Ginepro - logo

Sistema operativo Junos
Guida per l'utente dell'IoT sulla sicurezza
Pubblicato
Numero di telefono: 2023-12-14

Società per azioni Juniper Networks, Inc.
1133 Innovazione Way
Sunnyvale, California 94089
U.S.A.
Numero di telefono: 408-745-2000
www.juniper.net
Juniper Networks, il logo Juniper Networks, Juniper e Junos sono marchi registrati di Juniper Networks, Inc.
negli Stati Uniti e in altri paesi. Tutti gli altri marchi, marchi di servizio, marchi registrati o marchi di servizio registrati sono di proprietà dei rispettivi proprietari.
Juniper Networks non si assume alcuna responsabilità per eventuali inesattezze in questo documento. Juniper Networks si riserva il diritto di cambiare, modificare, trasferire o altrimenti rivedere questa pubblicazione senza preavviso.
Guida per l'utente IoT sulla sicurezza del sistema operativo Junos
Copyright © 2023 Juniper Networks, Inc. Tutti i diritti riservati.
Le informazioni in questo documento sono aggiornate alla data sul frontespizio.
AVVISO ANNO 2000
I prodotti hardware e software di Juniper Networks sono conformi all'anno 2000. Il sistema operativo Junos non ha limitazioni di tempo note per tutto l'anno 2038. Tuttavia, è noto che l'applicazione NTP ha alcune difficoltà nell'anno 2036.
CONTRATTO DI LICENZA PER L'UTENTE FINALE
Il prodotto Juniper Networks oggetto della presente documentazione tecnica è costituito da (o è destinato all'uso con) il software Juniper Networks. L'uso di tale software è soggetto ai termini e alle condizioni dell'Accordo di licenza con l'utente finale ("EULA") pubblicato all'indirizzo https://support.juniper.net/support/eula/. Scaricando, installando o utilizzando tale software, accetti i termini e le condizioni di tale EULA.

Contenuto nascondere
1 Informazioni su questa guida
2 Sopraview
3 Introduzione
4 Configurazione
5 Verifica
6 Istruzioni di configurazione e comandi operativi
7 Documenti / Risorse
7.1 Riferimenti
8 Post correlati

Informazioni su questa guida

Utilizza questa guida per conoscere le funzionalità di rilevamento e classificazione dei dispositivi IoT sul tuo dispositivo di sicurezza.
La conoscenza dei dispositivi IoT in una rete aiuta gli amministratori di rete a gestire meglio la sicurezza della rete e a ridurre la superficie di attacco IoT

Sopraview

Sicurezza IoT finitaview

RIEPILOGO
Leggi questa guida per comprendere la soluzione di sicurezza IoT disponibile sui tuoi dispositivi della serie SRX/NFX e come iniziare a utilizzare la funzionalità.

Introduzione

In termini di scala, l’Internet delle cose (IoT) sta prendendo il sopravvento sulla rete. Come tecnologia, l’IoT è trasformazionale, arricchisce i dati, aggiunge contesto ai processi e fornisce livelli di visibilità senza precedenti tra le organizzazioni. Il volume e la varietà di dispositivi IoT come telecamere IP, ascensori intelligenti, apparecchiature mediche e controller industriali possono aggiungere complessità alla sicurezza della rete. Con così tanti dispositivi in ​​rete, hai bisogno di visibilità in tempo reale e di funzionalità intelligenti di applicazione delle policy che funzionino perfettamente su tutta la rete. La maggior parte degli endpoint IoT hanno un impatto limitato e i dispositivi sconosciuti sulla rete possono essere motivo di incidenti di sicurezza.
La conoscenza dei dispositivi IoT in una rete consente agli utenti o agli amministratori di rete di gestire meglio la sicurezza della propria rete. È ancora più importante avere visibilità dei dispositivi IoT in una rete, soprattutto perché le vulnerabilità zero-day stanno esplodendo.
La soluzione IoT di sicurezza di Juniper Networks fornisce rilevamento, visibilità e classificazione dei dispositivi IoT nella rete. La visibilità dei dispositivi IoT ti aiuta a scoprire, monitorare e applicare continuamente le policy di sicurezza su tutti i dispositivi IoT connessi.

Soluzione IoT per la sicurezza

La soluzione Security IoT di Juniper Networks prevede l'integrazione dei dispositivi di sicurezza con Juniper ATP Cloud per:

  • Fornisci informazioni approfondite sui dispositivi IOT nella rete in tempo reale
  • Crea policy di sicurezza utilizzando gli attributi del dispositivo IoT rilevato
  • Applica policy di sicurezza per prevenire attacchi e ridurre la superficie di attacco

Il rilevamento dei dispositivi IOT fornisce la base per applicare le policy di sicurezza e affrontare i rischi per la sicurezza identificando il comportamento anomalo dei dispositivi rilevati.

