Новые решения безопасности Juniper Networks

Copyright © 2014 Juniper Networks, Inc. 1 Copyright © 2013 Juniper Networks, Inc.

НОВЫЕ РЕШЕНИЯ БЕЗОПАСНОСТИОБНОВЛЕНИЯ ПО ПРОДУКТАМ БЕЗОПАСНОСТИ

ПАВЕЛ ЖИВОВ

СИСТЕМНЫЙ ИНЖЕНЕР

[email protected]

НОЯБРЬ 2014

mailto:[email protected]

FireFly Perimeter. Новые возможности

UserFW. Применение политик на уровне пользователя

Application Identification 2.0

Junos Space Security Director Logging

Security Intelligence

Содержание

FIREFLY PERIMETERНОВЫЕ ВОЗМОЖНОСТИ

Firefly perimeter

Firefly Perimeter

VMVMВиртуальная версия ; обеспечиваетnorth/south firewall (4,9Gbps), NAT, маршрутизацию, функционал VPN в гибком формате виртуальной машины

Доступен с января 2014 (для VMware и KVM)

VM VM

Защита

Firefly Perimeter – Масштабируемость &производительность

Производительность VMware KVM

Firewall (пакеты UDP 1514 байт)4.9 Gbps

(400 kpps)1.1 Gbps(85 kpps)

Firewall (IMIX) 1.2 Gbps 242 Mbps

Сессий в секунду (TCP) 26K CPS 9K CPS

Задержка(512 байт UDP) 105 MicroSec 482 MicroSec

Firewall IPv6 (UDP 512 байт) 1.7 Gbps 383 Mbps

NAT (UDP 1514 байт) 4.4 Gbps 1 Gbps

NAT (IMIX) 1.1 Gbps 240 Mbps

NAT сессий в секунду (TCP) 20K CPS 8K CPS

IPSec (3DES+SHA1, 1514B) 295 Mbps 241 Mbps

IPSec (3DES+SHA1, IMIX) 66 Mbps 33 Mbps

IPSec (3DES+SHA1, 64B) 78 kpps 23 kpps

IKE (3DES+SHA1, V1 or 2)2000 туннелей

(83 туннелей/сек)2000 туннелей

(48 туннелей/сек)

Масштабируемость (VMware и KVM)

vRAM (рекомендуется, на 1 экземпляр) 2GB

vCPUs (минимум, на 1 экземпляр) 2

Макс. количество vNICs на 1 экземпляр 10

Макс. количество Зон безопасности 128

Макс. количество Адресных книг 128

Макс. количество Политик 10240

Макс. количество Политик со счетчиком 1024

Макс. количество Адресов в Политике 1024

Макс. количество Адресов в Наборе адресов 1024

Макс. количество Сессий 256k

Макс. количество РАТ сессий(Source NAT с PAT)

256k

Размер таблицы MAC/ARP-адресов 8k

Макс. количество VLAN 4k

Макс. количество маршрутов OSPF 160k

Макс. количество виртуальных маршрутизаторов 5

Производительность тестировалась на платформе: Dell PowerEdge R910 , ESXI 5.1, 40 ядер, 2.393 Ghz CPUs

# Количество экземпляров Firefly Perimeter/Сервер, VMware

Server Config 1: 8 ядер @ 2.66Ghz, 64GB RAM, 2x10G NICs 25

Server Config 2: 40 ядер @ 2.393Ghz, 256GB RAM, 4x10G NICs 100 (@ ~50 Mbps)

Конфигурация виртуальной аппаратной платформы Firefly PerimeterCPU

• 2 vCPU, один для RE, второй для flowd (PFE)• Тот же процессор как и для хост-машины (x86)

Память• 2GB

Дисковое пространство• 2 GB • Intel 82371AB/EB/MB PIIX4 IDE (rev 01)

Интерфейсы (vNIC) • VMware: Intel e1000• KVM: Virtio• 2 ~ 10 портов

В настоящее время конфигурация фиксированная (за исключением числа VNIC). В будущих версиях будет доступно изменение числа vCPU и объема vRAM

Высокая доступность Firefly perimeter

Firefly Perimeter поддерживает Chassis Clustering (Активный-Активный и Активный-Пассивный). Работает в том числе если Firefly Perimeter развернут на разных

гипервизорах.

