SDSN日本語ガイド ~ コンフィグ編 ~ ジュニパーネットワークス株式会社 2017年9月
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
SDSN日本語ガイド~コンフィグ編~ジュニパーネットワークス株式会社
2017年9月
はじめにSDSN の設定方法について説明します。
※手順内容は「space-16.1R2.7.ova」、「Security-Director-16.2R1.153.img」、「Integrated-Log-
Collector-16.2R1.15.sh」、「Policy_Enforcer-16.2R1-4.ova」、「SRX1500 Junos 15.1X49-D80.4」、「EX4200 Junos 15.1 R5.5」にて確認を実施しております。
目次
• Spaceプラットフォームへのデバイス登録
• Security Directorへのコンフィグインポート
• SDSN設定
Spaceプラットフォームへのデバイス登録
デバイスを登録する前に
• Spaceプラットフォームに登録するデバイスには予め下記の設定を行っておくこと• SpaceプラットフォームとのIPリーチャビリティがあること
• Super-classのユーザアカウント
• SSH
• Read権限のあるSNMPコミュニティ
• SRXかつインバンド管理を行う場合は、上記サービスを許可するhost-inbound-trafficの設定
デバイスの登録
「Devices > Device Discovery > Device Discovery Profiles」の+を選択
デバイスの登録
プロファイル名(任意)
デバイスのIPアドレス
デバイスの登録
特に変更せず「Next」をクリック
デバイスの登録
super-userクラスのユーザ/パスワードを入力
デバイスの登録
特に変更せず「Next」をクリック
デバイスの登録
「Discover」をクリックすると登録開始
デバイスの登録
登録中 登録完了
登録が完了すると「Managed」ステータスになる
デバイスの登録
「Devices > Device Management」にデバイスが登録されていれば完了
デバイスの登録
同様の手順で全てのデバイスを登録する
DMI(Device Management Interface)スキーマ
製品種別/バージョン毎にDMIスキーマをインストールする必要あり
DMIスキーマとは、デバイスを管理するために必要となる全てのフィールドとアトリビュート情報が
記述されたデータファイル
DMIスキーマの追加
「Administration > DMI Schemas」からDMIスキーマのインストールや、インストール済みの
DMIスキーマを確認可能
クリック
DMIスキーマの追加
「SVN Repository」にチェックし「Configure」をクリック「SVN Repository」にチェックし「Configure」をクリック
DMIスキーマの追加
「https://xml.juniper.net/dmi/repository/trunk/」を入力
CSCアカウントを入力
入力が完了したら「Save」をクリック接続確認
DMIスキーマの追加
「Connect」をクリックすると下記にスキーマ一覧が表示される
チェックを付けると不足しているスキーマのみをフィルタする
インストールするスキーマバージョンをチェックし「Install」をクリック
インストールするスキーマバージョンをチェックし「Install」をクリック
DMIスキーマの追加
「Job ID」をクリックしステータス確認
DMIスキーマの追加
インストール完了
DMIスキーマの追加
OSバージョンとスキーマバージョンが一致していることを確認
Security Directorへのコンフィグインポート
Security Directorへのコンフィグインポート
SRX上で右クリックし「Import」をクリック
SRXに設定済みのFW, NANT, IPSポリシーをSDにインポート
SRX上で右クリックし「Import」をクリック
Security Directorへのコンフィグインポート
インポートするポリシーにチェック 「Next」をクリック
Security Directorへのコンフィグインポート
「Finish」をクリック
Security Directorへのコンフィグインポート
インポートされるポリシー数
「OK」をクリックしインポート開始
Security Directorへのコンフィグインポート
インポート完了
「OK」をクリック
インポートされたポリシー確認
クリックすると詳細が表示される
インポートされたポリシー確認
インポートされたポリシー
SDSN設定
SDSN設定の前に
• 本資料を作成する際に使用した構成
InternetSRX1500 (mutsu)
EX4200 (shikkoku)
Aggr. SW
EX4200 (benitobi)
Access SW
EX4200 (moegi)
Access SW
Client
192.168.100.2
van.100
192.168.100.2
SDSN設定の主な流れ
• Secure Fabric• ネットワークデバイスの集合
• Policy Enforcement Group• ポリシーを適用するエンドポイント(FW, Switch, Subnet等)のグループ
• Sky ATP
• Threat Prevention Policy• Sky ATPの脅威防御ポリシー
• その他• 上記の項目は個別に設定することが可能だが、本資料ではウィザード形式で設定できるGuided Setupを用いて設定を行う
• Sky ATPアカウントが必要となるが、本資料では事前にアカウントを作成済みとして解説する
Guided Setup
「Sky ATP with PE」を選択し「Start Setup」をクリック
「Sky ATP with PE」を選択し「Start Setup」をクリック
Secure Fabric
「+」をクリック
Secure Fabric
任意の名前
「OK」をクリック
Secure Fabric
「Add Devices」をクリックしSDSNで使用するデバイスを指定
Secure Fabric
使用するデバイス(FW, SW)を右側のウィンドウに移動
「OK」をクリック
Secure Fabric
「Next」をクリックデバイスが追加される
Policy Enforcement Group
「+」をクリック
Policy Enforcement Group
任意の名前
SDSNポリシーの対象となるサブネットを登録今回はクライアントのサブネットのみを登録
「OK」をクリック
Policy Enforcement Group
「Next」をクリック
サブネットが追加される
Sky ATP
「+」をクリック
Sky ATP
Sky ATPのアカウント/レルムを入力
Sky ATPのアカウント作成がまだの場合はここからSky ATPポータルに移動可能
「OK」をクリック
Sky ATP
設定したSky ATPレルムにSecure Fabricをアサインする
Sky ATP
Secure Fabricを右側のウィンドウに移動
「OK」をクリック
Sky ATP
アサインされたSecure Fabricとデバイス数が確認可能
「Next」をクリック
Threat Prevention Policy
「+」をクリック
Threat Prevention Policy
任意の名前
C&Cプロファイルを使用する場合はチェック
今回はデフォルトのパラメータを使用
「OK」をクリック
Threat Prevention Policy
マルウェアに感染したホストを制御する場合はチェック
デフォルトのアクションは破棄だが隔離VLANへのリダイレクトも可能
「OK」をクリック
Threat Prevention Policy
HTTPファイルのスキャンを有効化
Sky ATPのプロファイルを指定
「OK」をクリック
Threat Prevention Policy
隔離を行う閾値を指定
「OK」をクリック
Threat Prevention Policy
Threat Prevention Policyをアサインする
Threat Prevention Policy
ポリシーをアサインするグループを右側のウィンドウに移動
「OK」をクリック
Threat Prevention Policy
「Update」をクリックして設定をSRXに反映させる
Threat Prevention Policy
設定完了
「OK」をクリック
Threat Prevention Policy
「Finish」をクリック
Threat Prevention Policyがアサインされていることを確認
Guided Setup
「OK」をクリック
Guided Setup
「Updated」になっていることを確認
設定完了
セキュリティポリシーの確認
SRXのデバイスポリシーをクリック
セキュリティポリシーの確認
Guided Setupによって追加されたSDSNポリシーGuided Setupによって追加されたSDSNポリシー
SDSN動作確認
ホストの隔離
• Sky ATP上で設定された脅威レベルの閾値を超えたホストは自動的に隔離される
• 脅威レベルが上がるトリガーは下記のいずれか• C&Cサーバへアクセスを試みる
• マルウェアのダウンロードを試みる
• 本資料では、テスト用の無害なウィルスであるeicarをダウンロードし動作確認を行う
(参考)C&Cサーバのリスト確認方法
lab@mutsu_srx1500> show security dynamic-address category-name CC | match a
No. IP-start IP-end Feed Address
17125 1.1.1.3 1.1.1.3 CC/1 ID-2140001a
17126 1.217.154.116 1.217.154.116 CC/1 ID-2140001a
17127 5.2.70.201 5.2.70.201 CC/1 ID-2140001a
17128 5.45.181.138 5.45.181.138 CC/1 ID-2140001a
17129 5.77.33.110 5.77.33.110 CC/1 ID-2140001a
<snip>
C&Cサーバの一覧 最後の一桁(16進)が脅威レベルを示す
脅威レベル10(0xA)=最大のみ表示
クライアントからeicarをダウンロード
クリックしてダウンロード
• アンチウィルスソフトが動作する可能性があるため、検証用端末で実施すること
マルウェアに感染したホストの確認
脅威レベルが10になる
Monitor > Threat Prevention > Hosts
から確認可能
ホスト(IPアドレス)をクリックすると詳細画面に遷移
詳細画面
ホストが接続されているスイッチポート
詳細画面
“malicious file”をクリックするとファイルの詳細を確認可能
ファイルの詳細
• ホストのIPアドレスはSRXに配信されIPアドレスベースでブロック
SRXのダイナミックアドレス(Infected Hosts)
lab@mutsu_srx1500> show security dynamic-address category-name Infected-Hosts
No. IP-start IP-end Feed Address
1 192.168.100.2 192.168.100.2 Infected-Hosts/1 ID-2150001a
Total number of matching entries: 1
• ホストのMACアドレスをブロックするファイアウォールフィルタが自動で設定される
アクセススイッチに設定されるフィルタ
{master:0}
lab@benitobi> show configuration vlans
v100 {
vlan-id 100;
filter {
input SDSN_INPUT_benitobi_v100;
output SDSN_OUTPUT_benitobi_v100;
}
}
{master:0}
lab@benitobi> show configuration firewall
family ethernet-switching {
filter SDSN_INPUT_benitobi_v100 {
term MAC_00:0c:29:11:11:11 {
from {
source-mac-address {
00:0c:29:11:11:11/48;
}
}
then {
discard;
log;
}
}
term GOOD_HOST_MAC_00:0c:29:11:11:11 {
then accept;
}
}
filter SDSN_OUTPUT_benitobi_v100 {
term MAC_00:0c:29:11:11:11 {
from {
destination-mac-address {
00:0c:29:11:11:11/48;
}
}
then discard;
}
term GOOD_HOST_MAC_00:0c:29:11:11:11 {
then accept;
}
}
}
MACトラッキングの確認
• ホストの接続先をbenitobiからmoegiに変更
InternetSRX1500 (mutsu)
EX4200 (shikkoku)
Aggr. SW
EX4200 (benitobi)
Access SW
EX4200 (moegi)
Access SW
Client
192.168.100.2
van.100
192.168.100.2
ホストの確認
ホストが接続されているスイッチポートがmoegiに変わる※画面に反映されるまで約5~10分程かかる
• 新しい接続先スイッチにファイアウォールフィルタが自動で設定される(前のスイッチに設定されたフィルタは自動で削除される)
アクセススイッチに設定されるフィルタ
{master:0}
lab@moegi> show configuration vlans
v100 {
vlan-id 100;
filter {
input SDSN_INPUT_moegi_v100;
output SDSN_OUTPUT_moegi_v100;
}
}
{master:0}
lab@moegi> show configuration firewall
family ethernet-switching {
filter SDSN_INPUT_moegi_v100 {
term MAC_00:0c:29:11:11:11 {
from {
source-mac-address {
00:0c:29:11:11:11/48;
}
}
then {
discard;
log;
}
}
term GOOD_HOST_MAC_00:0c:29:11:11:11 {
then accept;
}
}
filter SDSN_OUTPUT_moegi_v100 {
term MAC_00:0c:29:11:11:11 {
from {
destination-mac-address {
00:0c:29:11:11:11/48;
}
}
then discard;
}
term GOOD_HOST_MAC_00:0c:29:11:11:11 {
then accept;
}
}
}
フィルタの削除
“Investigation Status”を”Resolved – Fixed”に変更するとSRXに配信されたInfected Hosts Feedとスイッチに設定された
ファイアウォールフィルタが削除される
Thank you
Related Documents
