SDSN日本語ガイド～コンフィグ編～ジュニパーネットワークス株式会社

2017年9月

はじめにSDSN の設定方法について説明します。

※手順内容は「space-16.1R2.7.ova」、「Security-Director-16.2R1.153.img」、「Integrated-Log-

Collector-16.2R1.15.sh」、「Policy_Enforcer-16.2R1-4.ova」、「SRX1500 Junos 15.1X49-D80.4」、「EX4200 Junos 15.1 R5.5」にて確認を実施しております。

目次

• Spaceプラットフォームへのデバイス登録

• Security Directorへのコンフィグインポート

• SDSN設定

Spaceプラットフォームへのデバイス登録

デバイスを登録する前に

• Spaceプラットフォームに登録するデバイスには予め下記の設定を行っておくこと• SpaceプラットフォームとのIPリーチャビリティがあること

• Super-classのユーザアカウント

• SSH

• Read権限のあるSNMPコミュニティ

• SRXかつインバンド管理を行う場合は、上記サービスを許可するhost-inbound-trafficの設定

デバイスの登録

「Devices > Device Discovery > Device Discovery Profiles」の＋を選択

デバイスの登録

プロファイル名（任意）

デバイスのIPアドレス

デバイスの登録

特に変更せず「Next」をクリック

デバイスの登録

super-userクラスのユーザ／パスワードを入力

デバイスの登録

特に変更せず「Next」をクリック

デバイスの登録

「Discover」をクリックすると登録開始

デバイスの登録

登録中 登録完了

登録が完了すると「Managed」ステータスになる

デバイスの登録

「Devices > Device Management」にデバイスが登録されていれば完了

デバイスの登録

同様の手順で全てのデバイスを登録する

DMI（Device Management Interface）スキーマ

製品種別／バージョン毎にDMIスキーマをインストールする必要あり

DMIスキーマとは、デバイスを管理するために必要となる全てのフィールドとアトリビュート情報が

記述されたデータファイル

DMIスキーマの追加

「Administration > DMI Schemas」からDMIスキーマのインストールや、インストール済みの

DMIスキーマを確認可能

クリック

DMIスキーマの追加

「SVN Repository」にチェックし「Configure」をクリック「SVN Repository」にチェックし「Configure」をクリック

DMIスキーマの追加

「https://xml.juniper.net/dmi/repository/trunk/」を入力

CSCアカウントを入力

入力が完了したら「Save」をクリック接続確認

DMIスキーマの追加

「Connect」をクリックすると下記にスキーマ一覧が表示される

チェックを付けると不足しているスキーマのみをフィルタする

インストールするスキーマバージョンをチェックし「Install」をクリック

インストールするスキーマバージョンをチェックし「Install」をクリック

DMIスキーマの追加

「Job ID」をクリックしステータス確認

DMIスキーマの追加

インストール完了

DMIスキーマの追加

OSバージョンとスキーマバージョンが一致していることを確認

Security Directorへのコンフィグインポート

Security Directorへのコンフィグインポート

SRX上で右クリックし「Import」をクリック

SRXに設定済みのFW, NANT, IPSポリシーをSDにインポート

SRX上で右クリックし「Import」をクリック

Security Directorへのコンフィグインポート

インポートするポリシーにチェック 「Next」をクリック

Security Directorへのコンフィグインポート

「Finish」をクリック

Security Directorへのコンフィグインポート

インポートされるポリシー数

「OK」をクリックしインポート開始

Security Directorへのコンフィグインポート

インポート完了

「OK」をクリック

インポートされたポリシー確認

クリックすると詳細が表示される

インポートされたポリシー確認

インポートされたポリシー

SDSN設定

SDSN設定の前に

• 本資料を作成する際に使用した構成

InternetSRX1500 (mutsu)

EX4200 (shikkoku)

Aggr. SW

EX4200 (benitobi)

Access SW

EX4200 (moegi)

Access SW

Client

192.168.100.2

van.100

192.168.100.2

SDSN設定の主な流れ

• Secure Fabric• ネットワークデバイスの集合

• Policy Enforcement Group• ポリシーを適用するエンドポイント（FW, Switch, Subnet等）のグループ

• Sky ATP

• Threat Prevention Policy• Sky ATPの脅威防御ポリシー

• その他• 上記の項目は個別に設定することが可能だが、本資料ではウィザード形式で設定できるGuided Setupを用いて設定を行う

• Sky ATPアカウントが必要となるが、本資料では事前にアカウントを作成済みとして解説する

Guided Setup

「Sky ATP with PE」を選択し「Start Setup」をクリック

「Sky ATP with PE」を選択し「Start Setup」をクリック

Secure Fabric

「＋」をクリック

Secure Fabric

任意の名前

「OK」をクリック

Secure Fabric

「Add Devices」をクリックしSDSNで使用するデバイスを指定

Secure Fabric

使用するデバイス（FW, SW）を右側のウィンドウに移動

「OK」をクリック

Secure Fabric

「Next」をクリックデバイスが追加される

Policy Enforcement Group

「＋」をクリック

Policy Enforcement Group

任意の名前

SDSNポリシーの対象となるサブネットを登録今回はクライアントのサブネットのみを登録

「OK」をクリック

Policy Enforcement Group

「Next」をクリック

サブネットが追加される

Sky ATP

「＋」をクリック

Sky ATP

Sky ATPのアカウント／レルムを入力

Sky ATPのアカウント作成がまだの場合はここからSky ATPポータルに移動可能

「OK」をクリック

Sky ATP

設定したSky ATPレルムにSecure Fabricをアサインする

Sky ATP

Secure Fabricを右側のウィンドウに移動

「OK」をクリック

Sky ATP

アサインされたSecure Fabricとデバイス数が確認可能

「Next」をクリック

Threat Prevention Policy

「＋」をクリック

Threat Prevention Policy

任意の名前

C&Cプロファイルを使用する場合はチェック

今回はデフォルトのパラメータを使用

「OK」をクリック

Threat Prevention Policy

マルウェアに感染したホストを制御する場合はチェック

デフォルトのアクションは破棄だが隔離VLANへのリダイレクトも可能

「OK」をクリック

Threat Prevention Policy

HTTPファイルのスキャンを有効化

Sky ATPのプロファイルを指定

「OK」をクリック

Threat Prevention Policy

隔離を行う閾値を指定

「OK」をクリック

Threat Prevention Policy

Threat Prevention Policyをアサインする

Threat Prevention Policy

ポリシーをアサインするグループを右側のウィンドウに移動

「OK」をクリック

Threat Prevention Policy

「Update」をクリックして設定をSRXに反映させる

Threat Prevention Policy

設定完了

「OK」をクリック

Threat Prevention Policy

「Finish」をクリック

Threat Prevention Policyがアサインされていることを確認

Guided Setup

「OK」をクリック

Guided Setup

「Updated」になっていることを確認

設定完了

セキュリティポリシーの確認

SRXのデバイスポリシーをクリック

セキュリティポリシーの確認

Guided Setupによって追加されたSDSNポリシーGuided Setupによって追加されたSDSNポリシー

SDSN動作確認

ホストの隔離

• Sky ATP上で設定された脅威レベルの閾値を超えたホストは自動的に隔離される

• 脅威レベルが上がるトリガーは下記のいずれか• C&Cサーバへアクセスを試みる

• マルウェアのダウンロードを試みる

• 本資料では、テスト用の無害なウィルスであるeicarをダウンロードし動作確認を行う

（参考）C&Cサーバのリスト確認方法

lab@mutsu_srx1500> show security dynamic-address category-name CC | match a

No. IP-start IP-end Feed Address

17125 1.1.1.3 1.1.1.3 CC/1 ID-2140001a

17126 1.217.154.116 1.217.154.116 CC/1 ID-2140001a

17127 5.2.70.201 5.2.70.201 CC/1 ID-2140001a

17128 5.45.181.138 5.45.181.138 CC/1 ID-2140001a

17129 5.77.33.110 5.77.33.110 CC/1 ID-2140001a

<snip>

C&Cサーバの一覧 最後の一桁（16進）が脅威レベルを示す

脅威レベル10（0xA）=最大のみ表示

クライアントからeicarをダウンロード

クリックしてダウンロード

• アンチウィルスソフトが動作する可能性があるため、検証用端末で実施すること

マルウェアに感染したホストの確認

脅威レベルが10になる

Monitor > Threat Prevention > Hosts

から確認可能

ホスト（IPアドレス）をクリックすると詳細画面に遷移

詳細画面

ホストが接続されているスイッチポート

詳細画面

“malicious file”をクリックするとファイルの詳細を確認可能

ファイルの詳細

• ホストのIPアドレスはSRXに配信されIPアドレスベースでブロック

SRXのダイナミックアドレス（Infected Hosts）

lab@mutsu_srx1500> show security dynamic-address category-name Infected-Hosts

No. IP-start IP-end Feed Address

1 192.168.100.2 192.168.100.2 Infected-Hosts/1 ID-2150001a

Total number of matching entries: 1

• ホストのMACアドレスをブロックするファイアウォールフィルタが自動で設定される

アクセススイッチに設定されるフィルタ

{master:0}

lab@benitobi> show configuration vlans

v100 {

vlan-id 100;

filter {

input SDSN_INPUT_benitobi_v100;

output SDSN_OUTPUT_benitobi_v100;

}

}

{master:0}

lab@benitobi> show configuration firewall

family ethernet-switching {

filter SDSN_INPUT_benitobi_v100 {

term MAC_00:0c:29:11:11:11 {

from {

source-mac-address {

00:0c:29:11:11:11/48;

}

}

then {

discard;

log;

}

}

term GOOD_HOST_MAC_00:0c:29:11:11:11 {

then accept;

}

}

filter SDSN_OUTPUT_benitobi_v100 {

term MAC_00:0c:29:11:11:11 {

from {

destination-mac-address {

00:0c:29:11:11:11/48;

}

}

then discard;

}

term GOOD_HOST_MAC_00:0c:29:11:11:11 {

then accept;

}

}

}

MACトラッキングの確認

• ホストの接続先をbenitobiからmoegiに変更

InternetSRX1500 (mutsu)

EX4200 (shikkoku)

Aggr. SW

EX4200 (benitobi)

Access SW

EX4200 (moegi)

Access SW

Client

192.168.100.2

van.100

192.168.100.2

ホストの確認

ホストが接続されているスイッチポートがmoegiに変わる※画面に反映されるまで約5～10分程かかる

• 新しい接続先スイッチにファイアウォールフィルタが自動で設定される（前のスイッチに設定されたフィルタは自動で削除される）

アクセススイッチに設定されるフィルタ

{master:0}

lab@moegi> show configuration vlans

v100 {

vlan-id 100;

filter {

input SDSN_INPUT_moegi_v100;

output SDSN_OUTPUT_moegi_v100;

}

}

{master:0}

lab@moegi> show configuration firewall

family ethernet-switching {

filter SDSN_INPUT_moegi_v100 {

term MAC_00:0c:29:11:11:11 {

from {

source-mac-address {

00:0c:29:11:11:11/48;

}

}

then {

discard;

log;

}

}

term GOOD_HOST_MAC_00:0c:29:11:11:11 {

then accept;

}

}

filter SDSN_OUTPUT_moegi_v100 {

term MAC_00:0c:29:11:11:11 {

from {

destination-mac-address {

00:0c:29:11:11:11/48;

}

}

then discard;

}

term GOOD_HOST_MAC_00:0c:29:11:11:11 {

then accept;

}

}

}

フィルタの削除

“Investigation Status”を”Resolved – Fixed”に変更するとSRXに配信されたInfected Hosts Feedとスイッチに設定された

ファイアウォールフィルタが削除される

Thank you