+ | -

• SRX - firewall/VPN
  • SRX 100
  • SRX 210, 240
  • SRX 650
  • SRX 3400, 3600
  • SRX 5600, 5800
• SSG - firewall/VPN
  • Dla małych firm
  • SSG 5, 20
  • SSG 140
  • SSG 320M, 350M
  • SSG 520, 550
  • Netscreen 5200, 5400
  • Funkcje UTM w rodzinie SSG
• ISG
  • ISG 1000, ISG 2000
• IDS/IDP - wykrywanie i zapobieganie włamaniom
  • IDP 75, 250, 800, 8200
• SSL VPN
  • SA 700
  • SA 2500, 4500, 6500
• Rutery
  • Seria J
• NSM - zarządzanie
• Przełączniki EX
• System STRM - Security Threat Response Manager
• System AAA / 802.1X - Steel-Belted RADIUS
• Infranet Controller - System NAC
• Broszury, porównania

Juniper Networks - System STRM - Security Threat Response Manager

Ogólnie o Juniper STRM

Juniper STRM to scentralizowany system zarządzania bezpieczeństwem realizujący funkcje: Security Information and Events Management (SIEM) i Network Behavior Anomalny Detection (NBAD) oraz utrzymujący centralne repozytorium logów.

• Moduł SIEM pobiera logi z wielu różnych elementów systemu informatycznego, poddaje je korelacji i na tej podstawie przedstawia administratorom wiarygodne informacje na temat stanu bezpieczeństwa i wykrytych incydentów.
• Moduł NBAD na podstawie statystyk i opisu ruchu (np. NetFlow) pobieranych bezpośrednio z urządzeń sieciowych (ruterów, przełączników) dokonuje analizy stanu i efektywności pracy sieci, w tym wykrywania sytuacji nieprawidłowych (anomalii).

System zarządzania Juniper STRM dostarczany jest w formie urządzeń Appliance o różnej wydajności i przestrzeni dyskowej - STRM 500, STRM 2500 i STRM 5000. Urządzenia działają na bazie odpowiednio "utwardzonego" systemu operacyjnego klasy Linux (CentOS), umożliwiającego łatwą integracje z zewnętrznymi repozytoriami danych (m.in. iSCSI SAN i NAS).

Działanie

Juniper STRM obsługuje incydenty bezpieczeństwa na podstawie korelacji wielu źródeł informacji, m.in.:

• zdarzenia i logi z systemów zabezpieczeń (Firewall/VPN, IPS, Anty-wirus, itd.), systemów operacyjnych (Linux, Solaris, Windows, itd.) oraz aplikacji i baz danych,
• informacje na temat stanu chronionych systemów (rodzaju systemu operacyjnego, dostępnych aplikacji) oraz ich słabości bezpieczeństwa odczytywane za pomocą Juniper IDP Profiler oraz skanerów zabezpieczeń jak NMAP, Nessus, nCircle, Qualys, Foundstone, itd.
• statystyki i opis ruchu sieciowego odbierane z urządzeń za pomocą NetFlow, J-Flow, S-Flow i Packeteer oraz odczytywane bezpośrednio z sieci (switch span port).

Zdarzenia i logi pobierane są przez STRM za pomocą różnych metod, m.in. Syslog - standardowy format logów (TCP, UDP), SNMP - wiadomości o zdarzeniach (SNMP Trap, v3), Windows Agent - zdarzenia z systemów MS Windows, JuniperNSM - integracja z systemem zarządzania Juniper NSM, JDBC:SiteProtector - integracja z IBM SiteProtector, Log Export API (LEA) - integracja z systemem zarządzania Check Point, Security Device Event Exchange (SDEE) - protokół używany w urządzeniach Cisco, oparty na SOAP, a także Java Database Connectivity API (JDBC) - zdalny dostęp do baz danych.

Wykrywanie anomalii

Zawarty w Juniper STRM moduł NBAD dokonuje wykrywania anomalii w systemie informatycznym za pomocą analizy behawioralnej. Na bieżąco budowane są profile normalnego stanu i zachowania sieci oraz identyfikowane odchylenia, m.in. zmiany stanu, nagłe zwiększenia lub zmniejszenia natężenia ruchu i przekroczenie wartości progowych. Funkcje NBAD umożliwiają wykrywanie nowych obiektów w systemie informatycznym (hostów, aplikacji, protokołów, itd.) i dzięki temu identyfikowanie zagrożeń i incydentów, m.in. Trojanów nawiązujących połączenia zwrotne z intruzami, wirusów propagujących się przez email oraz serwisów nielegalnie uruchomionych w sieci. Moduł NBAD może zostać także użyty do wykrywania awarii ważnych biznesowo systemów, które powinny być dostępne 24/7, m.in.: zablokowanych/uszkodzonych serwerów i aplikacji, niewykonania operacji backup, urządzeń blokujących ruch.

Administracja

Administratorzy bezpieczeństwa korzystają z STRM za pomocą dedykowanych, graficznych narzędzi uruchamianych z wykorzystaniem standardowej przeglądarki Web. Nie ma potrzeby instalowania do tego celu dodatkowych aplikacji. System zarządzania Juniper STRM może zostać wdrożony w architekturze scentralizowanej (wszystkie funkcje na jednym Appliance) oraz rozproszonej, złożonej z wielu urządzeń. Struktura rozproszona STRM budowana jest w celu zwiększenia wydajności systemu. Także w przypadku rozproszonej struktury STRM zarządzanie całości systemu odbywa się z jednej konsoli.

Role i uprawnienia administratorów STRM mogą zostać dostosowane do potrzeb organizacji. Istnieje możliwość ograniczenia poszczególnym administratorom dostępu do ustalonego obszaru systemu informatycznego oraz limitowania operacji w systemie zarządzania STRM. Tożsamość administratorów STRM może być weryfikowana poprzez lokalne konto oraz zewnętrzne systemy uwierzytelniania (m.in. RADIUS, TACACS, LDAP/Active Directory).

Raporty

STRM oferuje wiele typów raportów tworzonych zgodnie z kryteriami ustalonymi przez administratorów oraz raportów predefiniowanych (ponad 200), w tym na zgodność ze standardami (m.in. PCI, SOX, FISMA, GLBA, HIPAA). Do dyspozycji administratorów STRM dostępny jest intuicyjny kreator raportów. Raporty mogę być tworzone w wielu formatach (m.in. PDF, HTML, RTF, CVS, XML).