SUR CETTE PAGE
Compréhension des techniques d’identification des applications
Compréhension de la base de Junos OS d’identification des applications
Désactivation et désactivation de l’Junos OS identification des applications
Vérification des statistiques du système de cache d’applications
Prise en charge des trames Jumbo pour Junos OS d’identification des applications
Limitation de l’inspection d’identification des applications
Présentation de la capture de paquets du trafic applicatif inconnu
Configurer la capture des paquets pour le trafic applicateur inconnu
Identification des applications
L’identification des applications vous permet de voir les applications sur votre réseau et d’en savoir plus sur leur fonctionnement, leurs caractéristiques comportementales et leur risque relatif. En utilisant plusieurs mécanismes d’identification différents, App ID détecte les applications sur votre réseau, quels que soient le port, le protocole et les autres tactiques d’évasion utilisés. Pour plus d’informations, consultez les rubriques suivantes:
Compréhension des techniques d’identification des applications
Par le passé, les pare-feu utilisent les adresses IP et les numéros de port pour appliquer les stratégies. Cette stratégie est basée sur le principe que les utilisateurs se connectent au réseau à partir de sites fixes et accèdent à des ressources spécifiques en utilisant des numéros de port spécifiques.
Aujourd’hui, les réseaux sans fil et les équipements mobiles nécessitent une stratégie différente. La façon dont les équipements se connectent au réseau change rapidement. Un utilisateur peut se connecter au réseau à l’aide de plusieurs équipements simultanément. Il n’est plus pratique d’identifier un utilisateur, une application ou un équipement par un groupe d’adresses IP et de numéros de port alloués de façon statique.
Ce sujet comprend la section suivante:
- Junos OS’identification des applications de nouvelle génération
- Avantages de l’identification des applications
- Mappage des signatures d’applications
- Séquence de correspondance d’identification d’application
Junos OS’identification des applications de nouvelle génération
L’identification de nouvelle génération des applications s’appuie sur la fonctionnalité d’identification des applications héritée et fournit des fonctionnalités de détection plus efficaces pour les applications évasives telles que Skype, BitTorrent et Tor.
Junos OS identification des applications reconnaît les applications et protocoles basés sur le Web et autres au niveau de différentes couches réseau, en utilisant des caractéristiques autres que le numéro de port. Les applications sont identifiées à l’aide d’une offre de protocole contenant des signatures d’application et des informations d’identification. L’identification est basée sur l’étude et le décodage des protocoles et sur la gestion des sessions.
Le mécanisme de détection dispose de son propre flux de données et de ses propres constructions pour identifier les applications.
Les fonctionnalités suivantes sont prise en charge dans l’identification des applications:
Prise en charge de protocoles et d’applications, notamment la diffusion de vidéos, la communication P2O, les réseaux sociaux et la messagerie
Identification des services dans les applications
Possibilité de distinguer les actions lancées au sein d’une application (telles que la connexion, la navigation, le chat et le transfert de fichier)
Prise en charge de toutes les versions des protocoles et des décodeurs d’applications et des mises à jour dynamiques des décodeurs
Prise en charge du trafic chiffré et compressé et des protocoles de tunneling les plus complexes
Capacité d’identifier tous les protocoles de la couche 3 à la couche 7 et supérieure la couche 7
Avantages de l’identification des applications
Contrôle granulaire des applications, y compris la diffusion de vidéos, la communication P2I, les réseaux sociaux et la messagerie. Il identifie également les services, l’utilisation des ports, la technologie sous-jacente et les caractéristiques comportementales dans les applications. Cette visibilité vous permet de bloquer les applications évasives en ligne au niveau SRX Series pare-feu.
Identifie les applications et permet, bloque ou limite les applications, quel que soit le port ou le protocole, y compris les applications connues pour utiliser des techniques de evasive pour éviter l’identification. Cette identification permet aux entreprises de contrôler les types de trafic autorisés à entrer sur le réseau et à en sortir.
Mappage des signatures d’applications
Le mappage de signatures d’applications est une méthode précise pour identifier l’application émettre du trafic sur le réseau. Le mappage de signatures fonctionne au niveau de la couche 7 et inspecte le contenu réel de la charge utile.
Les applications sont identifiées via une offre de protocole téléchargeable. Les signatures d’applications et les informations d’traitement des premiers paquets sont comparées au contenu de la base de données. Si la charge utile contient les mêmes informations qu’une entrée dans la base de données, l’application du trafic est identifiée comme étant l’application en rapport avec cette entrée de base de données.
Juniper Networks fournit une base de données d’identification des applications prédéfinis contenant les entrées d’un ensemble complet d’applications connues, telles que FTP et DNS, et d’applications qui fonctionnent sur le protocole HTTP, comme Facebook, Kasaa et de nombreux programmes de messagerie instantanée. Un abonnement de signature vous permet de télécharger la base de données à partir de Juniper Networks et de mettre régulièrement à jour le contenu à mesure que de nouvelles signatures prédéfines sont ajoutées.
