpečnostních operací
  • Mít inventář zařízení IoT v reálném čase a související bezpečnostní zásady pomáhá snížit počet útoků ve vaší síti.

Případy použití
Bezpečnostní řešení IoT je přizpůsobitelné různým prostředím včetně zdravotnictví/lékařského průmyslu, organizací s campnás/pobočky a další průmyslová odvětví s chytrými budovami a kancelářemi.

IoT Device Discovery and Security Enforcement – ​​Workflow

Terminologie
Pojďme se seznámit s některými terminologiemi v tomto dokumentu, než se hlouběji ponoříme do objevování zařízení IoT a vynucování bezpečnosti.
Tabulka 1: Bezpečnostní terminologie IoT

Podmínky IOT Popis
IoT zařízení Zařízení IoT jsou fyzická zařízení, která navazují bezdrátové připojení k síti a mohou přenášet data přes internet nebo jiné sítě. Zařízení IoT mohou být senzory, gadgety, zařízení nebo stroje nebo mohou být zabudovány do jiných mobilních zařízení, průmyslového vybavení, senzorů prostředí, lékařských zařízení a dalších.
Streamování dat Proces přenosu paketů a souvisejících metadat ze zařízení IoT do cloudu Juniper ATP za účelem identifikace a klasifikace zařízení IoT.
Web zásuvka Pro obousměrný přenos dat mezi bezpečnostním zařízením a cloudem Juniper ATP se používá komunikační protokol, aby byla zajištěna důvěrnost.

Tabulka 1: Bezpečnostní terminologie IoT (pokračování)

Podmínky IOT Popis
Serializace Protokolový buffer (gpb) formát používaný k serializaci strukturovaných dat a umožnění komunikace mezi bezpečnostním zařízením a ATP cloudem.
Autentizace Proces umožňující zabezpečenou komunikaci mezi bezpečnostním zařízením a cloudem Juniper ATP pomocí TLS1.2 nebo novější verze pro zajištění ověřování, šifrování a integrity sdílených dat.
Zjišťování IoT zařízení Proces identifikace zařízení IoT prohledáváním interní databáze pomocí streamovaných dat. Podrobnosti o objevených zařízeních IoT zahrnují značku zařízení, typ, model, operační systém, výrobce a tak dále.
Klasifikace zařízení IoT Budování profíkafile pro objevená zařízení IoT. Vzhledem k tomu, že zařízení IoT může patřit k široké škále typů zařízení, znalost třídy zařízení IoT je důležitá pro vynucení správného typu bezpečnostní politiky.

Example: Infotainment IoT zařízení má jiný dopravní profesionálfile ve srovnání s průmyslovým zařízením IoT.
Filtrování dat Použití datového filtru pomáhá Juniper ATP Cloud kontrolovat množství dat, typ dat, která přijímá z bezpečnostního zařízení. Filtry jsou užitečné zejména tam, kde je v síti k dispozici velké množství IoT zařízení.
Zdroje IP adres/skupiny dynamických adres Dynamická adresa je skupina IP adres, které sdílejí společný účel nebo atribut, jako je geografický původ, typ hrozby nebo úroveň hrozby.
IP adresy objevených zařízení IoT jsou seskupeny do skupiny dynamických adres. Zdroje IP adres můžete použít k vynucení zásad v zabezpečené síti v reálném čase.

Pracovní postup zjišťování a vynucení zařízení IoT
Následující obrázek znázorňuje typický pracovní postup při vyhledávání zařízení IOT.

Obrázek 1: Pracovní postup zabezpečení IoT

Juniper NETWORKS Junos OS Security IoT -

  1. Bezpečnostní zařízení kontroluje síťový provoz ze zařízení IoT.
  2.  Bezpečnostní zařízení se připojuje ke cloudu Juniper ATP a streamuje podrobnosti do cloudu Juniper ATP. Podrobnosti zahrnují metadata o toku provozu a užitečné zatížení paketů.
  3.  Juniper ATP Cloud využívá streamovaná data k získání podrobností o zařízení IoT, jako je značka, model zařízení, třída, prodejce, IP, MAC adresa a další vlastnosti zařízení IoT.
  4. Juniper ATP Cloud úspěšně klasifikuje zařízení IoT. Zařízení, která Juniper ATP Cloud objeví a identifikuje, se objeví na stránce Juniper ATP Cloud. Podrobnosti o zařízení můžete použít k vytvoření zdrojů IP adres ve formě skupiny dynamických adres pomocí funkce adaptivního profilování hrozeb.
  5. Zabezpečovací zařízení stáhne zdroj. Můžete vytvořit pravidla zabezpečení založená na zdrojích IP adres a vynutit tak podrobná pravidla zabezpečení založená na atributech zařízení IoT.

Bezpečnostní zařízení pokračuje v analýze vzoru provozu objevených zařízení IoT a zjišťuje jakékoli odchylky v provozu (napřample, dosažitelnost a objem provozu, který může odeslat) pro tato zařízení. Zařízení IoT můžete izolovat od sítě v závislosti na zásadách a vynutit přizpůsobenou zásadu zabezpečení, abyste omezili dosah těchto zařízení v síti.

Co bude dál?
V další části se dozvíte, jak nakonfigurovat zjišťování a vynucení zařízení IoT na vašem bezpečnostním zařízení.

Konfigurace

Example- Konfigurace zjišťování zařízení IoT a vynucování zásad

SHRNUTÍ
V tomto example, nakonfigurujete své bezpečnostní zařízení pro zjišťování zařízení IoT a prosazování zásad zabezpečení.
Abyste mohli začít s vyhledáváním zařízení IoT ve vaší síti, potřebujete pouze bezpečnostní zařízení připojené k Juniper ATP Cloud. Obrázek 2 na straně 10 ukazuje topologii použitou v tomto příkladuample.

Obrázek 2: Topologie IoT Device Discovery and Policy Enforcement

Juniper NETWORKS Junos OS Security IoT - Topologie

Jak je znázorněno v topologii, síť obsahuje některá zařízení IoT připojená k firewallu řady SRX prostřednictvím bezdrátového přístupového bodu (AP). Bezpečnostní zařízení je připojeno k serveru Juniper Cloud ATP a k hostitelskému zařízení.
Bezpečnostní zařízení shromažďuje metadata zařízení IoT a streamuje příslušné informace do cloudu Juniper ATP. Chcete-li povolit streamování metadat IoT, budete muset vytvořit zásady streamování metadat zabezpečení a připojit tyto zásady k zásadám zabezpečení. Streamování provozu zařízení IoT se automaticky pozastaví, když má server Juniper Cloud dostatek podrobností pro klasifikaci zařízení IoT.
Cloud Juniper ATP objevuje a klasifikuje zařízení IoT. Pomocí inventáře objevených zařízení IoT vytvoříte zdroje hrozeb ve formě dynamických skupin adres. Jakmile bezpečnostní zařízení stáhne dynamické skupiny adres, můžete skupiny dynamických adres použít k vytvoření a vynucení zásad zabezpečení pro provoz IoT.
Tabulka 2 na straně 10 a Tabulka 3 na straně 11 uvádí podrobnosti o parametrech použitých v tomto příkladuample.
Tabulka 2: Parametry konfigurace bezpečnostní zóny

zóny Rozhraní Připojeno k
důvěra ge-0/0/2.0 Klientské zařízení
nedůvěřovat ge-0/0/4.0 and ge-0/0/3.0 Přístupové body pro správu provozu IoT
mrak ge-0/0/1.0 Internet (pro připojení ke cloudu Juniper ATP)