HYPERVISOR

VM VM

Виртуальная среда

HYPERVISOR

VM VM

Виртуальная среда

Firefly Perim

Customer 1

(Active)

Firefly Perim

Customer 1

(Passive)

Firefly Perim

Customer 2

(Active)

Firefly Perim

Customer 2

(Passive)

Firefly Рerimeter – новые функции с Junos 12.1x47

Протоколы маршрутизации

Безопасность периметра

Statefull межсетевой экран

VPN

NAT

Маршрутизация IPS

Веб-фильрация

Анти-Спам

Антивирус

Контентная безопасность Application Firewall

Контентная фильтрация

Прозрачный режимПрозрачный режим в кластере

Поддержка кластера для KVM

Deterministic NAT PBA NAT Поддержка vSphere 5.5

Масштабируемость & производительность –дальнейшие улучшения

В настоящее время ведется активная работа по увеличению производительности и

масштабированию Firefly Perimeter

• Замена драйвера e1000

• Драйверы Virtio для KVM

• Flowd на базе Linux с Junos RE (NG Branch) (Junos RE/Control plane + преимущества Linux по коммутации

и виртуализации)

• Добавление vCPU для линейного увеличения производительности (оптимизация потоков flowd для

многоядерных процессоров)

• Переход с 32Bit OS к 64Bit для возможности использования более 4G vRAM

• Intel Encryption libraries для ускорения VPN (AES_NI)

• Intel DPDK

• Оптимизация ядра (опции no-output-queue shaping и т.д.)

UserFWПРИМЕНЕНИЕ ПОЛИТИК НА УРОВНЕ ПОЛЬЗОВАТЕЛЯ

Трехуровневая модель UserFW от Juniper

Интегрированный UserFW(12.1X47)

User Role FWПолное решение

UAC/NACБез

оп

асн

ост

ь

• Пассивная аутентификация• Best Effort• Реализуется SRX• Одно устройство• Без агентов• Идеально для:

• Отслеживания• Решений малого и

среднего уровня

• Активнаяаутентификация

• Детерминированный• Реализуется SRX• SRX + MAG• Идеально для:

• Окружений, требовательных к уровню безопасности

• Масштабов до 50k пользователей

• Сквозное решение• Детерминированный• Реализуется на этапе

доступа, затем SRX• SRX + MAG• Большие масштабы• Поддержка IF-MAP

• Конкурентные решения обычно предоставляют только интегрированный вариант. Этой модели присущи определенные недостатки.

• Расширение возможностей: начать с UserFW, затем можно добавить MAG и двигаться к полнофункциональному решению UAC/NAC

• Максимальная гибкость

• Поддержка на всех SRX

Windows ADs

Детерминированный User-Role Firewall для Active Directory

SRX-серия

MAG-серия

Internet

1

2

34

5

1 Пользователь входит в Домен с устройства участника Домена

2Неаутентифицированный клиент пытается получить доступ к ресурсам через SRX и получает отказ

3SRX перенаправляет клиента на контроллер IC для аутентификации на базе Kerberos

4

По результатам аутентификации и идентификации пользователя, контроллер IC узнает группуAD посредством LDAP, отображает ее на Роль и передает эти данные SRX

5

Устройство клиента посылает трафик через SRX, который контролируется политикой на основе полученных значений Пользователь/Роль

6MAG следит за состоянием пользовательской сессии для предотвращения подмены IP адреса

6

Клиент

Данные

Финансовые

приложения

Видео

Приложения

Корпоративный ЦОД

Windows AD

Интегрированный UserFW(начиная с Junos 12.1x47)

Клиент

SRX-серия

Корпоративный ЦОД

Приложения

Данные

Финансовые

приложения

Видео

СПД

1

1 Пользователь входит в Домен с устройства участника Домена

2Пользователь пытается установить соединение через SRX

3

SRX проверяет локальные таблицы на предмет наличия там данных о пользователе.

1. Если данные есть, сессия создается согласно политике.