Séquence de correspondance d’identification d’application
La Figure 1 illustre la séquence dans laquelle les techniques de mappage sont appliquées et la façon dont l’application est déterminée.
Dans le cadre de l’identification des applications, chaque paquet du flux passe par le moteur d’identification des applications pour traitement jusqu’à ce que l’application soit identifiée. Les adages pour applications sont enregistrés dans le cache du système d’application (ASC) afin d’accélérer le processus d’identification futur.
Les signatures d’application identifient une application en fonction de l’analyse de la grammaire des protocoles dans les premiers paquets d’une session. Si le moteur d’identification des applications n’a pas encore identifié l’application, il passe les paquets et attend davantage de données.
Le module d’identification des applications correspond aux applications pour les sessions client à serveur et serveur à client.
Une fois l’application déterminée, des modules de services AppSecure peuvent être configurés pour surveiller et contrôler le trafic afin d’assurer le suivi, la priorisation, le contrôle des accès, la détection et la prévention en fonction de l’ID de l’application du trafic.
Suivi des applications (AppTrack): suit et signale les applications qui transitent via l’équipement.
détection et prévention d'intrusion (IDP): applique les objets d’attaque appropriés aux applications s’exécutant sur les ports non-normes. L’identification des applications améliore IDP performances en étroitssant la portée des signatures d’attaque pour les applications sans décoder.
Pare-feu d’application (AppFW): met en œuvre un pare-feu d’application en utilisant des règles basées sur les applications.
Qualité de service des applications (AppQoS): hiérquage de la qualité de service (QoS) en fonction de la connaissance des applications.
Routage avancé basé sur des stratégies (APBR): classe la session en fonction des applications et applique les règles configurées pour réacheminer le trafic.
Qualité de l’expérience applicable (AppQoE): surveille les performances des applications et sélectionne le lien le plus performant possible en fonction du score.
Voir également
Compréhension de la base de Junos OS d’identification des applications
Une base de données de signatures prédéfinie est disponible sur le site Web Juniper Networks Security Engineering. Cette base de données comprend une bibliothèque de signatures d’applications. Pour plus d’informations, consultez les signatures d’applications. Ces pages de signatures vous offrent une visibilité sur la catégorie applicative, le groupe, le niveau de risque, les ports, etc.
Le package de signatures prédéfiny fournit des critères d’identification pour les signatures d’applications connues et est mis à jour régulièrement.
Chaque fois que de nouvelles applications sont ajoutées, l’offre de protocole est mise à jour et générée pour toutes les plates-formes pertinentes. Il est rassemblé avec d’autres fichiers de signatures d’applications. Ce package sera téléchargeable sur le site Web de téléchargement dédié à la sécurité.
Un service d’abonnement vous permet de télécharger régulièrement les dernières signatures pour une couverture à jour sans avoir à créer des entrées pour votre propre utilisation.
L’identification des applications est activée par défaut et s’active automatiquement lorsque vous configurez détection et prévention d'intrusion (IDP), AppFW, AppQoS ou AppTrack.
Les mises à jour du Junos OS de signatures d’application prédéfines sont autorisées par un service d’abonnement sous licence séparé. Vous devez installer la clé de mise à jour de licence de la signature d’identification de l’application sur votre équipement pour télécharger et installer les mises à jour de base de données de signatures fournies par Juniper Networks. Lorsque votre clé de licence expire, vous pouvez continuer à utiliser le contenu du package de signatures d’application stocké localement, mais vous ne pouvez pas le mettre à jour.
Voir également
Désactivation et désactivation de l’Junos OS identification des applications
L’identification des applications est activée par défaut. Vous pouvez désactiver l’identification de l’application avec la CLI.
Pour désactiver l’identification des applications:
user@host# set services application-identification no-application-identification
Si vous souhaitez reconfigurer l’identification des applications, supprimez l’énoncé de configuration qui spécifie la désactivation de l’identification de l’application:
user@host# delete services application-identification no-application-identification
Si vous avez terminé la configuration de l’équipement, commit the configuration.
Pour vérifier la configuration, saisissez la show services application-identification commande.
Voir également
Compréhension du cache du système d’application
Le cache du système d’application (ASC) enregistre le mappage entre le type d’application et l’adresse IP de destination correspondante, le port de destination, le type de protocole et le service. Une fois l’application identifiée, ses informations sont enregistrées dans l’ASC. Ainsi, seule une entrée équivalente est requise pour identifier une application qui s’exécute sur un système particulier, accélérant ainsi le processus d’identification.
Par défaut, l’ASC enregistre les informations de mappage pendant 3 600 secondes. Vous pouvez cependant configurer la valeur de délai d’utilisation du cache à l’aide de CLI.
Vous pouvez utiliser la commande pour [edit services application-identification application-system-cache-timeout] modifier la valeur de délai d’utilisation des entrées de cache du système d’application. La valeur d’terme peut être configurée de 0 à 1 000 000 secondes. La session ASC peut expirer au bout de 1000 000 secondes.
Les entrées ASC expirent après l’expiration de l’expiration de l’ASC configuré. Les entrées ASC ne sont pas actualisé, même lorsqu’il y a des accès au cache (entrée équivalente dans ASC trouvée) pendant la période d’attente.
Lorsque vous configurez une nouvelle signature d’application personnalisée ou modifiez une signature personnalisée existante, toutes les entrées de cache du système d’application existantes pour les applications prédéfinies et personnalisées seront autorisées.
Lorsque vous supprimez ou désactivez une signature d’application personnalisée et que la validation de la configuration échoue, l’entrée du cache du système d’application (ASC) n’est pas entièrement autorisée ; au lieu de cela, une application de base sur le chemin d’une application personnalisée sera signalée dans l’ASC.
Voir également
Activation ou désactivation de la mise en cache du système d’applications pour les services d’applications
À partir Junos OS version 18.2R1, le comportement par défaut de l’ASC est modifié comme suit:
- Avant Junos OS version 18.2R1: ASC est activé par défaut pour tous les services, y compris les services de sécurité.
-
À partir Junos OS version 18.2R1 ' ASC est activée par défaut ; notez la différence entre les services de sécurité:
-
La recherche des services de sécurité dans les asC n’est pas activée par défaut. En d’autres cas, les services de sécurité (stratégies de sécurité, pare-feu pour applications (AppFW), suivi des applications (AppTrack), qualité de service des applications (AppQoS), Juniper Sky ATP, IDP et UTM n’utilisent pas l’ASC par défaut.
-
La recherche par défaut des services divers de l’ASC est activée. Autrement dit, les services divers, y compris le routage avancé basé sur des stratégies (APBR), utilisent l’ASC pour identifier les applications par défaut.
-
La modification du comportement par défaut de l’ASC affecte la fonctionnalité AppFW héritée. L’ASC ayant été désactivée par défaut pour les services de sécurité à partir de Junos OS version 18.2, AppFW n’utilisera pas les entrées présentes dans l’ASC.
Vous pouvez retourner au comportement de l’ASC comme dans Junos OS version 18.2 avant la publication 18.2 à l’aide de la set services application-identification application-system-cache security-services commande.
Si l’ASC est activé pour les services de sécurité, l’équipement de sécurité pourrait devenir vulnérable aux techniques d’évasion application. Nous vous recommandons d’activer l’ASC uniquement lorsque les performances de l’équipement dans sa configuration par défaut (désactivée pour les services de sécurité) ne sont pas suffisantes pour votre cas d’utilisation spécifique.
Utilisez les commandes suivantes pour activer ou désactiver l’ASC:
Activer l’ASC pour les services de sécurité:
user@host#set services application-identification application-system-cache security-servicesDésactivez l’ASC pour les services divers:
user@host#set services application-identification application-system-cache no-miscellaneous-servicesDésactivez l’ASC activée pour les services de sécurité:
user@host#delete services application-identification application-system-cache security-servicesActiver l’ASC désactivé pour les services divers:
user@host#delete services application-identification application-system-cache no-miscellaneous-services
Vous pouvez utiliser la commande show services application-identification application-system-cache pour vérifier l’état de l’ASC.
L’exemple suivant fournit l’état de l’ASC:
user@host>show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
Dans les version qui ont été Junos OS la 18.2R1, la mise en cache des applications a été activée par défaut. Vous pouvez le désactiver manuellement à l’aide de la set services application-identification no-application-system-cache commande.
user@host# set services application-identification no-application-system-cache
Voir également
Vérification des statistiques du système de cache d’applications
But
Vérifier les statistiques du cache du système d’applications (ASC).
Le cache du système d’application affiche le cache pour les applications d’identification des applications.
Action
À partir CLI mode opérationnel, saisissez la show services application-identification application-system-cache commande.
Exemple de sortie
nom de commande
user@host> show services application-identification application-system-cache application-cache: on nested-application-cache: on cache-unknown-result: on cache-entry-timeout: 3600 seconds
Sens
La sortie affiche un récapitulatif des informations statistiques de l’ASC. Vérifier les informations suivantes:
Adresse IP: affiche l’adresse de destination.
Port: affiche le port de destination sur le serveur.
Protocole: affiche le type de protocole sur le port de destination.
Application: affiche le nom de l’application identifiée sur le port de destination.
Sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550M et SRX1500, lorsqu’un grand nombre d’entrées ASC (10 000 ou plus) show services application-identification application-system-cacheet les entrées doivent être répertoriées dans le résultat de la commande, une session d’attente de CLI se produit.
Voir également
Statistiques d’identification des applications en boîte
Les services d’identification des applications fournissent des informations statistiques par session. Ces statistiques indiquent aux clients un profil d’utilisation des applications. La fonctionnalité Onbox Application Identification Statistics ajoute des statistiques au niveau des applications à AppSecure suite. Les statistiques d’application permettent à un administrateur d’accéder aux statistiques cumulées ainsi qu’aux statistiques accumulées à intervalles définis par l’utilisateur.
Avec cette fonctionnalité, l’administrateur peut effacer les statistiques et configurer les valeurs d’intervalle tout en conservant les octets et les statistiques du nombre de sessions. Le nombre de statistiques étant comptabilisés à la fin de la session, le nombre d’événements et les nombres d’événements ne sont pas mis à jour tant que la session n’est pas close. Juniper Networks de sécurité prendre en charge un historique de huit intervalles qu’un administrateur peut utiliser pour afficher le nombre d’équipements et de sessions d’applications. Depuis le début Junos OS 18.3R1, les équipements de sécurité affichent un intervalle entre les sessions d’application et le nombre d’équipements.
Si le regroupement d’applications est pris en charge dans votre configuration d’Junos OS, la fonctionnalité Onbox Application Identification Adil prend en charge les statistiques de correspondance par groupe dans la boîte de réception. Les statistiques ne sont conservées que pour les groupes prédéfin unis.
Les packages de signatures d’applications ne effacera pas les statistiques d’application. Si l’application est désactivée, il n’y aura pas de trafic pour cette application, mais l’application est toujours conservée dans les statistiques. Peu importe si vous réinventez une application prédéfinée, car les applications sont suivis en fonction du type d’application. Pour les statistiques de groupe prédéfinées, les packages de sécurité ne les effacera pas. Toutefois, toutes les modifications apportées au statut de membre du groupe sont mises à jour. Par exemple, junos:web peut avoir 50 applications dans la version actuelle et 60 applications suite à une mise à niveau. Les applications supprimées et les groupes d’applications qui sont rebaptés sont gérés de la même manière que les applications ajoutées.
Le module d’identification des applications maintient sur chaque unité de traitement des services (SPU) des compteurs de session de 64 bits pour chaque application. Les incréments par incréments lorsqu’une session est identifiée comme une application particulière. Un autre ensemble de compteurs 64 bits agrège le total d’octets par application sur le processeur. Les compteurs pour les applications non spécifiées sont également maintenus. Les statistiques de plusieurs spUs pour les sessions et les octets sont agrégées sur le moteur de routage et présentées aux utilisateurs.
Chaque spUs a des intervalles pour le déploiement de statistiques. interval Pour configurer l’intervalle de collecte de statistiques, utilisez la set services application-identification statistics interval time commande. Chaque fois que moteur de routage demande de l’intervalle requis, les statistiques correspondantes sont récupérées à partir de chaque unité centrale, agrégées dans le moteur de routage et présentées à l’utilisateur.
Utilisez cette base clear services application-identification statistics pour effacer toutes les statistiques d’application, telles que les cumuls, l’intervalle, les applications et les groupes d’applications.
Utilisez la commande clear services application-identification counter pour réinitialiser les compteurs manuellement. Réinitialisation automatique des compteurs lors de la mise à niveau ou du redémarrage d’un équipement, du redémarrage fluide ou d’une modification de l’intervalle d’intervalle.
Utilisez le pour set services application-identification application-system-cache-timeout value spécifier la valeur de délai d’utilisation en secondes pour les entrées de cache du système d’application.
À partir de Junos OS version 15.1X49-D120, sur tous les équipements SRX Series, l’intervalle par défaut pour la collecte des statistiques d’identification des applications est modifié de 1 minute à 1 440 minutes.
Configuration de la taille du cache IMAP
Le protocole IMAP (Internet Message Access Protocol) est un protocole internet standard utilisé par les clients de messagerie électronique pour le stockage des e-mails et les services de recherche. Le cache IMAP est utilisé pour l’traitement des protocoles et la génération de contexte. Il stocke les informations connexes d’un e-mail.
À partir Junos OS de 15.1X49-D120, vous pouvez configurer pour limiter le nombre maximal d’entrées dans le cache IMAP et spécifier la valeur d’délai d’utilisation des entrées dans le cache.
Vous pouvez utiliser les commandes suivantes pour modifier les paramètres du cache IMAP:
set services application-identification imap-cache imap-cache-size size
set services application-identification imap-cache imap-cache-timeout time in seconds
Exemple:
[edit]
user@host# set services application-identification imap-cache imap-cache-size 50000
Dans cet exemple, la taille du cache IMAP est configurée pour stocker 50 000 entrées.
[edit]
user@host# set services application-identification imap-cache-timeout 600
Dans cet exemple, le délai d’attente est configuré à 600 secondes au cours de laquelle une entrée de cache reste dans le cache IMAP.
Voir également
Prise en charge des trames Jumbo pour Junos OS d’identification des applications
L’identification des applications permet une trame géante plus importante de 9 192 octets. Bien que les trames géantes soient activées par défaut, vous pouvez ajuster la taille de MTU (MTU) à l’aide de la commande [set interfaces]. Il est possible de réduire les coûts de processeur lors du traitement des trames géantes.
Voir également
Limitation de l’inspection d’identification des applications
À partir Junos OS de 15.1X49-D200 et 19.4R1, vous avez la possibilité de configurer les limites de l’inspection d’identification des applications:.
Inspection Limit for TCP and UDP Sessions
Vous pouvez définir la limite d’bytet et la limite de paquets pour l’identification des applications (AppID) dans un UDP ou dans une session TCP. AppID conclut la classification en fonction de la limite d’inspection configurée. En cas de dépassement de la limite, AppID termine la classification des applications.
Si AppID ne conclut pas la classification finale dans les limites configurées et qu’une application assortie est disponible, AppID conclut l’application comme application prédéfigurée. Dans le cas contraire, l’application est conclu comme junos:UNKNOWN, à condition que le cache AppID global soit activé. Le cache AppID global est activé par défaut.
Pour configurer la limite d’bytet et la limite des paquets, utilisez les instructions de configuration suivantes dans la
[edit]hiérarchie:-
user@host#set services application-identification inspection-limit tcp byte-limit byte-limit-number packet-limit packet-limit-number -
user@host#set services application-identification inspection-limit udp byte-limit byte-limit-number packet-limit packet-limit-number
Le tableau 1 fournit la plage et la valeur par défaut pour la configuration de la limite d’bytes et de la limite de paquets pour les sessions TCP et UDP.
Tableau 1: Limite maximale des nombres d’bytes et d’bytets de paquets pour les sessions TCP et UDP Session
Limite
Gamme
Valeur par défaut
TCP
Limite des nombres d’bytes
Entre 0 et 4294967295
6000
Pour Junos OS version 15.1X49-D200, la valeur par défaut est 10 000.
Limite de paquets
Entre 0 et 4294967295
Zéro
UDP
Limite des nombres d’bytes
Entre 0 et 4294967295
Zéro
Limite de paquets
Entre 0 et 4294967295
10
Pour Junos OS version 15.1X49-D200, la valeur par défaut est de 20.
La limite d’bytet n’exclut pas l’en-tête IP et les longueurs d’en-tête TCP/UDP.
Si vous définissez les options et
byte-limitpacket-limitles deux, AppID inspecte la session jusqu’à ce que les limites soient atteintes.Vous pouvez désactiver la limite d’inspection TCP ou UDP en configurant
byte-limitpacket-limità zéro les valeurs correspondantes et les valeurs.-
Global Offload Byte Limit (Other Sessions)
Vous pouvez définir la limite d’byte pour l’AppID afin de conclure la classification et d’identifier l’application dans une session. En cas de dépassement de la limite, AppID termine la classification des applications et prend l’une des décisions suivantes:
Si une application assortie est disponible, AppID conclut la classification d’application comme application pré-assortie dans les cas suivants:
Lorsque AppID ne conclut pas la classification finale dans la limite d’bytet configurée
Lorsque la session n’est pas déchargée en raison d’un comportement de tunnellation de certaines applications
Si une application assortie n’est pas disponible, AppID conclut l’application comme junos:UNKNOWN, à condition que le cache AppID global soit activé. Le cache AppID global est activé par défaut. Voir Activer ou désactiver le cache système d’applications pour les services d’applications.
Pour configurer la limite d’byte, utilisez l’énoncé de configuration suivant de la
[edit]hiérarchie:set services application-identification global-offload-byte-limit byte-limit-number
La valeur par défaut de l’option
global-offload-byte-limitest 10000.Vous pouvez désactiver la limite globale d’bytet de déchargement en configurant la
global-offload-byte-limitvaleur à zéro.La limite d’bytet n’exclut pas l’en-tête IP et les longueurs d’en-tête TCP/UDP.
- Activer l’option Mode performances
- Prise en charge de l’identification des applications pour les applications hébergées sur content delivery network (CDN)
- Limite de mémoire maximale pour LPI
Activer l’option Mode performances
À partir de Junos OS Releases 15.1X49-D200 et 19.4R1, le seuil maximum de paquets pour l’option set services application-identification enable-performance-mode max-packet-threshold value DPI en mode de performance est supprimé (plutôt que immédiatement supprimé) afin de fournir une rétrocompatibilité et la possibilité de mettre votre configuration en conformité avec la nouvelle configuration. Cette option a été utilisée pour définir le seuil maximal de paquets dans le mode de performance DPI.
Si votre configuration inclut l’option max-packet-threshold de mode de performances activée dans les communiqués de Junos OS 15.1X49-D200 et 19.4R1, AppID conclut la classification des applications en atteignant la valeur la plus faible configurée dans la limite d’inspection TCP ou UDP limite des dépenses ou limite des nombres d’environ deux paquets, ou dans le seuil maximum de paquets pour l’option de mode de performance DPI.
Prise en charge de l’identification des applications pour les applications hébergées sur content delivery network (CDN)
Depuis Junos OS Release 20.1R1 et 19.1R3, vous pouvez activer l’identification des applications (AppID) afin de classer une application Web hébergée sur un réseau de diffusion de contenus (CDN) comme AWS, Akamai, Azure, Fastly et Cloudflare, etc. Utilisez l’énoncé de configuration suivant pour permettre la classification des applications CDN:
[edit]user@host#user@hots# set service application-identification enable-cdn-application-detection
Lorsque vous appliquez la configuration, AppID identifie et classe les applications réelles hébergées sur le CDN.
Limite de mémoire maximale pour LPI
À partir Junos OS des 20.1R1 et des 19.1R3 de sortie, vous pouvez configurer la limite de mémoire maximale pour les inspection approfondie des paquets (DPI) en utilisant l’énoncé de configuration suivant:
user@host# set services application-identification max-memory memory-value
Vous pouvez définir une valeur de mémoire de 1 à 20 000 Mo.
Lorsque la consommation de mémoire JDPI atteint 90 % de la valeur configurée, l’IPI cesse de traiter les nouvelles sessions.
Amélioration du débit du trafic applic
Le débit du trafic des applications peut être amélioré en déliant le inspection approfondie des paquets (DPI) en mode performance avec la limite d’inspection des paquets par défaut à deux paquets, y compris les itinéraires client-serveur et serveur à client. Par défaut, le mode performance est désactivé sur les équipements de sécurité.
Pour améliorer le débit du trafic applicant:
Utilisez la commande show services application-identification status pour afficher des informations détaillées sur l’état d’identification des applications.
show services Application-Identification Status (DPI Performance Mode Enabled)
user@host> show services application-identification status pic: 2/1 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.2-24.006 (build date Jul 30 2014) Max TCP session packet memory 30000 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 262144 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Slot 1: Application package version 2399 Status Active Version 1.40.0-26.006 (build date May 1 2014) Sessions 0 Slot 2 Application package version 0 Status Free Version Sessions 0
Le mode performance DPI affiche sur le terrain si le mode performance DPI est activé ou non. Ce champ n’est affiché dans CLI commande que si le mode performance est activé.
Si vous souhaitez définir une DPI en mode de précision par défaut et désactiver le mode de performance, supprimez l’énoncé de configuration qui indique que le mode de performance est en cours:
Pour désactiver le mode performance:
Supprimez le mode performance.
[edit]user@host# delete services application-identification enable-performance-modeValider la configuration.
[edit]user@host# commit
Voir également
Présentation de la capture de paquets du trafic applicatif inconnu
Vous pouvez utiliser la fonction de capture de paquets d’applications inconnues pour recueillir plus de détails sur une application inconnue sur votre équipement de sécurité. Le trafic des applications inconnu est le trafic qui ne correspond pas à une signature d’application.
Une fois que vous avez configuré les options de capture des paquets sur votre équipement de sécurité, le trafic des applications inconnu est collecté et stocké sur l’équipement dans un fichier de capture des paquets (.pcap). Vous pouvez utiliser la capture de paquets d’une application inconnue pour définir une nouvelle signature d’application personnalisée. Vous pouvez utiliser cette signature d’application personnalisée dans une stratégie de sécurité pour gérer plus efficacement le trafic des applications.
Vous pouvez envoyer le fichier .pcap à l’Juniper Networks pour analyse en cas de mauvaise classement du trafic ou pour demander la création d’une signature d’application.
Avantages de la capture de paquets du trafic applicant inconnu
Vous pouvez utiliser la capture de paquets de trafic applicant inconnu pour:
Collecter plus d’informations sur une application inconnue
Analyse du trafic des applications inconnues pour y faire face
Participer à la création de règles de stratégies de sécurité
Permet la création de signatures d’applications personnalisées
La mise en œuvre de stratégies de sécurité qui bloquent tout le trafic des applications inconnues peut entraîner des problèmes avec les applications basées sur le réseau. Avant d’appliquer ce type de stratégies, assurez-vous de valider que cette approche ne cause pas de problèmes dans votre environnement. Vous devez analyser attentivement le trafic des applications inconnues et définir la stratégie de sécurité en conséquence.
Configurer la capture des paquets pour le trafic applicateur inconnu
Avant de commencer
Pour permettre la capture automatique des paquets du trafic des applications inconnues, vous devez:
Installer une licence de fonctionnalités d’identification des applications valide sur votre SRX Series mobile. Voir Gérer Junos OS licences.
Téléchargez et installez le package Junos OS signatures de l’application. Voir Télécharger et installer le package Junos OS signatures d’application.
Assurez-vous d’Junos OS version 20.2R1 version ultérieure sur votre équipement de sécurité.
Aperçu
Dans cet exemple, vous découvrirez comment configurer la capture automatique de paquets d’applications inconnues sur votre équipement de sécurité en suivant les étapes suivantes:
Définissez des options de capture des paquets au niveau mondial ou au niveau des stratégies de sécurité.
Configuration du mode de capture des paquets
(Facultatif) Configuration des options de capture de paquets
Accéder au fichier de capture des paquets généré (. fichier pcap )
Configuration
Pour en savoir plus sur les options de configuration de capture de paquets, consultez la capture des paquets avant de commencer.
- Capture de paquets pour applications inconnues dans le monde entier
- Capture de paquets pour applications inconnues au niveau des stratégies de sécurité
- Sélection du mode de capture des paquets
- Définir les options de capture de paquets (facultatif)
- Accès aux fichiers de capture des paquets (.pcaps)
Capture de paquets pour applications inconnues dans le monde entier
Procédure étape par étape
Pour permettre la capture des paquets au niveau mondial, utilisez la commande suivante:
user@host#set services application-identification packet-capture global
Lorsque vous activez la capture de paquets au niveau mondial, votre équipement de sécurité génère une capture de paquets pour toutes les sessions qui contiennent le trafic des applications inconnues.
Capture de paquets pour applications inconnues au niveau des stratégies de sécurité
Procédure étape par étape
Configurez la capture des paquets au niveau des stratégies de sécurité, utilisez la procédure suivante. Dans cet exemple, vous activez la capture de paquets du trafic des applications inconnues à la stratégie de sécurité P1.
[edit]user@host#set security policies from-zone untrust to-zone trust policy P1 match source-address anyuser@host#set security policies from-zone untrust to-zone trust policy P1 match destination-address anyuser@host#set security policies from-zone untrust to-zone trust policy P1 match application anyuser@host#set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:UNKNOWNuser@host#set security policies from-zone untrust to-zone trust policy P1 then permit application-services packet-capturePour permettre la capture de paquets du trafic des applications inconnues au niveau de la stratégie de sécurité, vous devez inclure
junos:UNKNOWNles conditions de correspondance dynamiques de l’application.Lorsque vous configurez la stratégie de sécurité (P1), le système capture les détails des paquets pour le trafic de l’application qui correspond aux critères de correspondance de la stratégie de sécurité.
Sélection du mode de capture des paquets
Vous pouvez enregistrer les paquets pour le trafic des applications inconnues dans l’un des modes suivants:
Mode ASC: capture les paquets pour les applications inconnues lorsque l’application est classée junos:UNKNOWN et possède une entrée équivalente dans le cache du système d’application (ASC). Ce mode est activé par défaut.
Mode agressif: capture tout le trafic avant que AppID n’ait terminé sa classification. Dans ce mode, le système capture tout le trafic des applications, indépendamment d’une entrée ASC disponible. La capture des paquets commence à partir du premier paquet de la première session. Notez que le mode agressif est beaucoup plus important en matière de ressources et qu’il doit être utilisé avec prudence.
Pour activer le mode agressif, utilisez la commande suivante:
[edit]user@host#set services application-identification packet-capture aggressive-modeIl est recommandé d’utiliser un mode agressif sauf si vous devez enregistrer la première occurrence d’un flux. Comme indiqué plus haut, le comportement par défaut de l’équipement repose sur l’ASC.
Définir les options de capture de paquets (facultatif)
Procédure étape par étape
Vous pouvez définir les paramètres de capture des paquets suivants, éventuellement. Sinon, les options par défaut décrites dans la capture de paquets sont utilisées pour cette fonctionnalité. Dans cet exemple, vous définissez des options de capture de paquets, telles que la limite maximale de paquets, la limite d’bytet maximale et le nombre de fichiers de capture de paquets (.pcap).
Définissez le nombre maximal de paquets UDP par session.
[edit]user@host#set services application-identification packet-capture max-packets 10Définissez le nombre maximal d’octets TCP par session.
[edit]user@host#set services application-identification packet-capture max-bytes 2048Définissez le nombre maximum de fichiers de capture de paquets (.pcap) à créer avant que le plus ancien ne soit remplacé et fait tourner.
[edit]user@host#set services application-identification packet-capture max-files 30
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le niveau show services application-identification packet-capture de show security policies commande et de hiérarchie. Si la configuration prévue n’est pas affichée en sortie, suivez les instructions de configuration de cet exemple pour la corriger.
La configuration suivante illustre un exemple de capture globale de paquets d’applications inconnues avec des configurations en option:
[edit services application-identification]user@host# show packet-capture{ global; max-packets 10; max-bytes 2048; max-files 30; }
La configuration suivante illustre un exemple de capture de paquets d’applications inconnues au niveau des stratégies de sécurité avec des configurations facultatives:
[edit services application-identification]user@host# show packet-capture{ max-packets 10; max-bytes 2048; max-files 30; }
[edit security policies]user@host# showfrom-zone untrust to-zone trust { policy P1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:UNKNOWN ]; } then { permit { application-services { packet-capture; } } } } }
Si vous avez terminé la configuration de l’équipement, saisissez-le commit en mode de configuration.
Accès aux fichiers de capture des paquets (.pcaps)
Après avoir terminé la configuration et la valider, vous pouvez afficher le fichier de capture de paquets (.pcap). Le système génère un fichier de capture des paquets unique pour chaque adresse IP de destination, port de destination et protocole.
Procédure étape par étape
Pour afficher le fichier de capture des paquets:
Accédez au répertoire où les fichiers .pcap sont stockés sur l’équipement.
user@host> start shell % % cd /var/log/pcap
Localiser le fichier .pcap .
Le fichier .pcap est enregistré au destination-IP-address. destination-port.protocol. pcap format. Exemple: 142.250.31.156_443_17.pcap.
user@host:/var/log/pcap # ls -lah total 1544 drwxr-xr-x 2 root wheel 3.0K Jul 27 15:04 . drwxrwxr-x 9 root wheel 3.0K Jul 24 16:23 .. -rw-r----- 1 root wheel 5.0K Jul 24 20:16 142.250.31.156_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 15:03 142.250.64.97_443_17.pcap -rw-r----- 1 root wheel 9.0K Jul 27 14:26 162.223.228.170_443_17.pcap -rw-r----- 1 root wheel 2.1K Jul 26 17:06 17.133.234.32_16385_17.pcap -rw-r----- 1 root wheel 11K Jul 24 16:20 172.217.0.226_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 14:21 172.217.9.234_443_17.pcap -rw-r----- 1 root wheel 31K Jul 27 14:25 172.217.9.238_443_17.pcap -rw-r----- 1 root wheel 17K Jul 24 19:21 52.114.132.87_3478_17.pcap
Vous pouvez télécharger le fichier .pcap en utilisant SFTP ou SCP et l’afficher avec Wireshark ou votre outil d’analyse réseau préféré.
La Figure 2 illustre un exemple de fichier .pcap généré pour le trafic applicatif inconnu.
Figure 2: Fichier de capture des paquets d’échantillon
Note:Dans les situations où la perte de paquets se produit, l’équipement peut ne pas être en mesure de capturer tous les détails pertinents du flux. Dans ce cas, le fichier .pcap ne reflète que ce que l’équipement a pu inglé et traiter.
L’équipement de sécurité enregistre les détails de capture des paquets pour l’ensemble du trafic qui correspond aux trois critères de correspondance (adresse IP de destination, port de destination et protocole) dans le même fichier, indépendamment de la configuration globale ou au niveau de la stratégie. Le système conserve le cache avec l’adresse IP de destination, le port de destination et le protocole, et n’accepte pas la capture répétée du même trafic qui dépasse la limite définie. Vous pouvez définir les options de fichier de capture de paquets comme dans la capture de paquets.
Vérification
- Affichage des détails de la capture de paquets
- Capture de paquets d’applications inconnues par session
Affichage des détails de la capture de paquets
But
Affichez les détails de la capture des paquets pour vérifier que votre configuration fonctionne bien.
Action
Utilisez la show services application-identification packet-capture counters commande.
user@host> show services application-identification packet-capture counters pic: 0/0 Counter type Value Total sessions captured 47 Total packets captured 282 Active sessions being captured 1 Sessions ignored because of memory allocation failures 0 Packets ignored because of memory allocation failures 0 Ipc messages ignored because of storage limit 0 Sessions ignored because of buffer-packets limit 0 Packets ignored because of buffer-packets limit 0 Inconclusive sessions captured 4 Inconclusive sessions ignored 0 Cache entries timed out 0
Sens
À partir de cet exemple de sortie, vous pouvez obtenir des informations telles que le nombre de sessions capturées et le nombre de sessions déjà capturées. Pour plus d’informations sur les compteurs de capture de paquets, consultez les services afficher les services d’identification des applications, les compteurs de capture de paquets.
Capture de paquets d’applications inconnues par session
À partir Junos OS version 21.1, votre équipement de sécurité enregistre la capture de paquets des détails des applications inconnues par session. Suite à cette modification, le fichier de capture des paquets (.pcap) inclut désormais l’ID de session dans le nom du fichier. C’est-à-dire destination-IP-address_destination-port_protocol_session-id. emplacement pcap in/var/log/pcap.
En stockant la capture des paquets par session, la taille du fichier .pcap est réduite car elle n’enregistre que les détails par session.
En outre, nous avons amélioré la capture de paquets de fonctionnalités d’applications inconnues pour enregistrer les détails SNI inconnus