Tabulka 3: Parametry konfigurace zásad zabezpečení

Politika Typ Aplikace
P1 Pravidla bezpečnosti Umožňuje provoz z důvěryhodné zóny do nedůvěryhodné zóny
P2 Pravidla bezpečnosti Umožňuje provoz z nedůvěryhodné zóny do důvěryhodné zóny
P3 Pravidla bezpečnosti Umožňuje provoz z důvěryhodné zóny do cloudové zóny
p1 Zásady streamování metadat Streamuje metadata o provozu z nedůvěryhodné zóny do důvěryhodné zóny
p2 Zásady streamování metadat Streamuje z důvěryhodné zóny do metadat o provozu v blokové zóně
Nežádoucí_aplikace Globální bezpečnostní politika Zabraňuje provozu IoT na základě zdroje hrozeb a bezpečnostní politiky v globálním kontextu

Požadavky

  • Firewall řady SRX nebo zařízení řady NFX
  • Junos OS Release 22.1R1 nebo novější
  • Cloudový účet Juniper Advanced Threat Prevention. Viz Registrace cloudového účtu Juniper Advanced Threat Prevention.

Ověřili jsme a otestovali konfiguraci pomocí instance virtuální brány firewall vSRX s Junos OS Release 22.1R1.

Připravte svůj firewall řady SRX k práci s Juniper ATP Cloud
Budete muset nakonfigurovat bránu firewall řady SRX pro komunikaci s cloudem Juniper ATP Web Portál. Ujistěte se, že je brána firewall řady SRX připojena k internetu. Ujistěte se, že jste dokončili následující počáteční konfiguraci, abyste nastavili bránu firewall řady SRX na internet.

  1.  Nakonfigurujte rozhraní. V tomto example, používáme rozhraní ge-0/0/1.0 jako internetové rozhraní na firewallu SRX Series.
    [upravit] uživatel@hostitel# nastavit rozhraní ge-0/0/1 jednotka 0 rodina inet adresa 10.50.50.1/24
  2. Přidejte rozhraní do bezpečnostních zón.
    [upravit] uživatel@hostitel# nastavit bezpečnostní zóny security-zone cloudová rozhraní ge-0/0/1.0 host-inbound-traffic system-services all
    uživatel@hostitel# nastavit bezpečnostní zóny bezpečnostní zóna cloudová rozhraní ge-0/0/1.0 host-inbound-traffic protokoly vše
  3. Nakonfigurujte DNS.
    [upravit] uživatel@hostitel# nastavit skupiny globálního systému jmenný server 172.16.1.1
  4. Nakonfigurujte NTP.
    [editovat] uživatel@hostitel# nastavit skupiny globálních systémových procesů ntp povolit
    user@host# set groups globálního systému ntp boot-server 192.168.1.20
    user@host# set groups globálního systému ntp server 192.168.1.20

Jakmile se vaše řada SRX dostane k internetu prostřednictvím rozhraní ge-0/0/1.0, pokračujte dalšími kroky.
Zkontrolujte požadované licence a balíček podpisu aplikace

  • Ujistěte se, že máte příslušnou cloudovou licenci Juniper ATP. Pomocí příkazu show system license zkontrolujte stav licence.

uživatel@hostitel> zobrazit licenci systému
Identifikátor licence: JUNOS123456
Verze licence: 4
Sériové číslo softwaru: 1234567890
Číslo zákazníka: JuniperTest
Vlastnosti:
Sky ATP – Sky ATP: Cloud Based Advanced Threat Prevention na SRX firewallech
podle data, 2016-07-19 17:00:00 PDT – 2016-07-30 17:00:00 PDT

  • Ujistěte se, že vaše zařízení má nejnovější aplikační podpisový balíček na vašem zabezpečovacím zařízení.
  • Ověřte, zda je na vašem zařízení nainstalována licence pro identifikaci aplikace.