2. Если нет, то SRX запрашивает AD (WMI DCOM)

3. Запрос группы через LDAP

4. AD передает данные.

5. Если AD не имеет данных, то пользователь перенаправляется на Captive portal

4Аутентифицированный пользователь проверяется согласно политике безопасности. Если трафик разрешен, то пользователю будет предоставлен доступ.

2

3

4

•Поддерживаются до 2 доменов и до 10 контроллеров домена

•Поддержка IP-фильтров

•Поддержка LDAPS для защиты канала LDAP-SRX

Масштабирование интегрированного UserFWПлатформа Количество

пользователейКоличестводоменов

Количествоконтроллеров

SRX100/110/210/220

500 1 5

SRX240 1 000 1 5

SRX550/650 5 000 2 10

SRX1400 20 000 2 10

SRX3k 50 000 2 10

SRX5k 100 000 2 10

AppID 2.0

Политики межсетевых экранов следующего поколения (NG Firewall Policy)

Традиционная политикаФильтрацияприложений

Защита приложений

= Запрещенные приложения

= Разрешенные приложения

КОНТРОЛЬЧто разрешено?

ЗАЩИТА ОТ УГРОЗЗапрос зловреден?

Определение приложений (алгоритм DFA по первым 100 байтам)

Контекты

Неопределено http и ssl

unspecified-

encryptedskype

Неизвестно

facebook youtubegmail

Предыдущая версия AppID

(до Junos 12.1x47)

TCP и UDP пакеты

Декодеры HTTP и SSL

DFA каждого контекста

Идентификация вложенных приложений

Эвристический анализ

ftp, dns, ymsg …

Вложенный потокЭвристика

Приложение

Определение приложений (алгоритм DFA по первым 100 байтам)

Контекты

Неопределено http и ssl

unspecified-

encryptedskype

Неизвестно

facebook youtubegmail

Предыдущая версия AppID

(до Junos 12.1x47)

TCP и UDP пакеты

Декодеры HTTP и SSL

DFA каждого контекста

Идентификация вложенных приложений

Эвристический анализ

ftp, dns, ymsg …

Вложенный потокЭвристика

Приложение

Нет сигнатур ALGНе всегда точно

Не всегда достаточно

Сигнатуры ALG

• Примерно 15 ALG не имели сигнатур, поэтому не могли быть распознаны старым AppID:• FTP-DATA, RTSP, SIP, RPC, BT …

• Решение в AppID 2.0:• Использует существующий модуль ALG в SRX

• Отображение ALG-ID в App-ID

• Предсказание потоков для BitTorrent• Используется декодер BT для извлечения значений IP-адреса/порты,

которые помещаются в таблицу шлюза

Увеличение количества декодеров• В AppID 1.0 были декодеры HTTP и SSL , а также ~ 10 контекстов,

что было не достаточным для идентификации вложенный приложений типа yahoo messenger chat или yahoo messenger file transfer, также было определять приложения в случае использования туннелирования SOCKS и HTTP.

• Решение в AppID 2.0

• В настоящее время, IDP имеет ~60 декодеров, которые могут использоваться AppID 2.0 для поддержки большего числа контекстов

Загружаемые декодеры

• В AppID 1.0 декодеры являлись частью JunOS и обновлялись

вместе с ним

• В AppID 2.0 декодеры являются отдельными модуля и могут

обновляться отдельно, например, вместе с обновлениями

сигнатур

Валидаторы• В AppID 1.0 происходило regexp-сравнение сигнатур с данными

сообщения. Это достаточно для определения большинства протоколов

• В AppID 2.0 добавляются валидаторы• Применяются после совпадения regexp для повышения точности

детектирования• Наиболее часто используемый валидатор - encoded packet length в

теле сообщения протокола

• Вероятность неправильного определения падает с 1 на 10 922 до 1 на 715 827 882

• Другие валидаторы: encoded port, encoded IP-адрес

Множественные соответствия• Если после regex + validator имеются несколько совпадений:

• Включаются дополнительные декодеры в параллельном режиме• Как только один из них находит соответствие, объявляется об определении приложения• Основываясь на мажоритарном принципе выбирается декодер с наибольшим количеством

совпавших контекстов

• Эвристический декодер• На его вход подается список кандидатов, который может динамически меняться

• Проверка нескольких сигнатур:• Проверяются встречные потоки

Ассиметричные потоки• AppID 1.0 проверяет оба направления потока Client-to-Server и

Server-to-Client

• Зачастую встречаются ассиметричные потоки

(длительный HTTP POST или PUT)

• AppID 2.0 способен определять приложения в случае высоко-

ассиметричных потоков

• использование множества декодеров

• использование валидаторов

Детектирование сложных протоколовМногие приложения трудно определить используя сигнатуры

(использующие техники скрытия Skype, BitTorrent, TOR и т.п., либо

дочерние потоки, например, FTP, SIP)

В AppID 2.0 используются три подхода:

1. Предсказание потока. Протокол декодируется и определяется пять

параметров будущего потока (IP src/dst, src/dst port, protocol).

Анализ загружаемых списков пиров BitTorrent.

Определяется приложение будущего потока, либо декодер, который

будет использоваться для проверки потока

2. Устранение неоднозначности через парсинг. Глубокий парсинг

идентифицирует маскирующиеся приложения типа TOR, Ultrasurf

3. Эвристический анализ

Другие нововведения• Результаты парсинга протоколов проверяются большим количеством

декодеров, что позволяет определять гораздо больше вложенных

приложений, таких как передача файлов в мессенджерах или видео-

звонки

• Декодирование туннелированых приложений (через HTTP или

SOCKS)

• Применение политик к туннелированным приложениям или к

протоколам носителям, например, запретить HTTP проксирование, но

не запрещать сам HTTP, или запретить SSL поверх HTTP

• Определение туннелируемых приложений посредством переключения

декодеров «на-лету»

• Гибкое кэширование

• Исторический анализ для улучшения эвристики

Сравнение AppID 1.0 и AppID 2.0

• AppID 1.0:• Поддерживает ~1700 примерно

• Движок, основанный на сравнении по сигнатуре первых нескольких байтов сообщения

• Большинство приложений могут быть детектированы по 1-2 пакетам

• Сложность в точной идентификации «увертливых» приложений типа TOR, Ultrasurf, Bittorrent

• Анализ максимум 144 байт в каждом направлении

• Не выполняет переклассификацию приложения

• AppID 2.0:• Поддерживает более 3000+ приложений, включая «увертливые» приложения

• Реализация на базе декодеров с существенным увеличением точности

• В наихудшем случае AppID 2.0 требует 5 пакетов в каждом направлении для завершения классификации

• Необходима инспекция 16 пакетов для определения неизвестных приложений

• Динамически загружаемы протокольные декодеры

• Поддержка классификации коррелированных сессий и интеллектуальный подход к определению приложений

Сервернаяферма

МСЭ

Цен

тр у

пр

авл

ени

я

APPFW – политики безопасности 3D

Цен

тр о

бр

або

тки

дан

ны

х

Традиционная политика

Пользователь и Группа

AppTrack

Идентификация приложений

• Ограничение определенных приложений для определенных пользователей• Снижение риска утечки важной информации• Блокировка нежелательных приложений и подверженных риску

МСЭ

Junos Space Security Director Logging

Space Platform

SecurityDirector

Space Platform APIs

Log Director

Все-в-одном:500 EPS долговременно; 1K EPS в пиках

Log Collector VMJA2500

Space Platform

SecurityDirector

Space Platform APIs

Log Director

Space + Один внешний коллектор2500 EPS долговременно; 5K EPS в пиках

Log Collector VM

JA2500 илиSpace VM

Space Platform

SecurityDirector

Space Platform APIs

Log Director

Максимально 4 х внешних коллектора + концентратор10к EPS долговременно; 20к EPS в пиках

Concentrator VM

Log Collector VM Log Collector VM Log Collector VMLog Collector VM

JA2500 илиSpace VM

Требования к виртуальной машине

Долговременные

EPS Число VM

Требования к Log Collector Требования к Log Concentrator

CPU RAM Disk CPU RAM Disk

2.5K 1 Log Collector8 CPU Intel Xeon E5-

26500 2GHz16GB 1TB NA

5K1 Concentrator 2

Log Collectors

2 CPU Intel Xeon E5-26500 2GHz 16GB 1TB

8 CPU Intel Xeon E5-26500 2GHz

16GB 1TB

7.5K1 Concentrator 3

Log Collectors2 CPU Intel Xeon E5-

26500 2GHz16GB 1TB


16GB 1TB

10K1 Concentrator 4

Log Collectors2 CPU Intel Xeon E5-

26500 2GHz16GB 1TB


16GB 1TB

Главная панель

Просмотр событий с или без группировки или фильтрации

Применение фильтров

Подробности по каждому событию

Отчеты по-умолчанию и пользовательские

Установка предупреждений

Заказ и лицензирование

• Лицензируется по EPS на Log Director

• Первые 500 EPS уже включены в лицензию на Security Director

• Безплатные образы Концентраторов/Коллекторов

JS-LOGDIRECTOR-500 JS Log Director- Add 500 EPS $X 200

JS-LOGDIRECTOR-1K JS Log Director- Add 1,000 EPS $X 400

JS-LOGDIRECTOR-5K JS Log Director- Add 5,000 EPS $XX 000

SECURITY INTELLIGENCESecIntel

Эволюция сетевой безопасности

• Определение приложений и контроль

• Контроль на уровне пользователя

• Сервисы предотвращения вторжений

Next-Gen Firewall L7

L3

Традиционный МСЭ

МСЭ следующего поколения

Статический Динамический

• Открытая платформа дает больше возможностей

• Масштабируемость для применения в сегменте провайдеров и предприятий

• Создан для больших объемов данных

• Улучшенная эффективность благодаря рейтингу угроз и настройке

• Адаптивность: от источника данных к нормализации и синдикации в точке применения политики

Интеграция интеллектуальности об угрозах характеризует адаптивный интеллектуальный межсетевой экран

L7

L3

Адаптивный интеллектуальный

МСЭ

Эволюция сетевой безопасности

МСЭ следующего поколения

Традиционный МСЭ

Статический Динамический

Подход Juniper к Интеллектуальности для межсетевых экрановДинамическая защита против новых угроз

Добавляет ценность источникам данных об угрозах

Источник данных об угрозах Juniper имеет следующие характеристики:

• Компиляция источников данных собственной исследовательской команды и сторонних источников

• Источники данных включают IP-адреса, доменные имена и URL

• Фокус на трафике Command and Control (C&C) ботнетов и malware

• Данные C&C обновляются ежечасно для обеспечения их актуальности и блокирования самых новых угроз

• Рейтинг уровня угрозы для уменьшения ложных срабатываний и повышения эффективности

Улучшает Вашу защитуИспользуйте информацию об угрозах в реальном времени для их детектирования и устранения

От ботов:• Источники данных Juniper детектируют и блокируют опасные IP Command

and Control, Доменные имена и URL, пытающиеся контролировать зараженные системы внутри Вашей сети

Защита

Ваши собственные или сторонние источникиИнтеграция

Mitigate hackers with Juniper WebApp SecureИдентификация

Политики на основе информации GeoIPСоздание

Источники Security Intelligence

Оборудование/служба на сайте

Аналитика

SIEM

Собственные

Белые/Черные списки

(например, данные CSIRT,

SpamHaus, OpenBL и т.п.)

Источники

информации о

Malware

Предоставление информации, применимой на практике

Значительное

покрытие

случаев при

помощи

данных

важных для

реализации

политики

Емкость,

удовлетворяющая

нужды заказчика.

Решение,

которое

масштабируется

Уверенность в

источниках данных &

снижение шума от

ложных срабатываний

Источники

оптимизирова

ны для SRX

эффективно

используют

ресурсы

ОХВАТ МАСШТАБ ТОЧНОСТЬ ПРИОРИТЕЗАЦИЯ

Замыкание петли реализацией политики на SRX

Платформа Security Intelligence

Собственные данные

пользователя об

угрозах или от 3-й

стороны

Command & Control

GeoIP

Дополнительная информация

Локальные

апплайнсы или

Сервисы

1

2

3

45

Межсетевые экраны SRX

Агрегированная & оптимизированная информация об

угрозах. Облачный сервис1

Поставляемые Juniper данные об угрозах2

Участие пользователя системы в ее работе3

Централизованное управления через Junos Space

Security Director4

Данные поступают в точки применения политик5

Spotlight Secure

Security Director

структура, которая использует информацию из множества источников для обеспечения усиленной безопансоти

Данные об угрозах, оптимизированные для SRX

• Консолидация данных• Отсеивание ложных

срабатываний• Добавление/нормализация

рейтинга угрозы• Приоритезация на основе

текущего ландшафта угроз

192.168.3.101 10BadGuy.com 5http://xyz.com/exploit 3…

Данные от Juniper

• Источники данных Juniper созданы для наибольшей эффективности работы ресурсов точке применения политик

• Политика может быть настроена используя рейтинги угроз

• Широкое покрытие IP-адресов, доменных имен и URL

Не вся информация

создается одинаковой

Процесс оптимизации

Информациясобирается

из множестваисточников

Источники данных

• Juniper предоставляет данные об угрозах (C&C, botnet)

• Мы используем различные источники данных об угрозах и техники для уверенности, что данные актуальны и действенны

• Все источники тщательно проверяются исследовательской командойJuniper

Очистка & Повтор

Оптимизация

Создание

источника

Источник данных

• Угрозы часто меняются• Регулярное обновление

данных• Spotlight Secure гарантирует,

что данные являются актуальными и действенными

Централизованное управление источниками

Работает «из коробки»

Требования

Продукт Версия

Junos (SRX550, 650, 1k, 3k, 5k) 12.1X46-D25

Security Director/Log Director 14.1

Junos Space 14.1

Spotlight Secure Connector 1.0.3

Spotlight Secure Cloud Service Постоянные обновления

Лицензирование Security Intelligence

• Два варианта лицензий:

• Подписка: Для тех заказчиков, кто пользуется облачным сервисом SecIntel от Juniper

• Постоянная: Для тех, кто использует свои источники данных

• Лицензирование по подписке

• Лицензии для разных моделей SRX

• Очень конкурентноспособная цена

• Бандлы на 3 и 5 лет для C&C со встроенной скидкой

• Постоянная лицензия

• В настоящее время стоит $0

• Приобретение SKU представляет лицензионный ключ

Spotlight Secure SKUSKU Description Цена за 1 год

SPOT-CC-550-

{1,3,5}Y (-R)Spotlight Secure, Security Intelligence Cloud Service - Command & Control Feed – 1/3/5 Year Subscription for 1

SRX550 (Includes entitlement for 1Y to Spotlight Secure Connector) $XXX

SPOT-CC-650-


SRX650 (Includes entitlement for 1Y to Spotlight Secure Connector) $X 299

SPOT-CC-1400-



SPOT-CC-3400-



SPOT-CC-3600-



SPOT-CC-5400-


SRX5400 (Includes entitlement for 1Y to Spotlight Secure Connector) $XX 999

SPOT-CC-5600-


SRX5600 (Includes entitlement for 1Y to Spotlight Secure Connector) $XX 999

SPOT-CC-5800-


SRX5800 (Includes entitlement for 1Y to Spotlight Secure Connector) $XX 999 SPOT-LOCAL-

{550,650,1400,3400,

5400,5600,5800}

Spotlight Secure Connector, Security Intelligence Aggregation Service - SRX550 (only required if used without

Spotlight Secure cloud-based feed) [Perpetual License] $0

Наилучший функционал для SRX

Поддержка тысяч SRX

Емкость до >1M записей, включающих IPs, URL и домены

Выбор использования любогоисточника данных

Открытость

Масштабируемость

Высокая

ёмкость

Эффективное использование ресурсов & дизайн для Будущего

Адаптируемость

«Хм… Я все таки уверен, что важную информацию можно скрыть как-то по-другому…»

Copyright © 2014 Juniper Networks, Inc. 59 Copyright © 2013 Juniper Networks, Inc.

СПАСИБО!

Education

Новые решения безопасности Juniper Networks