Caratteristiche

  • Scoperta di dispositivi IoT dietro il punto di accesso Wi-Fi
  • Supporto per un'ampia gamma di dispositivi IoT
  • Impronte digitali granulari su ciascun dispositivo, inclusi tipo, marca, modello, IP, indirizzo MAC
  • Un unico pannello di controllo per un efficiente inventario e classificazione dei dispositivi IoT
  • Regole di sicurezza granulari basate sugli attributi dei dispositivi IoT

Vantaggi della sicurezza IOT

  • Il rilevamento e la gestione di tutti i dispositivi IoT in una rete senza intervento manuale aumentano l'efficienza e la produttività delle operazioni di sicurezza
  • Avere un inventario in tempo reale dei dispositivi IoT e delle relative policy di sicurezza aiuta a ridurre la superficie di attacco all'interno della rete.

Casi d'uso
La soluzione IoT di sicurezza è adattabile a diversi ambienti, tra cui l'industria sanitaria/medica, organizzazioni con campUSA/filiali e altri settori con edifici e uffici intelligenti.

Rilevamento dei dispositivi IoT e applicazione della sicurezza: flusso di lavoro

Terminologia
Acquisiamo familiarità con alcune delle terminologie presenti in questo documento prima di approfondire l'individuazione dei dispositivi IoT e l'applicazione della sicurezza.
Tabella 1: Terminologia relativa alla sicurezza IoT

Termini dell'IOT Descrizione
Dispositivi IoT I dispositivi IoT sono i dispositivi fisici che stabiliscono una connessione wireless a una rete e possono trasmettere dati su Internet o altre reti. I dispositivi IoT possono essere sensori, gadget, elettrodomestici o macchine oppure incorporati in altri dispositivi mobili, apparecchiature industriali, sensori ambientali, dispositivi medici e altro ancora.
Flusso di dati Processo di trasmissione di pacchetti e relativi metadati dai dispositivi IoT a un Juniper ATP Cloud per identificare e classificare i dispositivi IoT.
Web PRESA Per garantire la riservatezza, viene utilizzato un protocollo di comunicazione per il trasferimento bidirezionale dei dati tra il dispositivo di sicurezza e il cloud Juniper ATP.

Tabella 1: Terminologia relativa alla sicurezza IoT (continua)

Termini dell'IOT Descrizione
Serializzazione Formato buffer di protocollo (gpb) utilizzato per serializzare dati strutturati e consentire la comunicazione tra il dispositivo di sicurezza e il cloud ATP.
Autenticazione Processo di abilitazione della comunicazione sicura tra il dispositivo di sicurezza e il cloud Juniper ATP utilizzando TLS1.2 o versioni successive per garantire l'autenticazione, la crittografia e l'integrità dei dati condivisi.
Rilevamento dei dispositivi IoT Processo di identificazione dei dispositivi IoT effettuando una ricerca in un database interno utilizzando i dati in streaming. I dettagli dei dispositivi IoT rilevati includono marca, tipo, modello, sistema operativo, produttore e così via del dispositivo.
Classificazione dei dispositivi IoT Costruire un professionistafile per i dispositivi IoT scoperti. Poiché un dispositivo IoT può appartenere a un'ampia gamma di tipi di dispositivi, conoscere la classe del dispositivo IoT è importante per applicare il giusto tipo di policy di sicurezza.

Example: Un dispositivo IoT di infotainment ha un diverso professionista del trafficofile rispetto ad un dispositivo IoT industriale.
Filtraggio dei dati L'utilizzo del filtro dati aiuta Juniper ATP Cloud a controllare la quantità di dati e il tipo di dati che riceve dal dispositivo di sicurezza. I filtri sono particolarmente utili quando nella rete è disponibile un gran numero di dispositivi IoT.
Feed di indirizzi IP/gruppi di indirizzi dinamici Una voce di indirizzo dinamico è un gruppo di indirizzi IP che condividono uno scopo o un attributo comune come un'origine geografica, un tipo di minaccia o un livello di minaccia.
Gli indirizzi IP dei dispositivi IoT rilevati sono raggruppati in un gruppo di indirizzi dinamico. È possibile utilizzare i feed di indirizzi IP per applicare la policy in una rete protetta in tempo reale.

Flusso di lavoro di rilevamento e applicazione dei dispositivi IoT
L'illustrazione seguente illustra un tipico flusso di lavoro coinvolto nel rilevamento dei dispositivi IOT.

Figura 1: flusso di lavoro IoT per la sicurezza

RETI Juniper Junos OS Sicurezza IoT -

  1. Il dispositivo di sicurezza controlla il traffico di rete dai dispositivi IoT.
  2.  Il dispositivo di sicurezza si connette al cloud Juniper ATP e trasmette i dettagli al cloud Juniper ATP. I dettagli includono metadati sul flusso di traffico e sui carichi utili dei pacchetti.
  3.  Juniper ATP Cloud utilizza i dati trasmessi in streaming per ottenere i dettagli del dispositivo IoT come marca, modello del dispositivo, classe, fornitore, IP, indirizzo MAC e altre proprietà dei dispositivi IoT.
  4. Juniper ATP Cloud classifica con successo il dispositivo IoT. I dispositivi rilevati e identificati da Juniper ATP Cloud vengono visualizzati nella pagina Juniper ATP Cloud. È possibile utilizzare i dettagli del dispositivo per creare feed di indirizzi IP sotto forma di gruppo di indirizzi dinamico utilizzando la funzionalità di profilazione adattiva delle minacce.
  5. Il dispositivo di sicurezza scarica il feed. È possibile creare regole di sicurezza basate sui feed di indirizzi IP per applicare regole di sicurezza granulari basate sugli attributi del dispositivo IoT.

Il dispositivo di sicurezza continua ad analizzare il modello di traffico dei dispositivi IoT rilevati e a rilevare eventuali deviazioni del traffico (ad esample, raggiungibilità e quantità di traffico che potrebbe inviare) per questi dispositivi. È possibile isolare un dispositivo IoT dalla rete in base alla policy e applicare una policy di sicurezza personalizzata per limitare la portata di questi dispositivi nella rete.

Cosa succederà ora?
Nella sezione successiva imparerai come configurare il rilevamento e l'applicazione dei dispositivi IoT sul tuo dispositivo di sicurezza.

Configurazione

Example- Configura il rilevamento dei dispositivi IoT e l'applicazione dei criteri

RIEPILOGO
In questo example, configurerai il tuo dispositivo di sicurezza per il rilevamento dei dispositivi IoT e l'applicazione dei criteri di sicurezza.
Per iniziare con il rilevamento dei dispositivi IoT nella tua rete, tutto ciò di cui hai bisogno è un dispositivo di sicurezza connesso a Juniper ATP Cloud. La Figura 2 a pagina 10 mostra la topologia utilizzata in questo esempioamplui.

Figura 2: Topologia di rilevamento dei dispositivi IoT e di applicazione delle policy

RETI Juniper Junos OS Sicurezza IoT - Topologia

Come mostrato nella topologia, la rete include alcuni dispositivi IoT collegati a un firewall serie SRX tramite punto di accesso wireless (AP). Il dispositivo di sicurezza è connesso al server Juniper Cloud ATP e a un dispositivo host.
Il dispositivo di sicurezza raccoglie i metadati del dispositivo IoT e trasmette le informazioni pertinenti a Juniper ATP Cloud. Per abilitare lo streaming dei metadati IoT, dovrai creare policy di streaming dei metadati di sicurezza e collegare queste policy alle policy di sicurezza. Lo streaming del traffico del dispositivo IoT si interrompe automaticamente quando il server Juniper Cloud dispone di dettagli sufficienti per classificare il dispositivo IoT.
Il cloud Juniper ATP rileva e classifica i dispositivi IoT. Utilizzando l'inventario dei dispositivi IoT rilevati, creerai feed di minacce sotto forma di gruppi di indirizzi dinamici. Una volta che il dispositivo di sicurezza scarica i gruppi di indirizzi dinamici, puoi utilizzare i gruppi di indirizzi dinamici per creare e applicare policy di sicurezza per il traffico IoT.
La Tabella 2 a pagina 10 e la Tabella 3 a pagina 11 forniscono dettagli sui parametri utilizzati in questo esempioamplui.
Tabella 2: parametri di configurazione della zona di sicurezza

Zone Interfacce Collegato a
Fiducia ge-0/0/2.0 Dispositivo cliente
non fidarsi ge-0/0/4.0 and ge-0/0/3.0 Punti di accesso per gestire il traffico IoT
nuvola ge-0/0/1.0 Internet (per connettersi al cloud Juniper ATP)

Tabella 3: Parametri di configurazione della politica di sicurezza

Politica Tipo Applicazione
P1 Politica di sicurezza Consente il traffico dalla zona attendibile alla zona non attendibile
P2 Politica di sicurezza Consente il traffico dalla zona non attendibile alla zona attendibile
P3 Politica di sicurezza Consente il traffico dalla zona sicura alla zona cloud
p1 Politica sullo streaming dei metadati Trasmette la zona non attendibile ai metadati del traffico della zona attendibile
p2 Politica sullo streaming dei metadati Trasmette i metadati del traffico dalla zona di attendibilità ai metadati del traffico della zona di clod
Applicazioni_indesiderate Politica di sicurezza globale Previene il traffico IoT in base al feed delle minacce e alla policy di sicurezza a livello globale

Requisiti

  • Dispositivo firewall serie SRX o serie NFX
  • Sistema operativo Junos versione 22.1R1 o successiva
  • Account cloud Juniper Advanced Threat Prevention. Vedere Registrazione di un account Juniper Advanced Threat Prevention Cloud.

Abbiamo verificato e testato la configurazione utilizzando un'istanza vSRX Virtual Firewall con la versione 22.1R1 del sistema operativo Junos.

Prepara il tuo firewall serie SRX a funzionare con Juniper ATP Cloud
Dovrai configurare il firewall serie SRX per comunicare con Juniper ATP Cloud Web Portale. Assicurati che il firewall serie SRX sia connesso a Internet. Assicurati di completare la seguente configurazione iniziale per impostare il tuo SRX Series Firewall su Internet.

  1.  Configura l'interfaccia. In questo esample, stiamo utilizzando l'interfaccia ge-0/0/1.0 come interfaccia rivolta a Internet sul firewall serie SRX.
    [modifica] utente@host# imposta interfacce ge-0/0/1 unità 0 famiglia indirizzo inet 10.50.50.1/24
  2. Aggiungi l'interfaccia a un'area di sicurezza.
    [modifica] utente@host# imposta zone di sicurezza zone di sicurezza interfacce cloud ge-0/0/1.0 host-traffico in entrata servizi di sistema tutto
    utente@host# imposta zone di sicurezza zone di sicurezza interfacce cloud ge-0/0/1.0 protocolli di traffico in entrata host tutti
  3. Configura DNS.
    [modifica] utente@host# imposta gruppi server dei nomi del sistema globale 172.16.1.1
  4. Configurare NTP.
    [modifica] utente@host# imposta gruppi di processi di sistema globali abilita ntp
    utente@host# imposta gruppi sistema globale server di avvio ntp 192.168.1.20
    utente@host# imposta gruppi server ntp del sistema globale 192.168.1.20

Una volta che la serie SRX può raggiungere Internet tramite l'interfaccia ge-0/0/1.0, procedere con i passaggi successivi.
Controlla le licenze richieste e il pacchetto di firma dell'applicazione

  • Assicurati di disporre di una licenza cloud Juniper ATP appropriata. Utilizzare il comando show system License per verificare lo stato della licenza.

utente@host> mostra la licenza di sistema
Identificativo della licenza: JUNOS123456
Versione della licenza: 4
Numero di serie del software: 1234567890
ID cliente: JuniperTest
Caratteristiche:
Sky ATP – Sky ATP: prevenzione avanzata delle minacce basata sul cloud sui firewall SRX
basato sulla data, 2016-07-19 17:00:00 PDT – 2016-07-30 17:00:00 PDT

  • Assicurati che il tuo dispositivo disponga del pacchetto di firme dell'applicazione più recente sul tuo dispositivo di sicurezza.
  • Verifica che la licenza di identificazione dell'applicazione sia installata sul tuo dispositivo.

utente@host> mostra la licenza di sistema
Utilizzo della licenza:
Licenze Licenze Scadenza licenze
Nome della funzionalità utilizzata installata necessaria
sistema logico 4 1 3 permanente
Identificativo della licenza: JUNOSXXXXXX
Versione della licenza: 2
Valido per il dispositivo: AA4XXXX005
Caratteristiche:
appid-sig – Firma APPID

  • Scarica l'ultima versione del pacchetto firme dell'applicazione.
    utente@host> richiede il download dell'identificazione dell'applicazione dei servizi
  • Controlla lo stato del download.
    utente@host> richiede lo stato di download dell'identificazione dell'applicazione dei servizi
    Download del pacchetto applicativo 3475 riuscito.
  • Installare il pacchetto di firme di identificazione dell'applicazione.
    utente@host> richiesta servizi identificazione applicazione installazione
  • Controlla la versione del pacchetto firme dell'applicazione installata.
    utente@host> mostra la versione di identificazione dell'applicazione dei servizi
    Versione del pacchetto applicativo: 3418
    Data di rilascio: martedì 14 settembre 14:40:55 2021 UTC

Registra il dispositivo di sicurezza con Juniper ATP Cloud
Iniziamo registrando il dispositivo di sicurezza con il cloud Juniper ATP. Se hai già registrato il tuo dispositivo, puoi saltare questo passaggio e passare direttamente a “Configura le impostazioni di streaming del traffico IoT” a pagina 17. In caso contrario, utilizza uno dei seguenti metodi per la registrazione del dispositivo.
Metodo 1: registrazione del dispositivo di sicurezza tramite CLI

  1. Sul firewall serie SRX, esegui il comando seguente per avviare il processo di registrazione.
    utente@host> richiesta servizi anti-malware avanzati registrati
    Seleziona la regione geografica dall'elenco:
    1. Nord America
    2. Regione europea
    3. Canada
    4. Asia Pacifico
    La tua scelta: 1
  2. .Seleziona un regno esistente o crea un nuovo regno.
    Registra SRX per:
    1. Un nuovo regno di sicurezza SkyATP (ti verrà richiesto di crearlo prima)
    2. Un ambito di sicurezza SkyATP esistente
    Seleziona l'opzione 1 per creare un reame. Utilizzare i seguenti passaggi:
    UN. Stai per creare un nuovo regno Sky ATP, fornisci le informazioni richieste:
    B. Inserisci un nome di ambito (dovrebbe essere un nome significativo per la tua organizzazione.
    Un nome di realm può contenere solo caratteri alfanumerici e il simbolo del trattino. Una volta creato un regno, non può essere modificato):
    Vero nome: esample-azienda-a
    C. Per favore digita il nome della tua azienda:
    Ragione Sociale: Esampla Compagnia A
    D. Inserisci il tuo indirizzo email. Questo sarà il tuo nome utente per il tuo account Sky ATP:
    E-mail: io@esample-company-a.com
    e. Imposta una password per il tuo nuovo account Sky ATP (deve essere lunga almeno 8 caratteri e includere sia lettere maiuscole che minuscole, almeno un numero, almeno un carattere speciale):
    Parola d'ordine: **********
    Verifica: **********
    F. Per favore riview le informazioni che hai fornito:
    Regione: Nord America
    Nuovo Regno: esample-azienda-a
    Ragione Sociale: Esampla Compagnia A
    E-mail: io@example-company-a.com
    G. Creare un nuovo regno con le informazioni di cui sopra? [sì, no] sì
    Dispositivo registrato con successo!
    Puoi anche utilizzare un realm esistente per registrare la tua serie SRX con Juniper ATP Cloud.
  3.  Utilizza il comando CLI show services advanced-anti-malware status per confermare che il tuo SRX Series
    Il firewall è connesso al server cloud.
    root@idpreg-iot-v2# esegui mostra lo stato del filtro dinamico antimalware avanzato dei servizi
    09 febbraio 18: 36: 46
    Stato della connessione al server del filtro dinamico:
    Nome host del server: srxapi.us-west-2.sky.junipersecurity.net
    Porta server: 443
    Nome host proxy: nessuno
    Porta proxy: nessuna
    Piano di controllo
    Stato della connessione: Connesso
    Ultima connessione riuscita: 2022/02/09 18:36:07 PST
    Pacchetti inviati: 2
    Pacchetti ricevuti: 6

Metodo 2: registrazione del dispositivo di sicurezza in Juniper ATP Cloud Web Portale
È possibile utilizzare uno script operativo (op) del sistema operativo Junos per configurare il firewall SRX Series per connettersi al servizio Juniper Advanced Threat Prevention Cloud.

  1.  Su Juniper ATP Cloud Web portale, fare clic sul pulsante Registra nella pagina Dispositivi.
  2.  Copia il comando negli appunti e fai clic su OK.
  3. Incolla il comando nella CLI di Junos OS del firewall serie SRX in modalità operativa.
  4. Utilizzare il comando show services advanced-anti-malware status per verificare che venga stabilita una connessione al server cloud dal firewall serie SRX. Il nome host del server nei seguenti messaggiample è un exampsolo le.
    utente@host> mostra lo stato avanzato dell'antimalware dei servizi
    Stato della connessione al server:
    Nome host del server: srxapi.us-west-2.sky.junipersecurity.net
    Ambito del server: qatest
    Porta del server: 443
    Nome host proxy: nessuno
    Porta proxy: nessuna
    Piano di controllo:
    Orario di connessione: 2022/02/15 21:31:03 PST
    Stato della connessione: Connesso
    Aereo di servizio:
    fpc0
    Numero attivo della connessione: 18
    Statistiche sui tentativi di connessione: 48
    Nella sample, lo stato della connessione indica che il server cloud è connesso al tuo dispositivo di sicurezza.
  5. Puoi anche view i dispositivi registrati nel portale Juniper ATP Cloud. Vai alla pagina Dispositivi > Tutti i dispositivi. La pagina elenca tutti i dispositivi registrati.

RETI Juniper Junos OS Sicurezza IoT - Tutti i dispositivi

Configura le impostazioni di streaming del traffico IoT
In questa procedura creerai policy di streaming dei metadati e abiliterai i servizi di sicurezza sul tuo dispositivo di sicurezza.

  1. Configurazione completa della connessione cloud.
    [modifica] utente@host# imposta l'intelligence sulla sicurezza dei servizi url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml
    user@host# imposta i servizi di autenticazione di intelligence di sicurezza tls-profile aamw-ssl
  2.  Creare una policy di streaming dei metadati di sicurezza.
    [modifica] utente@host# imposta i servizi di sicurezza-metadati-streaming policy p1 filtro dinamico
    user@host# imposta la policy di streaming dei metadati di sicurezza dei servizi p2 filtro dinamico
    Successivamente collegheremo queste policy di streaming dei metadati di sicurezza alle policy di sicurezza per abilitare l'IoT
    streaming del traffico per la sessione.
  3. Abilita servizi di sicurezza come il monitoraggio delle applicazioni, l'identificazione delle applicazioni e PKI.
    [modifica] utente@host# imposta l'identificazione dell'applicazione dei servizi
    utente@host# imposta il pki di sicurezza
    user@host# imposta il monitoraggio delle applicazioni di sicurezza

Configura il firewall serie SRX
Utilizzare questa procedura per configurare interfacce, zone e policy per abilitare il filtraggio dei pacchetti IoT e i servizi di streaming sul dispositivo di sicurezza.

  1. Configurare le interfacce.
    [modifica] utente@host# imposta le interfacce ge-0/0/2 mtu 9092
    utente@host# imposta interfacce ge-0/0/2 unità 0 famiglia indirizzo inet 10.60.60.1/24
    user@host# imposta le interfacce ge-0/0/3 mtu 9092
    utente@host# imposta interfacce ge-0/0/3 unità 0 famiglia indirizzo inet 10.70.70.1/24
    user@host# imposta le interfacce ge-0/0/4 mtu 9092
    utente@host# imposta interfacce ge-0/0/4 unità 0 famiglia indirizzo inet 10.80.80.1/24
  2. Configura le zone di sicurezza e abilita il traffico delle applicazioni per ciascuna zona configurata.
    [modifica] utente@host# imposta zone di sicurezza interfacce di sicurezza della zona di sicurezza ge-0/0/2.0 host-traffico in entrata servizi di sistema tutto
    utente@host# imposta le zone di sicurezza interfacce di sicurezza della zona di sicurezza ge-0/0/2.0 protocolli di traffico in entrata host tutti
    utente@host# imposta le zone di sicurezza sicurezza-zona attendibilità tracciamento applicazione
    utente@host# imposta zone di sicurezza zone di sicurezza interfacce non attendibili ge-0/0/4.0 host-traffico in entrata servizi di sistema tutto
    utente@host# imposta le zone di sicurezza interfacce non attendibili della zona di sicurezza ge-0/0/4.0
    tutti i protocolli del traffico in entrata dell'host
    utente@host# imposta le zone di sicurezza interfacce non attendibili della zona di sicurezza ge-0/0/3.0
    host-traffico in entrata servizi di sistema tutti
    utente@host# imposta le zone di sicurezza interfacce non attendibili della zona di sicurezza ge-0/0/3.0
    tutti i protocolli del traffico in entrata dell'host
    utente@host# imposta le zone di sicurezza zona di sicurezza non attendibile
    monitoraggio delle applicazioni
    utente@host# imposta le zone di sicurezza security-zone cloud
    monitoraggio delle applicazioni
    Come mostrato nella topologia, la zona non attendibile riceve traffico di transito e diretto all'host dai dispositivi IOT nella rete. Il dispositivo client è nella zona sicura e Juniper ATP Cloud è nella zona cloud.
    3. Configurare la politica di sicurezza P1.
    [modifica] utente@host# imposta le politiche di sicurezza dalla fiducia della zona alla politica di non attendibilità della zona P1 corrisponde all'indirizzo di origine qualsiasi utente@host# imposta le politiche di sicurezza dalla fiducia della zona alla politica di non attendibilità della zona P1 corrisponde all'indirizzo di destinazione
    Qualunque
    utente@host# imposta le policy di sicurezza dall'applicazione di corrispondenza P1 della policy di attendibilità della zona all'applicazione della policy di non attendibilità della zona
    Qualunque
    utente@host# imposta quindi le politiche di sicurezza dalla zona di attendibilità alla zona di non attendibilità P1
    permesso
    Questa configurazione consente il traffico dalla zona sicura alla zona non sicura.
    4. Configurare la politica di sicurezza P2.
    [modifica] utente@host# imposta le politiche di sicurezza dalla zona non attendibile alla zona di attendibilità P2 corrisponde all'indirizzo di origine
    Qualunque
    utente@host# imposta le policy di sicurezza dalla zona untrust alla policy di attendibilità della zona P2 corrisponde all'indirizzo di destinazione qualsiasi
    utente@host# imposta le policy di sicurezza dall'untrust della zona all'applicazione di corrispondenza P2 della policy di trust della zona
    Qualunque
    user@host# imposta le politiche di sicurezza dalla zona untrust alla politica di fiducia della zona P2, quindi consenti
    user@host# imposta le politiche di sicurezza da zone untrust a zone trust application-services
    politica-di-streaming-dei-metadati-di-sicurezza p1
    La configurazione consente il traffico dalla zona non attendibile alla zona attendibile e applica la policy di streaming dei metadati di sicurezza p1 per abilitare lo streaming del traffico IoT per la sessione.
  3.  Confermare la configurazione.
    [modifica] utente@host# commit
    Ora il tuo dispositivo di sicurezza è pronto per trasmettere il traffico IoT a Juniper ATP Cloud.
    Controlliamo tutti i dispositivi IoT rilevati nel portale Juniper ATP Cloud.
    Viewing dei dispositivi IOT rilevati nel cloud ATP
    A view dispositivi IoT rilevati nel portale Juniper ATP Cloud, accedere alla pagina Minotor > Dispositivi IoT.
    RETI Juniper Junos OS Sicurezza IoT - Tutti i dispositivi1

Puoi fare clic e filtrare i dispositivi IoT in base alla categoria del dispositivo, al produttore, al tipo di sistema operativo..
RETI Juniper Junos OS Sicurezza IoT - Topologia1Nell'immagine seguente, filtriamo i dispositivi con sistema operativo Android.

RETI Juniper Junos OS Sicurezza IoT - Tutti i dispositivi3

La pagina elenca i dispositivi IoT con dettagli quali indirizzo IP, tipo, produttore, modelli e così via. Utilizzando questi dettagli, puoi monitorare e creare feed di minacce per applicare la politica di sicurezza.
Crea feed di minacce
Una volta che Juniper ATP Cloud identifica i dispositivi IoT, puoi creare feed di minacce. Quando il tuo dispositivo di sicurezza scarica i feed delle minacce sotto forma di gruppi di indirizzi dinamici, puoi utilizzare il feed delle tue policy di sicurezza per intraprendere azioni di imposizione sul traffico in entrata e in uscita su questi dispositivi IoT.

  • Vai alla pagina Minotor > Dispositivi IoT e fai clic sull'opzione Crea feed.
    RETI Juniper Junos OS Sicurezza IoT - Minotor
  • In questo example, utilizzeremo il nome del feed android_phone_user con un time-to-live (TTL) di sette giorni.RETI Juniper Junos OS Sicurezza IoT - Minotor1
    Completa la configurazione per i seguenti campi:
    • Nome del feed:
    Inserisci un nome univoco per il feed delle minacce. Il nome del feed deve iniziare con un carattere alfanumerico e può includere lettere, numeri e trattini bassi; non sono ammessi spazi. La lunghezza è compresa tra 8 e 63 caratteri.
    • Tipo: seleziona il tipo di contenuto del feed come IP.
    • Origine dati: seleziona l'origine dati per creare il feed come IOT.
    • Time to Live: immettere il numero di giorni durante i quali la voce del feed richiesta deve essere attiva. Dopo che la voce del feed supera il valore TTL (Time To Live), la voce del feed viene rimossa automaticamente. L'intervallo disponibile è compreso tra 1 e 365 giorni.
  • Fare clic su OK per salvare le modifiche.
  • Vai a Configura > Profilatura adattiva delle minacce. La pagina visualizza tutti i feed delle minacce creati. Puoi vedere il feed delle minacce android_phone_user elencato nella pagina.
    Fare clic sul segno più (+). Viene visualizzata la pagina Aggiungi nuovo feed.
    RETI Juniper Junos OS Sicurezza IoT - Minotor2
  • Assicurati che il tuo dispositivo di sicurezza abbia scaricato il feed. Il download avviene automaticamente a intervalli regolari ma può richiedere alcuni minuti.
    RETI Juniper Junos OS Sicurezza IoT - intervalli regolari

È possibile scaricare manualmente i feed delle minacce utilizzando il comando seguente:
richiedi servizi stato download security-intelligence ||corrisponde ad android_phone_user
Procediamo con la creazione delle policy di sicurezza con i feed delle minacce scaricati.
Creare policy di sicurezza utilizzando feed di profilazione adattiva delle minacce

Una volta che il dispositivo di sicurezza scarica il feed delle minacce, puoi fare riferimento ad esso come gruppo di indirizzi dinamico in una policy di sicurezza. Un indirizzo dinamico è un gruppo di indirizzi IP di dispositivi IoT appartenenti ad un dominio specifico.
In questo example, creiamo una policy che rileva il traffico proveniente dai telefoni Android e lo blocca.

  1.  Definire i criteri di corrispondenza della politica di sicurezza.
    [modifica] utente@host# imposta le politiche di sicurezza politica globale Block_Android_Traffic corrisponde all'indirizzo di origine
    utente_telefono_android
    utente@host# imposta le politiche di sicurezza politica globale Block_Android_Traffic corrisponde all'indirizzo di destinazione qualsiasi
    utente@host# imposta le politiche di sicurezza politica globale Block_Android_Traffic corrisponde all'applicazione qualsiasi
  2. Definire l'azione della politica di sicurezza.
    [modifica] utente@host# imposta le politiche di sicurezza, la politica globale Block_Android_Traffic, quindi nega
    In questo example, quando si conferma la configurazione, il dispositivo di sicurezza blocca il traffico HTTP per i dispositivi IoT appartenenti al dominio specifico.
    Per ulteriori informazioni, vedere Configurazione del profilo adattivo delle minacce.

Risultati
Dalla modalità di configurazione, conferma la configurazione inserendo il comando show security. Se l'output non mostra la configurazione prevista, ripetere le istruzioni di configurazione in questo esempioample per correggerlo.

RETI Juniper Junos OS Sicurezza IoT - RisultatiRETI Juniper Junos OS Sicurezza IoT - Risultati1RETI Juniper Junos OS Sicurezza IoT - Risultati2RETI Juniper Junos OS Sicurezza IoT - Risultati3RETI Juniper Junos OS Sicurezza IoT - Risultati4Se hai finito di configurare la funzionalità sul tuo dispositivo, inserisci commit dalla modalità di configurazione.

Verifica

Controlla il riepilogo e lo stato del feed
Scopo: verificare se il dispositivo di sicurezza riceve feed di indirizzi IP sotto forma di gruppi di indirizzi dinamici.
Azione: eseguire il comando seguente:

utente@host> mostra lo stato del filtro dinamico antimalware avanzato dei servizi
Stato della connessione al server del filtro dinamico:
Nome host del server: srxapi.us-west-2.sky.junipersecurity.net
Porta server: 443
Nome host proxy: nessuno
Porta proxy: nessuna
Piano di controllo
Stato della connessione: Connesso
Ultima connessione riuscita: 2022/02/12 09:51:50 PST
Pacchetti inviati: 3
Pacchetti ricevuti: 42
Senso L'output mostra lo stato della connessione e altri dettagli del server Juniper ATP Cloud.

Istruzioni di configurazione e comandi operativi

Riferimento alla CLI di Junos terminatoview
Abbiamo consolidato tutti i comandi e le istruzioni di configurazione della CLI di Junos in un unico posto. Scopri la sintassi e le opzioni che compongono le istruzioni e i comandi e comprendi i contesti in cui utilizzerai questi elementi della CLI nelle configurazioni e nelle operazioni di rete.

  •  Riferimento alla CLI di Junos
    Fare clic sui collegamenti per accedere alla dichiarazione di configurazione di Junos OS e Junos OS Evolved e agli argomenti di riepilogo dei comandi.
  •  Dichiarazioni di configurazione
  •  Comandi CLI

Documenti / Risorse

RETI Juniper Junos OS Sicurezza IoT [pdf] Guida utente
Sicurezza del sistema operativo Junos IoT, sistema operativo Junos, sicurezza IoT, IoT

Riferimenti

Post correlati

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *