Upload
juniper-networks-se-
View
502
Download
0
Embed Size (px)
Citation preview
はじめにSDSN の設定方法について説明します。
※手順内容は「space-16.1R2.7.ova」、「Security-Director-16.2R1.153.img」、「Integrated-Log-
Collector-16.2R1.15.sh」、「Policy_Enforcer-16.2R1-4.ova」、「SRX1500 Junos 15.1X49-D80.4」、「EX4200 Junos 15.1 R5.5」にて確認を実施しております。
デバイスを登録する前に
• Spaceプラットフォームに登録するデバイスには予め下記の設定を行っておくこと• SpaceプラットフォームとのIPリーチャビリティがあること
• Super-classのユーザアカウント
• SSH
• Read権限のあるSNMPコミュニティ
• SRXかつインバンド管理を行う場合は、上記サービスを許可するhost-inbound-trafficの設定
DMI(Device Management Interface)スキーマ
製品種別/バージョン毎にDMIスキーマをインストールする必要あり
DMIスキーマとは、デバイスを管理するために必要となる全てのフィールドとアトリビュート情報が
記述されたデータファイル
DMIスキーマの追加
「Connect」をクリックすると下記にスキーマ一覧が表示される
チェックを付けると不足しているスキーマのみをフィルタする
インストールするスキーマバージョンをチェックし「Install」をクリック
インストールするスキーマバージョンをチェックし「Install」をクリック
Security Directorへのコンフィグインポート
SRX上で右クリックし「Import」をクリック
SRXに設定済みのFW, NANT, IPSポリシーをSDにインポート
SRX上で右クリックし「Import」をクリック
SDSN設定の前に
• 本資料を作成する際に使用した構成
InternetSRX1500 (mutsu)
EX4200 (shikkoku)
Aggr. SW
EX4200 (benitobi)
Access SW
EX4200 (moegi)
Access SW
Client
192.168.100.2
van.100
192.168.100.2
SDSN設定の主な流れ
• Secure Fabric• ネットワークデバイスの集合
• Policy Enforcement Group• ポリシーを適用するエンドポイント(FW, Switch, Subnet等)のグループ
• Sky ATP
• Threat Prevention Policy• Sky ATPの脅威防御ポリシー
• その他• 上記の項目は個別に設定することが可能だが、本資料ではウィザード形式で設定できるGuided Setupを用いて設定を行う
• Sky ATPアカウントが必要となるが、本資料では事前にアカウントを作成済みとして解説する
ホストの隔離
• Sky ATP上で設定された脅威レベルの閾値を超えたホストは自動的に隔離される
• 脅威レベルが上がるトリガーは下記のいずれか• C&Cサーバへアクセスを試みる
• マルウェアのダウンロードを試みる
• 本資料では、テスト用の無害なウィルスであるeicarをダウンロードし動作確認を行う
(参考)C&Cサーバのリスト確認方法
lab@mutsu_srx1500> show security dynamic-address category-name CC | match a
No. IP-start IP-end Feed Address
17125 1.1.1.3 1.1.1.3 CC/1 ID-2140001a
17126 1.217.154.116 1.217.154.116 CC/1 ID-2140001a
17127 5.2.70.201 5.2.70.201 CC/1 ID-2140001a
17128 5.45.181.138 5.45.181.138 CC/1 ID-2140001a
17129 5.77.33.110 5.77.33.110 CC/1 ID-2140001a
<snip>
C&Cサーバの一覧 最後の一桁(16進)が脅威レベルを示す
脅威レベル10(0xA)=最大のみ表示
• ホストのIPアドレスはSRXに配信されIPアドレスベースでブロック
SRXのダイナミックアドレス(Infected Hosts)
lab@mutsu_srx1500> show security dynamic-address category-name Infected-Hosts
No. IP-start IP-end Feed Address
1 192.168.100.2 192.168.100.2 Infected-Hosts/1 ID-2150001a
Total number of matching entries: 1
• ホストのMACアドレスをブロックするファイアウォールフィルタが自動で設定される
アクセススイッチに設定されるフィルタ
{master:0}
lab@benitobi> show configuration vlans
v100 {
vlan-id 100;
filter {
input SDSN_INPUT_benitobi_v100;
output SDSN_OUTPUT_benitobi_v100;
}
}
{master:0}
lab@benitobi> show configuration firewall
family ethernet-switching {
filter SDSN_INPUT_benitobi_v100 {
term MAC_00:0c:29:11:11:11 {
from {
source-mac-address {
00:0c:29:11:11:11/48;
}
}
then {
discard;
log;
}
}
term GOOD_HOST_MAC_00:0c:29:11:11:11 {
then accept;
}
}
filter SDSN_OUTPUT_benitobi_v100 {
term MAC_00:0c:29:11:11:11 {
from {
destination-mac-address {
00:0c:29:11:11:11/48;
}
}
then discard;
}
term GOOD_HOST_MAC_00:0c:29:11:11:11 {
then accept;
}
}
}
MACトラッキングの確認
• ホストの接続先をbenitobiからmoegiに変更
InternetSRX1500 (mutsu)
EX4200 (shikkoku)
Aggr. SW
EX4200 (benitobi)
Access SW
EX4200 (moegi)
Access SW
Client
192.168.100.2
van.100
192.168.100.2
• 新しい接続先スイッチにファイアウォールフィルタが自動で設定される(前のスイッチに設定されたフィルタは自動で削除される)
アクセススイッチに設定されるフィルタ
{master:0}
lab@moegi> show configuration vlans
v100 {
vlan-id 100;
filter {
input SDSN_INPUT_moegi_v100;
output SDSN_OUTPUT_moegi_v100;
}
}
{master:0}
lab@moegi> show configuration firewall
family ethernet-switching {
filter SDSN_INPUT_moegi_v100 {
term MAC_00:0c:29:11:11:11 {
from {
source-mac-address {
00:0c:29:11:11:11/48;
}
}
then {
discard;
log;
}
}
term GOOD_HOST_MAC_00:0c:29:11:11:11 {
then accept;
}
}
filter SDSN_OUTPUT_moegi_v100 {
term MAC_00:0c:29:11:11:11 {
from {
destination-mac-address {
00:0c:29:11:11:11/48;
}
}
then discard;
}
term GOOD_HOST_MAC_00:0c:29:11:11:11 {
then accept;
}
}
}
フィルタの削除
“Investigation Status”を”Resolved – Fixed”に変更するとSRXに配信されたInfected Hosts Feedとスイッチに設定された
ファイアウォールフィルタが削除される