uživatel@hostitel> zobrazit licenci systému
Využití licence:
Licence Licence Vypršení licencí
Je potřeba nainstalovaný název použité funkce
logický-systém 4 1 3 trvalý
Identifikátor licence: JUNOSXXXXXX
Verze licence: 2
Platí pro zařízení: AA4XXXX005
Vlastnosti:
appid-sig – APPID Signatur

  • Stáhněte si nejnovější verzi balíčku pro podpis aplikace.
    uživatel@hostitel> služby požadavku na stažení identifikace aplikace
  • Zkontrolujte stav stahování.
    uživatel@hostitel> stav stahování identifikace aplikace
    Stažení balíčku aplikace 3475 bylo úspěšné.
  • Nainstalujte balíček identifikačního podpisu aplikace.
    uživatel@hostitel> požádat o instalaci identifikace aplikace
  • Zkontrolujte verzi nainstalovaného balíčku podpisů aplikací.
    uživatel@hostitel> zobrazit verzi služby pro identifikaci aplikace
    Verze balíčku aplikace: 3418
    Datum vydání: Út 14. září 14:40:55 2021 UTC

Zaregistrujte bezpečnostní zařízení do cloudu Juniper ATP
Začněme registrací bezpečnostního zařízení do cloudu Juniper ATP. Pokud jste své zařízení již zaregistrovali, můžete tento krok přeskočit a přejít přímo na „Konfigurace nastavení streamování provozu IoT“ na stránce 17. Pokud ne, použijte pro registraci zařízení jednu z následujících metod.
Metoda 1: Registrace bezpečnostního zařízení pomocí CLI

  1. V bráně firewall řady SRX spusťte následující příkaz a zahajte proces registrace.
    uživatel@hostitel> zaregistrovat služby pokročilého anti-malwaru
    Vyberte prosím zeměpisnou oblast ze seznamu:
    1. Severní Amerika
    2. Evropský region
    3. Kanada
    4. Asie a Tichomoří
    Vaše volba: 1
  2. .Vyberte existující sféru nebo vytvořte novou sféru.
    Zaregistrujte SRX na:
    1. Nová sféra zabezpečení SkyATP (nejprve ji budete muset vytvořit)
    2. Stávající sféra zabezpečení SkyATP
    Vyberte volbu 1 pro vytvoření sféry. Použijte následující kroky:
    A. Chystáte se vytvořit novou sféru Sky ATP, uveďte prosím požadované informace:
    b. Zadejte název sféry (měl by to být název, který má význam pro vaši organizaci.
    Název sféry může obsahovat pouze alfanumerické znaky a symbol pomlčky. Jakmile je sféra vytvořena, nelze ji změnit):
    Skutečné jméno: example-company-a
    C. Zadejte název vaší společnosti:
    Název společnosti: PřampSpolečnost A
    d. Prosím zadejte svou e-mailovou adresu. Toto bude vaše uživatelské jméno pro váš účet Sky ATP:
    E-mail: já@example-company-a.com
    E. Nastavte si prosím heslo pro svůj nový účet Sky ATP (Musí mít alespoň 8 znaků a obsahovat velká i malá písmena, alespoň jedno číslo, alespoň jeden speciální znak):
    Heslo: **********
    Ověřte: **********
    F. Prosím znovuview informace, které jste poskytli:
    Oblast: Severní Amerika
    Nová říše: napřample-company-a
    Název společnosti: PřampSpolečnost A
    E-mail: me@example-company-a.com
    G. Vytvořit novou sféru s výše uvedenými informacemi? [ano, ne] ano
    Zařízení bylo úspěšně zaregistrováno!
    Můžete také použít existující sféru pro registraci vaší SRX Series s Juniper ATP Cloud.
  3.  Pomocí příkazu show services advanced-anti-malware status CLI potvrďte, že vaše SRX Series
    Firewall je připojen ke cloudovému serveru.
    root@idpreg-iot-v2# spustit show services advanced-anti-malware dynamic-filter status
    09. února 18:36:46
    Stav připojení serveru dynamického filtru:
    Název hostitele serveru: srxapi.us-west-2.sky.junipersecurity.net
    Port serveru: 443
    Název hostitele proxy: Žádný
    Proxy port: Žádný
    Řídící rovina
    Stav připojení: Připojeno
    Poslední úspěšné připojení: 2022-02-09 18:36:07 PST
    Pkts odesláno: 2
    Přijaté Pkts: 6

