AUF DIESER SEITE
Informationen IDP Service- und Anwendungsbindung durch Angriffsobjekte
Grundlegendes IDP Anwendungsidentifizierung für verschachtelte Anwendungen
Beispiel: Konfigurieren IDP Richtlinien für die Anwendungsidentifizierung
Grundlegende Informationen zur Begrenzung des Arbeitsspeichers für IDP Anwendungsidentifikation
Beispiel: Festlegen von Speichergrenzen für IDP Application Identification Services
Überprüfung von IDP-Zählern für Prozess zur Anwendungsidentifizierung
IDP Identifizieren von Anwendungen
Juniper Networks bietet vordefinierte Anwendungssignaturen, die Transmission Control Protocol (TCP)- und User Datagram Protocol (UDP)-Anwendungen erkennen, die auf nicht standardmäßigen Ports ausgeführt werden.
Weitere Informationen finden Sie in den folgenden Themen:
Understanding IDP Application Identification
Juniper Networks bietet vordefinierte Anwendungssignaturen, die Transmission Control Protocol (TCP)- und User Datagram Protocol (UDP)-Anwendungen erkennen, die auf nicht standardmäßigen Ports ausgeführt werden. Durch die Identifizierung dieser Anwendungen Intrusion Detection and Prevention (IDP), entsprechende Angriffsobjekte auf Anwendungen auf nicht standardmäßigen Ports anzuwenden. Sie verbessert außerdem die Leistung, indem die Reichweite von Angriffssignaturen für Anwendungen ohne Decoder verringert wird.
Der IDP-Sensor überwacht das Netzwerk und erkennt verdächtigen und anomalen Netzwerkdatenverkehr basierend auf bestimmten Regeln, die in bestimmten Regeldatenbanken IDP werden. Es wendet Angriffsobjekte auf Datenverkehr basierend auf Protokollen oder Anwendungen an. Mit Anwendungssignaturen kann der Sensor bekannte und unbekannte Anwendungen identifizieren, die auf nicht standardmäßigen Ports ausgeführt werden, und die richtigen Angriffsobjekte anwenden.
Anwendungssignaturen sind als Teil des von ihnen bereitgestellten Sicherheitspakets Juniper Networks. Sie laden vordefinierte Anwendungssignaturen zusammen mit den Sicherheitspaket-Updates herunter. Anwendungssignaturen können nicht erstellt werden. Informationen zum Herunterladen des Sicherheitspakets finden Sie unter Aktualisierung der Signaturdatenbank IDP Manueller Überblick.
Auf allen Geräten der SRX-Serie für Zweigstellen beträgt die maximale Anzahl von Einträgen in der ASC-Tabelle 100.000 Einträge. Da der Landpuffer des Benutzers eine feste Größe von 1 MB als Einschränkung hat, wird in der Tabelle maximal 38.837 Cache-Einträge angezeigt.
Die maximale Anzahl unterstützter IDP-Sitzungen beträgt 16.384 auf SRX320- und 32.768 auf SRX345-Geräten.
Die maximale Anzahl unterstützter IDP-Sitzungen beträgt 8.000 im Standardprofil der NFX150-C-S1-Geräte und 16.000 auf SD-WAN-Profil der NFX150-C-S1-Geräte. Die maximale Anzahl unterstützter IDP-Sitzungen beträgt 8.000 auf dem Standardprofil von NFX150-S1 und 64.000 auf SD-WAN Profil von NFX150-S1-Geräten.
Die Anwendungsidentifizierung ist standardmäßig nur aktiviert, wenn der Service, der die Anwendungsidentifizierung an fordert (z. B. IDP, AppFW, AppTrack oder AppQoS), aktiviert ist, um die Anwendungsidentifikation aufruft. Falls keine dieser Richtlinien oder Konfigurationen vorhanden ist, wird die Anwendungsidentifizierung nicht automatisch ausgelöst. Wenn Sie jedoch eine Anwendung in der Richtlinienregel angeben, IDP die angegebene Anwendung eher als Ergebnis der Anwendungsidentifikation verwendet. Anweisungen zum Angeben von Anwendungen in Richtlinienregeln finden Sie unter Beispiel: Konfigurieren IDP Anwendungen und Services.
Die Anwendungsidentifikation ist standardmäßig aktiviert. Um die Anwendungsidentifikation mit der CLI deaktivieren und erneuten abschalten, Junos OS Anwendungsidentifikation .
Auf allen Geräten der SRX-Serie für Zweigstellen IDP header-Prüfungen für nicht paketgeedeckte Kontexte nicht zu.
IDP werden sowohl in Aktiv/Aktiv- als auch Aktiv/Passiv-Chassis-Clustern bereitgestellt, hat folgende Einschränkungen:
Keine Prüfung von Sitzungen, die ausfallen oder ausfallen.
Die IP-Aktionstabelle wird nicht zwischen Knoten synchronisiert.
Der Routing-Engine auf dem sekundären Knoten kann möglicherweise keine Netzwerke erreichen, die nur über eine bestimmte Packet Forwarding Engine.
Der SSL-Sitzungs-ID-Cache wird nicht zwischen Knoten synchronisiert. Wenn eine SSL-Sitzung eine Sitzungs-ID wiederverwendet und auf einem anderen Knoten als dem, auf dem die Sitzungs-ID gespeichert ist, verarbeitet wird, kann die SSL-Sitzung nicht entschlüsselt und zur Prüfung der IDP werden.
IDP, die in Aktiv/Aktiv-Chassis-Clustern bereitgestellt werden, hat eine Einschränkung für den zeitvermittelten Scope-Quelldatenverkehr. Wenn bei Angriffen einer Quelle (mit mehr als einem Ziel) aktive Sitzungen über mehrere Knoten verteilt werden, kann der Angriff möglicherweise nicht erkannt werden, da die Zeitbindung eine Ansicht auf einen lokalen Knoten zählt. Die Erkennung dieser Art von Angriff erfordert eine RTO-Synchronisierung des Zeitbindungsstatus, der derzeit nicht unterstützt wird.
Siehe auch
Informationen IDP Service- und Anwendungsbindung durch Angriffsobjekte
Angriffsobjekte können auf unterschiedliche Weise an Anwendungen und Services binden:
Angriffsobjekte können implizit an eine Anwendung gebunden werden, die keine Dienstdefinition hat. Sie binden an eine Anwendung, die auf dem Namen eines Kontextes oder einer Anomalie basiert.
Angriffsobjekte können unter Verwendung eines Dienstnamens an einen Service gebunden sein.
Angriffsobjekte können über TCP- oder UDP-Ports, ICMP-Typen oder Codes oder RPC-Programmnummern an einen Service gebunden sein.
Ob die angegebene Anwendungs- oder Servicebindung zutrifft oder nicht, hängt von der vollständigen Definition des Angriffsobjekts sowie der IDP Richtlinienkonfiguration ab:
Wenn Sie eine Anwendung in einer Angriffsobjektdefinition angeben, wird das Servicefeld ignoriert. Das Angriffsobjekt ist an die Anwendung und nicht an den angegebenen Service gebunden. Wenn Sie jedoch einen Service und keine Anwendung in der Definition des Angriffsobjekts angeben, ist das Angriffsobjekt an den Service gebunden. Tabelle 1 fasst das Verhalten der Anwendungs- und Dienstbindung mit Anwendungsidentifizierung zusammen.
Tabelle 1: Anwendungen und Services mit Anwendungsidentifikation Angriffsobjekt-Felder
Bindungsverhalten
Identifizieren von Anwendungen
:application (http)
:service (smtp)
Bindet an die Http-Anwendung.
Das Servicefeld wird ignoriert.
Aktiviert
:service (http)
Bindet an die Http-Anwendung.
Aktiviert
:service (tcp/80)
Bindet an TCP-Port 80.
Deaktiviert
In der folgenden Definition des Angriffsobjekts ist das Angriffsobjekt beispielsweise an die Anwendung HTTPgebunden. Die Anwendungsidentifikation wird aktiviert und das Servicefeld SMTP wird ignoriert.
: (“http-test” :application (“http”) :service (“smtp”) :rectype (signature) :signature ( :pattern (“.*TERM=xterm; export TERM=xterm; exec bash – i\x0a\x.*”) :type (stream) ) :type (attack-ip) )
Wenn ein Angriffsobjekt auf servicespezifischen Kontexten (z. B. http-url)und Anomalien (z. B. tftp_file_name_too_long) basiert, werden sowohl Anwendungs- als auch Service-Felder ignoriert. Servicekontexte und -anomalien bedeuten eine Anwendung; Wenn Sie diese im Angriffsobjekt angeben, wird die Anwendungsidentifizierung angewendet.
Wenn Sie eine bestimmte Anwendung in einer Richtlinie konfigurieren, überschreiben Sie die für ein Angriffsobjekt angegebene Anwendungsbindung. Tabelle 2 fasst die Anbindung mit der Anwendungskonfiguration in der IDP zusammen.
Tabelle 2: Anwendungskonfiguration in einer IDP Richtlinie Anwendungstyp in der Richtlinie
Bindungsverhalten
Identifizieren von Anwendungen
Default
Bindet sich an die Anwendung oder den Service, die in der Definition des Angriffsobjekts konfiguriert sind.
Für anwendungsbasierte Angriffsobjekte aktiviert
Deaktiviert für servicebasierte Angriffsobjekte
Specific application
Bindet an die in der Definition des Angriffsobjekts angegebene Anwendung.
Deaktiviert
Any
Bindet an alle Anwendungen.
Deaktiviert
Wenn Sie eine Anwendung in einer IDP angeben, muss der Anwendungstyp, der in der Definition des Angriffsobjekts und in der IDP konfiguriert ist, übereinstimmen. Die Richtlinienregel kann nicht zwei unterschiedliche Anwendungen angeben (eine im Angriffsobjekt und die andere in der Richtlinie).
Die Anwendung kann nicht sein, wenn Angriffe auf der Basis unterschiedlicher any
Anwendungen in der Konfiguration IDP commit ausfallen. Verwenden Sie stattdessen Standard.
Während die Konfiguration IDS-Regeln für die Anwendung ist die Option any
nicht mehr erhältlich.
Wenn es sich jedoch um eine Anwendung handelt und benutzerdefinierte Angriffsgruppen in einer Konfigurationskonfiguration IDP any
werden, wird "commit" erfolgreich durchgeführt. Eine Commit-Prüfung erkennt solche Fälle also nicht.
Siehe auch
Grundlegendes IDP Anwendungsidentifizierung für verschachtelte Anwendungen
Im Zusammenhang mit der stärkeren Nutzung der Anwendungsprotokollkapselung ist es notwendig, die Identifizierung mehrerer verschiedener Anwendungen zu unterstützen, die auf denselben Layer-7-Protokollen ausgeführt werden. Anwendungen wie Facebook und Yahoo Chat können zum Beispiel beide über HTTP ausgeführt werden. Es ist jedoch notwendig, sie als zwei unterschiedliche Anwendungen zu identifizieren, die auf demselben Layer-7-Protokoll ausgeführt werden. Hierzu ist die aktuelle Anwendungsidentifizierungsebene in zwei Ebenen aufgeteilt: Layer-7-Anwendungen und Layer-7-Protokolle.
Die hier enthaltenen vordefinierten Anwendungssignaturen wurden erstellt, um die Layer-7-Anwendungen zu erkennen, während die vorhandenen Layer-7-Protokollsignaturen weiterhin auf die gleiche Weise funktionieren. Diese vordefinierten Anwendungssignaturen können in Angriffsobjekten verwendet werden.
Siehe auch
Beispiel: Konfigurieren IDP Richtlinien zur Anwendungsidentifizierung
In diesem Beispiel wird gezeigt, wie die Richtlinien IDP zur Anwendungsidentifizierung konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen.
Anwendungspaket herunterladen.
Übersicht
In diesem Beispiel erstellen Sie eine IDP-Richtlinie ABC und definieren die Regel 123 in der IPS Regeldatenbank. Sie geben den Anwendungstyp in einer Regel für IDP an. Wenn Sie eine Anwendung anstatt einer Standardanwendung angeben, wird die Anwendungsidentifizierungsfunktion für diese Regel deaktiviert. IDP Datenverkehr dem angegebenen Anwendungstyp an. Auf die im Rahmen der Anwendungsidentifizierung definierten Anwendungen kann derzeit nicht direkt Bezugiert werden.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren IDP Richtlinien zur Anwendungsidentifizierung:
Erstellen Sie IDP Richtlinien.
[edit] user@host# set security idp idp-policy ABC
Geben Sie den Anwendungstyp an.
[edit] user@host# set security idp idp-policy ABC rulebase-ips rule 123 match application default
Spezifizieren Sie eine Aktion, die dann ergreifen soll, wenn die Übereinstimmungsbedingung erfüllt wird.
[edit] user@host# set security idp idp-policy ABC rulebase-ips rule 123 then action no-action
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.
[edit] user@host# commit
Überprüfung
Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security idp
funktioniert.
Grundlegende Informationen zur Begrenzung des Arbeitsspeichers für IDP Anwendungsidentifikation
Obwohl Sie mit IDP der Signaturdatenbank keine Anwendungssignaturen erstellen können, können Sie Sensoreinstellungen konfigurieren, um die Anzahl der Sitzungen, in denen die Anwendungsidentifikation ausgeführt wird, zu begrenzen und die Speichernutzung für die Anwendungsidentifikation zu begrenzen.
Speicherbegrenzung für eine Sitzung: Sie können die maximale Anzahl an Speicherbytes konfigurieren, die zum Speichern von Paketen zur Anwendungsidentifikation für eine TCP- oder UDP-Sitzung verwendet werden können. Sie können auch eine Begrenzung der globalen Speicherauslastung zur Anwendungsidentifizierung konfigurieren. Die Anwendungsidentifikation ist für eine Sitzung deaktiviert, nachdem das System die angegebene Speicherbegrenzung für die Sitzung erreicht hat. Diese IDP sich jedoch weiterhin an die Muster an. Die angezeigte Anwendung wird im Cache gespeichert, damit die nächste Sitzung sie verwenden kann. Dies schützt das System vor Angreifern, die versuchen, die Anwendungsidentifizierung zu umgehen, indem sie gezielt große Client-to-Server-Pakete senden.
Anzahl von Sitzungen: Sie können die maximale Anzahl von Sitzungen konfigurieren, die gleichzeitig mit der Anwendungsidentifizierung ausgeführt werden kann. Die Anwendungsidentifikation ist deaktiviert, nachdem das System die angegebene Anzahl von Sitzungen erreicht hat. Sie begrenzen die Anzahl der Sitzungen, um einen Denial-of-Service (DOS)-Angriff zu verhindern, der entsteht, wenn zu viele Verbindungsanfragen überlastet werden und alle zugewiesenen Ressourcen im System überlastet werden.
Tabelle 3 enthält die Kapazität einer central Point (CP)-Sitzungsnummern für SRX3400, SRX3600, SRX5600 und SRX5800 Geräten.
Geräte der SRX-Serie |
Maximale Anzahl Sitzungen |
Central Point (CP) |
---|---|---|
SRX3400 |
2,25 Millionen |
Combo-Modus CP |
SRX3600 |
2,25 Millionen |
Combo-Modus CP |
SRX5600 |
9 Millionen 2,25 Millionen |
Vollständige CP Combo-Modus CP |
SRX5800 |
10 Millionen 2,25 Millionen |
Vollständige CP Combo-Modus CP |
Beispiel: Speichergrenzen für IDP Identifizieren von Anwendungen festlegen
In diesem Beispiel wird gezeigt, wie Sie die Speicherbeschränkungen für Anwendungen IDP identifizierungsdienste konfigurieren.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen.
Laden Sie die Signaturdatenbank herunter. Siehe Beispiel: Die Signaturdatenbank IDP manuell aktualisieren.
Übersicht
In diesem Beispiel konfigurieren Sie 5.000 Speicherbyte als maximale Speichermenge, die zum Speichern von Paketen für die Anwendungsidentifikation für eine TCP-Sitzung verwendet werden kann.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie die Arbeitsspeicher- und Sitzungsbeschränkungen IDP Dienste zur Anwendungsidentifizierung:
Geben Sie die Speichergrenzen für die Anwendungsidentifizierung an.
[edit] user@host# set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.
[edit] user@host# commit
Überprüfung
Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security idp memory
funktioniert.
Überprüfung von IDP-Zählern für Prozess zur Anwendungsidentifizierung
Zweck
Überprüfen der IDP zähler für die Prozesse zur Anwendungsidentifizierung.
Aktion
Geben Sie CLI den Befehl show security idp counters application-identification
ein.
Beispielausgabe
Befehlsname
user@host> show security idp counters application-identification IDP counters: IDP counter type Value AI cache hits 2682 AI cache misses 3804 AI matches 74 AI no-matches 27 AI-enabled sessions 3804 AI-disabled sessions 2834 AI-disabled sessions due to cache hit 2682 AI-disabled sessions due to configuration 0 AI-disabled sessions due to protocol remapping 0 AI-disabled sessions due to non-TCP/UDP flows 118 AI-disabled sessions due to no AI signatures 0 AI-disabled sessions due to session limit 0 AI-disabled sessions due to session packet memory limit 34 AI-disabled sessions due to global packet memory limit 0
Bedeutung
Die Ausgabe zeigt eine Zusammenfassung der Anwendungsidentifizierungszähler. Überprüfen Sie die folgenden Informationen:
KI Cache-Hits: Zeigt die Anzahl der Hits im Cache zur Anwendungsidentifizierung an
KI-Cache-Missen: Zeigt die Anzahl der Übereinstimmungen mit der Anwendung an, der Anwendungsidentifizierungs-Cache wird jedoch nicht hinzugefügt.
KI: Zeigt die Anzahl der Treffer für die Anwendung an, und es wird ein Cache-Eintrag zur Anwendungsidentifizierung hinzugefügt.
KI nicht übereinstimmen: Zeigt die Anzahl an Zeiten an, in denen eine Anwendung nicht übereinstimmen sollte.
KI-fähige Sitzungen: Zeigt die Anzahl der Sitzungen an, in denen die Anwendungsidentifizierung aktiviert ist.
KI deaktivierte Sitzungen: Zeigt die Anzahl der Sitzungen an, in denen die Anwendungsidentifikation deaktiviert ist.
KI aufgrund eines Cache-Treffers deaktivierte Sitzungen: Zeigt die Anzahl der Sitzungen an, in denen die Anwendungsidentifikation deaktiviert ist, nachdem ein Cache-Eintrag angezeigt wurde. Der Prozess zur Identifizierung von Anwendungen wird für diese Sitzung eingestellt.
KI aufgrund der Konfiguration deaktivierte Sitzungen: Zeigt die Anzahl der Sitzungen an, in denen die Anwendungsidentifikation aufgrund der Sensorkonfiguration deaktiviert ist.
KI aufgrund von Protokoll-Remapping deaktivierte Sitzungen: Zeigt die Anzahl der Sitzungen an, für die die Anwendungsidentifizierung deaktiviert ist, da Sie einen bestimmten Service in der Definition der IDP Richtlinienregel konfiguriert haben.
KI aufgrund von nicht TCP/UDP-Datenflüssen deaktivierte Sitzungen: Zeigt die Anzahl der Sitzungen an, für die die Anwendungsidentifikation deaktiviert ist, da die Sitzung keine TCP- oder UDP-Sitzung ist.
KI-Deaktivierte Sitzungen aufgrund KI Signaturen: Zeigt die Anzahl der Sitzungen an, für die die Anwendungsidentifizierung deaktiviert ist, da keine Übereinstimmung auf den Anwendungsidentifizierungssignaturen gefunden wird.
KI aufgrund der Sitzungsbegrenzung deaktiviert: Zeigt die Anzahl der Sitzungen an, für die die Anwendungsidentifizierung deaktiviert ist, da Sitzungen die maximal konfigurierte Höchstanzahl erreicht haben. Die Anwendungserkennung ist auch für zukünftige Sitzungen deaktiviert.
KI aufgrund der Begrenzung des Sitzungspaketspeichers deaktiviert: Zeigt die Sitzungen an, für die die Anwendungsidentifizierung deaktiviert ist, da die Sitzungen die maximale Anzahl von TCP- oder UDP-Datenflüssen erreicht haben. Auch bei zukünftigen Sitzungen wird die Anwendungserkennung deaktiviert.
KI aufgrund der globalen Paketspeicherbeschränkung deaktiviert: Zeigt die Sitzungen an, für die die Anwendungsidentifizierung deaktiviert ist, da die maximale Speicherbegrenzung erreicht wird. Die Anwendungserkennung ist auch für zukünftige Sitzungen deaktiviert.