Metoda 2: Registrace bezpečnostního zařízení do Juniper ATP Cloud Web Portál
Ke konfiguraci brány firewall řady SRX pro připojení ke cloudové službě Juniper Advanced Threat Prevention Cloud můžete použít operační (op) skript Junos OS.

  1.  Na Juniper ATP Cloud Web portálu, klikněte na tlačítko Zapsat na stránce Zařízení.
  2.  Zkopírujte příkaz do schránky a klikněte na OK.
  3. Vložte příkaz do Junos OS CLI brány SRX Series Firewall v provozním režimu.
  4. Pomocí příkazu show services advanced-anti-malware status ověřte, že je z brány SRX Series Firewall vytvořeno připojení ke cloudovému serveru. Název hostitele serveru v následujících sample je bývalýamppouze le.
    uživatel@hostitel> zobrazí stav pokročilé ochrany proti malwaru
    Stav připojení k serveru:
    Název hostitele serveru: srxapi.us-west-2.sky.junipersecurity.net
    Sféra serveru: qatest
    Port serveru: 443
    Název hostitele proxy: Žádný
    Proxy port: Žádný
    Řídící rovina:
    Čas připojení: 2022-02-15 21:31:03 PST
    Stav připojení: Připojeno
    Servisní rovina:
    fpc0
    Číslo aktivního připojení: 18
    Statistika opakování připojení: 48
    Ve sample, stav připojení indikuje, že cloudový server je připojen k vašemu bezpečnostnímu zařízení.
  5. Můžete také view zařízení zaregistrovaná na portálu Juniper ATP Cloud. Přejděte na stránku Zařízení > Všechna zařízení. Stránka obsahuje seznam všech zaregistrovaných zařízení.

Juniper NETWORKS Junos OS Security IoT – všechna zařízení

Nakonfigurujte nastavení streamování provozu IoT
V tomto postupu vytvoříte zásady streamování metadat a povolíte služby zabezpečení na vašem bezpečnostním zařízení.

  1. Kompletní konfigurace cloudového připojení.
    [upravit] uživatel@hostitel# nastavit služby zabezpečení-inteligence url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml
    uživatel@hostitel# nastavit služby autentizace zabezpečení tls-profile aamw-ssl
  2.  Vytvořte zásady streamování metadat zabezpečení.
    [upravit] uživatel@hostitel# nastavit služby zabezpečení-metadata-streaming policy p1 dynamický-filtr
    user@host# nastavit služby zabezpečení-metadata-streaming policy p2 dynamic-filter
    Tyto zásady streamování metadat zabezpečení později připojíme k zásadám zabezpečení, abychom povolili IoT
    streamování provozu pro relaci.
  3. Povolte služby zabezpečení, jako je sledování aplikací, identifikace aplikací a PKI.
    [upravit] uživatel@hostitel# nastavit služby identifikace aplikace
    uživatel@hostitel# nastaví pki zabezpečení
    user@host# nastaví bezpečnostní sledování aplikací

Nakonfigurujte bránu firewall řady SRX
Tento postup použijte ke konfiguraci rozhraní, zón a zásad, které umožňují filtrování paketů IoT a služby streamování na vašem zabezpečovacím zařízení.

  1. Konfigurace rozhraní.
    [upravit] uživatel@hostitel# nastavit rozhraní ge-0/0/2 mtu 9092
    uživatel@hostitel# nastavit rozhraní ge-0/0/2 jednotka 0 rodina inet adresa 10.60.60.1/24
    user@host# nastavte rozhraní ge-0/0/3 mtu 9092
    uživatel@hostitel# nastavit rozhraní ge-0/0/3 jednotka 0 rodina inet adresa 10.70.70.1/24
    user@host# nastavte rozhraní ge-0/0/4 mtu 9092
    uživatel@hostitel# nastavit rozhraní ge-0/0/4 jednotka 0 rodina inet adresa 10.80.80.1/24
  2. Nakonfigurujte zóny zabezpečení a povolte provoz aplikací pro každou nakonfigurovanou zónu.
    [upravit] uživatel@hostitel# nastavit bezpečnostní zóny bezpečnostní-zóna důvěryhodná rozhraní ge-0/0/2.0 host-inbound-traffic system-services all
    uživatel@hostitel# nastavit bezpečnostní zóny bezpečnostní zóna důvěryhodná rozhraní ge-0/0/2.0 host-inbound-traffic protokoly vše
    uživatel@hostitel# nastavit bezpečnostní zóny důvěra bezpečnostní zóny sledování aplikací
    uživatel@hostitel# nastavit bezpečnostní zóny security-zone nedůvěryhodná rozhraní ge-0/0/4.0 host-inboundtraffic systémové-služby vše
    uživatel@hostitel# nastavit bezpečnostní zóny security-zone untrust interfaces ge-0/0/4.0
    všechny protokoly host-inboundtraffic
    uživatel@hostitel# nastavit bezpečnostní zóny security-zone untrust interfaces ge-0/0/3.0
    host-inboundtraffic system-services all
    uživatel@hostitel# nastavit bezpečnostní zóny security-zone untrust interfaces ge-0/0/3.0
    všechny protokoly host-inboundtraffic
    uživatel@hostitel# nastavit bezpečnostní zóny security-zone nedůvěryhodné
    sledování aplikací
    uživatel@hostitel# nastavení bezpečnostních zón cloudová bezpečnostní zóna
    sledování aplikací
    Jak ukazuje topologie, nedůvěryhodná zóna přijímá tranzitní a hostitelský provoz ze zařízení IOT v síti. Klientské zařízení je v důvěryhodné zóně a Juniper ATP Cloud je v cloudové zóně.
    3. Nakonfigurujte bezpečnostní politiku P1.
    [upravit] uživatel@hostitel# nastavit zásady zabezpečení ze zóny důvěřovat do zóny zásada nedůvěry P1 shoda zdrojová adresa libovolný uživatel@hostitel# nastavit zásady zabezpečení ze zóny důvěra do zóny nedůvěra politika P1 shodacílová adresa
    žádný
    uživatel@hostitel# nastavit bezpečnostní zásady ze zóny důvěry do zóny nedůvěry politika P1 shoda aplikace
    žádný
    uživatel@hostitel# poté nastavte bezpečnostní zásady od důvěry k zóně zásady nedůvěry P1
    povolení
    Tato konfigurace umožňuje provoz z důvěryhodné zóny do nedůvěryhodné zóny.
    4. Nakonfigurujte bezpečnostní politiku P2.
    [upravit] uživatel@hostitel# nastavit bezpečnostní zásady od-zóny nedůvěry do-zóny zásady důvěryhodnosti Shoda P2 zdrojová adresa
    žádný
    uživatel@hostitel# nastavit bezpečnostní zásady od-zóny nedůvěry do-zóny zásady důvěryhodnosti P2 shoda cílová-adresa jakákoli
    uživatel@hostitel# nastavit bezpečnostní zásady od nedůvěry zón k zásadě důvěry v zóně P2 match application
    žádný
    uživatel@hostitel# nastavit zásady zabezpečení od nedůvěry zóny do zásady důvěryhodnosti zóny P2 a poté povolit
    uživatel@hostitel# nastavuje bezpečnostní zásady od nedůvěry zóny po důvěryhodné aplikace-služby v zóně
    security-metadata-streaming-policy p1
    Konfigurace umožňuje provoz z nedůvěryhodné zóny do důvěryhodné zóny a aplikuje zásadu streamování metadat zabezpečení p1 k povolení streamování provozu IoT pro relaci.
  3.  Potvrďte konfiguraci.
    [upravit] uživatel@hostitel# odevzdat
    Nyní je vaše bezpečnostní zařízení připraveno streamovat provoz IoT do Juniper ATP Cloud.
    Pojďme zkontrolovat všechna objevená zařízení IoT na portálu Juniper ATP Cloud.
    ViewObjevila zařízení IOT v cloudu ATP
    Na view objevili zařízení IoT na portálu Juniper ATP Cloud, přejděte na stránku Minotor > Zařízení IoT.
    Juniper NETWORKS Junos OS Security IoT – všechna zařízení1

Můžete kliknout a filtrovat zařízení IoT podle kategorie zařízení, výrobce, typu operačního systému.
Juniper NETWORKS Junos OS Security IoT - Topologie1Na následujícím obrázku filtrujeme zařízení s OS Android.

Juniper NETWORKS Junos OS Security IoT – všechna zařízení3

Stránka obsahuje seznam zařízení IoT s podrobnostmi, jako je IP adresa, typ, výrobce, modely a tak dále. Pomocí těchto podrobností můžete monitorovat a vytvářet zdroje hrozeb a prosazovat zásady zabezpečení.
Vytvářejte zdroje hrozeb
Jakmile Juniper ATP Cloud identifikuje zařízení IoT, můžete vytvářet zdroje hrozeb. Když vaše bezpečnostní zařízení stahuje zdroje hrozeb ve formě dynamických skupin adres, můžete pomocí zdroje vašich zásad zabezpečení provádět vynucovací akce u příchozího a odchozího provozu na těchto zařízeních IoT.

  • Přejděte na stránku Minotor > Zařízení IoT a klikněte na možnost Vytvořit zdroje.
    Juniper NETWORKS Junos OS Security IoT - Minotor
  • V tomto example, budeme používat název zdroje android_phone_user s dobou životnosti (TTL) sedm dní.Juniper NETWORKS Junos OS Security IoT - Minotor1
    Dokončete konfiguraci pro následující pole:
    • Název zdroje:
    Zadejte jedinečný název zdroje hrozeb. Název zdroje musí začínat alfanumerickým znakem a může obsahovat písmena, čísla a podtržítka; nejsou povoleny žádné mezery. Délka je 8–63 znaků.
    • Typ: Vyberte typ obsahu zdroje jako IP.
    • Zdroj dat: Vyberte zdroj dat pro vytvoření zdroje jako IOT.
    • Time to Live: Zadejte počet dní, po které bude požadovaná položka zdroje aktivní. Poté, co záznam zdroje překročí hodnotu TTL (time to live), záznam zdroje se automaticky odstraní. Dostupný rozsah je 1–365 dní.
  • Klepnutím na tlačítko OK uložte změny.
  • Přejděte na Konfigurovat > Adaptivní profilování hrozeb. Stránka zobrazuje všechny vytvořené kanály hrozeb. Na stránce můžete vidět zdroj hrozeb android_phone_user.
    Klepněte na znaménko plus (+). Zobrazí se stránka Přidat nový zdroj.
    Juniper NETWORKS Junos OS Security IoT - Minotor2
  • Ujistěte se, že vaše bezpečnostní zařízení stáhlo zdroj. Stahování probíhá automaticky v pravidelných intervalech, ale může trvat několik minut.
    Juniper NETWORKS Junos OS Security IoT - pravidelné intervaly

Zdroje hrozeb můžete stáhnout ručně pomocí následujícího příkazu:
služby dotazu zabezpečení-zpravodajství stav stahování ||match android_phone_user
Pokračujme ve vytváření zásad zabezpečení pomocí stažených zdrojů hrozeb.
Vytvořte zásady zabezpečení pomocí kanálů adaptivního profilování hrozeb

Jakmile vaše bezpečnostní zařízení stáhne zdroj hrozeb, můžete jej v zásadách zabezpečení označit jako dynamickou skupinu adres. Dynamická adresa je skupina IP adres IoT zařízení patřících do konkrétní domény.
V tomto example, vytvoříme politiku, která detekuje provoz z telefonů Android a blokuje provoz.

  1.  Definujte kritéria shody bezpečnostní politiky.
    [upravit] user@host# nastavit bezpečnostní zásady globální politika Block_Android_Traffic match source-address
    android_phone_user
    uživatel@hostitel# nastavit zásady zabezpečení globální zásady Block_Android_Traffic shoda cílová adresa libovolná
    user@host# nastavit bezpečnostní zásady globální zásady Block_Android_Traffic match application any
  2. Definujte akci bezpečnostní politiky.
    [upravit] user@host# nastavit bezpečnostní politiky globální politiku Block_Android_Traffic a poté zamítnout
    V tomto example, když potvrdíte konfiguraci, vaše bezpečnostní zařízení zablokuje HTTP provoz pro IoT zařízení patřící do konkrétní domény.
    Další informace naleznete v tématu Konfigurace adaptivního profilování hrozeb.

Výsledky
V konfiguračním režimu potvrďte svou konfiguraci zadáním příkazu show security. Pokud výstup nezobrazuje zamýšlenou konfiguraci, opakujte konfigurační instrukce v tomto příkladuample to opravit.

Juniper NETWORKS Junos OS Security IoT – výsledkyJuniper NETWORKS Junos OS Security IoT – výsledky1Juniper NETWORKS Junos OS Security IoT – výsledky2Juniper NETWORKS Junos OS Security IoT – výsledky3Juniper NETWORKS Junos OS Security IoT – výsledky4Pokud jste dokončili konfiguraci funkce na vašem zařízení, zadejte odevzdání z konfiguračního režimu.

Ověření

Zkontrolujte přehled a stav zdroje
Účel: Ověřte, zda vaše bezpečnostní zařízení přijímá zdroje IP adres ve formě dynamických skupin adres.
Akce: Spusťte následující příkaz:

uživatel@hostitel> zobrazit stav dynamického filtru služeb pokročilé ochrany proti malwaru
Stav připojení serveru dynamického filtru:
Název hostitele serveru: srxapi.us-west-2.sky.junipersecurity.net
Port serveru: 443
Název hostitele proxy: Žádný
Proxy port: Žádný
Řídící rovina
Stav připojení: Připojeno
Poslední úspěšné připojení: 2022-02-12 09:51:50 PST
Pkts odesláno: 3
Přijaté Pkts: 42
Význam Výstup zobrazuje stav připojení a další podrobnosti serveru Juniper ATP Cloud.

Konfigurační příkazy a operační příkazy

Junos CLI Reference Overview
Všechny příkazy a konfigurační příkazy Junos CLI jsme sjednotili na jednom místě. Dozvíte se o syntaxi a volbách, které tvoří příkazy a příkazy, a porozumějte kontextům, ve kterých budete tyto prvky CLI používat ve svých síťových konfiguracích a operacích.

  •  Reference Junos CLI
    Klepnutím na odkazy získáte přístup k tématům prohlášení o konfiguraci a souhrnu příkazů Junos OS a Junos OS Evolved.
  •  Konfigurační příkazy
  •  Příkazy CLI

Dokumenty / zdroje

Juniper NETWORKS Junos OS Security IoT [pdfUživatelská příručka
Junos OS Security IoT, Junos OS, Security IoT, IoT

Reference

Související příspěvky

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *