このページの
アプリケーション識別
アプリケーション識別では、ネットワーク上のアプリケーションを確認し、アプリケーションの動作、行動特性、相対リスクを確認できます。App ID は、いくつかの異なる識別メカニズムを使用して、使用されるポート、プロトコル、その他の回避戦術に関係なく、ネットワーク上のアプリケーションを検知します。詳細については、以下のトピックを参照してください。
アプリケーション識別技術について
これまで、ファイアウォールではポリシーを適用する方法として IP アドレスとポート番号を使用しています。この戦略は、ユーザーが固定された場所からネットワークに接続し、特定のポート番号を使用して特定のリソースにアクセスするという前提に基づいています。
今日、無線ネットワークとモバイル デバイスには、今とは異なる戦略が必要です。デバイスのネットワーク接続方法は急速に変化します。1 人のユーザーが複数のデバイスを同時にネットワークに接続できます。静的に割り当てられた IP アドレスとポート番号のグループによってユーザー、アプリケーション、またはデバイスを識別する方法は、もはや現実的ではありません。
このトピックは、次のセクションで構成されています。
Junos OSの次世代アプリケーション識別
次世代のアプリケーション識別は、従来のアプリケーション識別機能をベースに構築され、Skype、BitTorrent、Tor などの回避アプリケーションに対してより効果的な検出機能を提供します。
Junos OS識別では、ポート番号以外の特性を使用して、Web ベースや他のアプリケーションやプロトコルを異なるネットワーク レイヤーで認識します。アプリケーションは、アプリケーション シグネチャと解析情報を含むプロトコル バンドルを使用して識別されます。この識別は、プロトコル解析とデコードとセッション管理に基づいて作成されます。
検出メカニズムには、アプリケーションを識別するための独自のデータ フィードと構成要素があります。
アプリケーション識別では、以下の機能がサポートされています。
ビデオストリーミング、ピアツーピア通信、ソーシャルネットワーキング、メッセージングなどのプロトコルおよびアプリケーションをサポート
アプリケーション内のサービスの識別
アプリケーション内で起動されたアクション(ログイン、ブラウズ、チャット、ファイル転送など)を識別する機能
すべてのバージョンのプロトコルとアプリケーションデコードとデコード機能の動的な更新をサポート
暗号化および圧縮されたトラフィックと最も複雑なトンネリング プロトコルをサポート
レイヤー 3 からレイヤー 7 以上のすべてのプロトコルを識別する機能
アプリケーション識別のメリット
動画ストリーミング、ピアツーピア通信、ソーシャル ネットワーキング、メッセージングなどのアプリケーションをきめ細かく制御します。また、アプリケーション内のサービス、ポートの使用状況、基礎となる技術、行動上の特性も特定します。この可視性により、見え方の高いアプリケーションを、ファイアウォールでインラインSRX シリーズできます。
回避テクニックで識別を回避することで知られるアプリケーションも含め、ポートやプロトコルに関わらず、アプリケーションを識別し、許可、ブロック、制限します。この識別により、組織はネットワークへの入退出を許可するトラフィックのタイプを制御できます。
アプリケーションシグネチャマッピング
アプリケーション シグネチャ マッピングは、ネットワーク上でトラフィックを発行するアプリケーションを特定する正確な方法です。シグネチャー マッピングはレイヤー 7 で動作し、ペイロードの実際の内容を検査します。
アプリケーションは、ダウンロード可能なプロトコル バンドルを使用して識別されます。最初のいくつかのパケットのアプリケーション シグネチャと解析情報を、データベースのコンテンツと比較しました。ペイロードにデータベースのエントリーと同じ情報が含まれている場合、トラフィックのアプリケーションは、そのデータベース エントリーにマッピングされたアプリケーションとして識別されます。
ジュニパーネットワークス には、FTP や DNS などの包括的な既知アプリケーションのエントリーや、Facebook、Kazaa、多数のインスタント メッセージング プログラムなど、HTTP プロトコルを使用して動作するアプリケーションのセットのエントリーが含まれる事前定義されたアプリケーション識別データベースが用意されています。署名サブスクリプションにより、データベースをデバイスからダウンロードしジュニパーネットワークス定義済みの新しい署名が追加された場合に定期的にコンテンツを更新できます。
アプリケーション識別一致シーケンス
図 1 は 、マッピング技術が適用される順序とアプリケーションの決定方法を示しています。
アプリケーション識別では、フロー内のすべてのパケットが、アプリケーションが識別されるまで処理のためにアプリケーション識別エンジンを通過します。アプリケーションバインディングは、アプリケーションシステムキャッシュ(ASC)に保存され、将来の識別プロセスを迅速化します。
アプリケーション シグネチャは、1 つのセッションの最初の数パケットにおけるプロトコルのマルチキャスト分析に基づいてアプリケーションを識別します。アプリケーション識別エンジンはまだアプリケーションを識別していない場合、パケットを渡し、より多くのデータを待機します。
アプリケーション識別モジュールは、クライアントとサーバー間のセッションの両方のアプリケーションを一致します。
アプリケーションを決定すると、AppSecure モジュールは、トラフィックのアプリケーション ID に基づいて、トラフィックの追跡、prioritization、アクセス コントロール、検知、防御のためにトラフィックを監視および制御するように設定できます。
アプリケーション追跡(AppTrack) — デバイスを通過するアプリケーションを追跡してレポートします。
侵入検出および防止(IDP): 非標準ポートで実行されているアプリケーションに適切な攻撃オブジェクトを適用します。アプリケーション識別により、デコードIDPアプリケーションに対する攻撃シグネチャの範囲を狭め、アプリケーションのパフォーマンスを向上させます。
アプリケーションファイアウォール(AppFW) : アプリケーションベースのルールを使用してアプリケーションファイアウォールを実装します。
Application Quality of Service(AppQoS) : アプリケーション認識に基づいてサービス品質の基準を設定します。
高度なポリシーベースのルーティング(APBR):アプリケーションに基づいてセッションを分類し、設定済みのルールを適用してトラフィックを再ルーティングします。
Application Quality of Experience(AppQoE) : アプリケーションのパフォーマンスを監視し、そのスコアに基づいて、そのアプリケーション トラフィックに最適なリンクを選択します。
詳細については、
アプリケーション識別データベースJunos OSについて
事前定義された署名データベースは、 セキュリティエンジニアリングのWebサイトジュニパーネットワークスで使用できます。このデータベースには、アプリケーションシグネチャーのライブラリが含まれています。詳細 については、「 アプリケーション シグネチャ 」を参照してください。これらの署名ページでは、アプリケーションのカテゴリ、グループ、リスクレベル、ポートなどについて可視化できます。
事前定義された署名パッケージは、既知のアプリケーション シグネチャの識別基準を示し、定期的に更新されます。
新しいアプリケーションが追加されるたびに、プロトコル バンドルが更新され、関連するすべてのプラットフォームで生成されます。パッケージ化されているのが、他のアプリケーション署名ファイルです。このパッケージは、セキュリティのダウンロード Web サイトからダウンロードできます。
サブスクリプション サービスでは、最新の署名を定期的にダウンロードして最新の内容を確認できます。独自に使用するエントリを作成する必要はありません。
アプリケーション識別はデフォルトで有効で、AppFW、AppQoS、または AppTrack を 侵入検出および防止(IDP)設定すると自動的に有効になります。
事前定義されたアプリケーションJunos OSパッケージの更新は、個別にライセンスされたサブスクリプション サービスによって承認されます。アプリケーション識別アプリケーション署名更新ライセンス キーをデバイスにインストールして、デバイスから提供された署名データベースの更新をダウンロードしてインストールするジュニパーネットワークス。ライセンス キーの期限が切れると、ローカルに保存されたアプリケーション署名パッケージの内容を引き続き使用できますが、パッケージを更新することはできません。
詳細については、
アプリケーション識別の無効化Junos OS有効化
アプリケーション識別はデフォルトで有効になっています。デバイスでアプリケーション識別を無効にCLI。
アプリケーション識別を無効にするには、次の方法に注意してください。
user@host# set services application-identification no-application-identification
アプリケーション識別を再び有効にする場合は、アプリケーション識別の無効化を指定する設定ステートメントを削除します。
user@host# delete services application-identification no-application-identification
デバイスの設定が完了したら、設定をコミットします。
設定を検証するには、 コマンドを入力 show services application-identification
します。
詳細については、
アプリケーション システム キャッシュについて
アプリケーションシステムキャッシュ(ASC)は、アプリケーションタイプと対応する宛先IPアドレス、宛先ポート、プロトコルタイプ、サービス間のマッピングを保存します。アプリケーションが識別されると、その情報が ASC に保存され、特定のシステムで実行されているアプリケーションを識別するために一致するエントリーだけが必要なするため、識別プロセスが迅速化されます。
デフォルトでは、ASCはマッピング情報を3600秒間保存します。ただし、キャッシュ タイムアウト値は、キャッシュ タイムアウト値をCLI。
コマンドを使用して [edit services application-identification application-system-cache-timeout]
、アプリケーション システム キャッシュ エントリーのタイムアウト値を変更できます。タイムアウト値は、0~1,000,000秒に設定できます。ASCセッションは1000,000秒後に期限切れになる可能性があります。
ASCエントリーは、設定された ASCタイムアウト後に期限切れになります。タイムアウト期間中にキャッシュがヒットした場合(ASCに一致するエントリーが見つかった場合)でも、ASCエントリーは更新されません。
新しいカスタム アプリケーションシグネチャを設定する場合や、既存のカスタムシグネチャを変更する場合は、事前定義アプリケーションおよびカスタムアプリケーションに対する既存のアプリケーション システム キャッシュ エントリーすべてが消去されます。
カスタムアプリケーション署名を削除または無効にし、設定コミットが失敗すると、アプリケーションシステムキャッシュ(ASC)エントリーは完全に消去されません。代わりに、カスタムアプリケーションのパスにあるベースアプリケーションが ASC で報告されます。
詳細については、
アプリケーション サービスのアプリケーション システム キャッシュの有効化または無効化
リリースJunos OSして18.2R1、ASCのデフォルト動作は次のように変更されます。
- リリースJunos OS前18.2R1—セキュリティサービスを含むすべてのサービスで、ASCがデフォルトで有効になっています。
-
リリースJunos OS以降18.2R1、ASCはデフォルトで有効になっています。セキュリティ サービス ルックアップの違いに注意してください。
-
セキュリティサービスの ASC ルックアップは、デフォルトでは有効になりません。つまり、セキュリティポリシー、アプリケーションファイアウォール(AppFW)、アプリケーション追跡(App サービス品質Track)、AppQoS(アプリケーションジュニパー Sky ATP、IDP、UTMなどのセキュリティサービスは、デフォルトで ASCを使用しないのです。
-
その他のサービスの ASC ルックアップはデフォルトで有効になっています。つまり、APBR(高度なポリシーベースのルーティング)を含むその他のサービスは、デフォルトでアプリケーション識別に ASC を使用します。
-
ASCのデフォルト動作が変更された場合、従来のAppFW機能に影響を与えます。Junos OSリリース18.2以降のセキュリティサービスでは、デフォルトで ASCが無効になっているので、AppFWは、ASCに存在するエントリーを使用しません。
コマンドを使用すると、リリース18.2前のリリースと同様Junos OS ASCの動作に戻 set services application-identification application-system-cache security-services
できます。
ASCでセキュリティサービスが有効になっている場合、セキュリティデバイスはアプリケーションの回避技術に影響を受けやすい可能性があります。ASCを有効にすることをお勧めします。これは、デフォルト設定のデバイスのパフォーマンス(セキュリティサービスで無効化)が、特定の使用事例に対して十分ではない場合のみです。
次のコマンドを使用して、ASCを有効または無効にします。
セキュリティサービス向け ASC を有効にする:
user@host#
set services application-identification application-system-cache security-servicesその他のサービスについては、ASCを無効にします。
user@host#
set services application-identification application-system-cache no-miscellaneous-servicesセキュリティ サービスで有効な ASC を無効にします。
user@host#
delete services application-identification application-system-cache security-servicesその他のサービスについては、無効化された ASC を有効にします。
user@host#
delete services application-identification application-system-cache no-miscellaneous-services
コマンドを使用 show services application-identification application-system-cache
して、ASCのステータスを検証できます。
次のサンプル出力は、ASCのステータスを示しています。
user@host>
show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
リリースリリース前のリリースJunos OS 18.2R1は、デフォルトでアプリケーション・キャッシングを有効にしました。コマンドを使用して手動で無効 set services application-identification no-application-system-cache
にできます。
user@host# set services application-identification no-application-system-cache
詳細については、
アプリケーション・システム・キャッシュ統計の検証
目的
アプリケーションシステムキャッシュ(ASC)統計情報を検証します。
アプリケーション システム のキャッシュには、アプリケーション識別アプリケーション用のキャッシュが表示されます。
アクション
モードCLI コマンドを入力 show services application-identification application-system-cache
します。
出力例
command-name
user@host> show services application-identification application-system-cache application-cache: on nested-application-cache: on cache-unknown-result: on cache-entry-timeout: 3600 seconds
意味
この出力は、ASC統計情報のサマリを示しています。次の情報を検証します。
IP アドレス — 宛先アドレスを表示します。
ポート — サーバーに宛先ポートを表示します。
プロトコル — 宛先ポートにプロトコル タイプを表示します。
アプリケーション — 宛先ポートで識別されたアプリケーションの名前を表示します。
SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500デバイスでは、多数の ASCエントリー(10,000 show services application-identification application-system-cache
以上)がある場合、コマンドの出力にエントリーが表示される必要がある場合、CLIセッション タイムアウトが発生します。
詳細については、
Onboxアプリケーション識別統計
アプリケーション識別サービスは、セッションごとに統計情報を提供します。これらの統計データは、顧客にアプリケーション使用プロファイルを提供します。Onboxアプリケーション識別統計機能により、アプリケーションレベルの統計をアプリケーション・AppSecureします。アプリケーション統計では、管理者は累積統計に加え、ユーザーが定義した間隔で蓄積された統計にもアクセスできます。
この機能を使用して、管理者はバイト数とセッション数の統計情報を維持しながら、統計情報を消去し、間隔の値を設定できます。統計数はセッション終了イベントの時点で発生ため、バイト数とセッション数はセッションが終了するまで更新されません。ジュニパーネットワークス デバイスは、管理者がアプリケーション セッションとバイト数の表示に使用できる 8 つの間隔の履歴をサポートします。最初のJunos OS 18.3R1 デバイスは、1 つの間隔の履歴をサポートして、アプリケーション セッションとバイト数を表示します。
アプリケーション の設定でアプリケーション グループがサポートされているJunos OSオンボックス アプリケーション識別統計機能は、グループごとにオンボックスで一致する統計情報をサポートします。統計は、事前定義されたグループに対してのみ管理されます。
アプリケーション署名パッケージを再インストールする場合、アプリケーションの統計データは消去されません。アプリケーションが無効になっている場合、そのアプリケーションのトラフィックは存在しませんが、アプリケーションは引き続き統計情報に保持されます。アプリケーションはアプリケーション タイプに応じて追跡されます。事前定義されたアプリケーションを再インストールする場合でも問題ありません。事前定義されたグループ統計の場合、セキュリティ パッケージを再インストールする場合、統計情報は消去されません。ただし、グループ メンバーシップに対する変更は更新されます。たとえば、現在のリリースでは junos:web に 50 のアプリケーション、アップグレード後には 60 のアプリケーションを使用できます。削除されるアプリケーションと、名前が変更されたアプリケーション グループは、追加されたアプリケーションと同じ方法で処理されます。
アプリケーション識別モジュールでは、各サービス処理ユニット(SPU)上の各アプリケーションに対して 64 ビットのセッション カウンターが管理されています。セッションが特定のアプリケーションとして識別されると、カウンターは増加します。もう 1 つの 64 ビット カウンター のセットは、SPU 上のアプリケーションごとの合計バイト数を集約します。未指定アプリケーションのカウンターも管理されます。セッションとバイトの両方の複数のSSPからの統計情報は、ルーティング エンジンに集約され、ユーザーに提示されます。
各SSPには、時間単位で統計をロール オーバーする間隔のタイマー interval があります。統計情報収集の間隔を設定するには、 コマンドを使用 set services application-identification statistics interval time
します。ルーティング エンジン間隔でクエリーが実行されるたびに、対応する統計情報を各SPUから取得し、ルーティング エンジンに集約してユーザーに提示します。
累積データ clear services application-identification statistics
、インターバル、アプリケーション、アプリケーション グループなど、すべてのアプリケーション統計を消去するには、 を使用します。
コマンドを使用 clear services application-identification counter
して、カウンターを手動でリセットします。デバイスのアップグレードまたは再起動、フローによる再起動、または間隔タイマーの変更が発生した場合、カウンタは自動的にリセットされます。
アプリケーション システム set services application-identification application-system-cache-timeout value
キャッシュ エントリーのタイムアウト値を数秒で指定するには、 を使用します。
Junos OS リリース 15.1X49-D120 から、すべての SRX シリーズ デバイスで、アプリケーション識別統計収集時間のデフォルトの間隔が 1 分から 1440 分に変更されます。
IMAP キャッシュ サイズの設定
IMAP(Internet Message Access Protocol)は、電子メール クライアントが電子メールの保存および検索サービスに使用するインターネット標準プロトコルです。IMAP キャッシュは、プロトコル解析とコンテキスト生成に使用されます。E メールの解析関連情報を保存します。
Junos OS リリース 15.1X49-D120 から、IMAP キャッシュ内のエントリーの最大数を制限設定し、キャッシュ内のエントリーにタイムアウト値を指定できます。
以下のコマンドを使用して、IMAP キャッシュの設定を変更できます。
set services application-identification imap-cache imap-cache-size size
set services application-identification imap-cache imap-cache-timeout time in seconds
例:
[edit]
user@host# set services application-identification imap-cache imap-cache-size 50000
この例では、IMAP キャッシュ サイズが 50,000 件のエントリーを保存するように設定されています。
[edit]
user@host# set services application-identification imap-cache-timeout 600
この例では、タイム アウト期間を 600 秒に設定すると、キャッシュ エントリが IMAP キャッシュに残ります。
詳細については、
アプリケーション識別サービスにおけるジャンボJunos OSサポートについて
アプリケーション識別は、9192 バイトのより大きなジャンボ フレーム サイズをサポートしています。ジャンボ フレームはデフォルトで有効になっていますが、 [] コマンドを使用最大送信単位(MTU)のサイズをset interfaces
調整できます。ジャンボ フレームの処理時に CPU のオーバーヘッドを削減できます。
詳細については、
アプリケーション識別インスペクションの制限
リリースJunos OSリリース15.1X49-D200、19.4R1、アプリケーション識別インスペクションの制限を柔軟に設定できます。
Inspection Limit for TCP and UDP Sessions
UDP または TCP セッション内で、アプリケーション識別(AppID)のバイト制限とパケット制限を設定できます。AppID は、設定されたインスペクション制限に基づいた分類を締結しています。AppID が上限を超えた場合、アプリケーションの分類は終了します。
AppID が設定制限内で最終分類を締結していない場合、および事前に一致したアプリケーションが使用可能である場合、AppID はアプリケーションを事前にマッチしたアプリケーションと結論付けします。そうしないと、このアプリケーションは、グローバル AppID キャッシュが有効になっている場合、junos:UNKNOWN と結論付けられるのです。デフォルトでは、グローバル AppID キャッシュが有効になっています。
バイト制限とパケット制限を設定するには、階層から次の設定ステートメントを使用
[edit]
します。-
user@host#
set services application-identification inspection-limit tcp byte-limit byte-limit-number packet-limit packet-limit-number -
user@host#
set services application-identification inspection-limit udp byte-limit byte-limit-number packet-limit packet-limit-number
表 1 は 、TCP および UDP セッションのバイト制限およびパケット制限を設定するための範囲とデフォルト値を示しています。
表 1:TCP および UDP セッションの最大バイト制限とパケット バイト制限 セッション
制限
範囲
デフォルト値
TCP
バイト制限
0~4294967295
6000
リリース Junos OSの場合15.1X49-D200値は 10000 です。
パケット制限
0~4294967295
ゼロ
UDP
バイト制限
0~4294967295
ゼロ
パケット制限
0~4294967295
10
リリース Junos OSでは15.1X49-D200値は 20 です。
バイト制限では、IP ヘッダーおよび TCP/UDP ヘッダー長は除外されます。
両方のオプションを設定
byte-limit
packet-limit
した場合、AppID は両方の制限に達するまでセッションを検査します。対応する値と値をゼロに設定することで
byte-limit
、TCP または UDP インスペクションの制限をpacket-limit
無効にできます。-
Global Offload Byte Limit (Other Sessions)
AppID のバイト制限を設定して、分類を締結し、セッションでアプリケーションを識別できます。制限を超えた場合、AppID はアプリケーション分類を終了し、以下のいずれかの決定を行います。
事前にマッチしたアプリケーションが使用可能な場合、AppID はアプリケーション分類を、次の場合は事前に対応したアプリケーションと結論付けします。
AppIDが設定されたバイト制限内の最終的な分類を締結していない場合
一部のアプリケーションのトンネリング動作により、セッションがオフロードされない場合
事前に一致したアプリケーションを使用できない場合、AppID は、グローバル AppID キャッシュが有効になっている場合、そのアプリケーションは junos:UNKNOWN と結論付けられる。デフォルトでは、グローバル AppID キャッシュが有効になっています。アプリケーション サービスのアプリケーション システム キャッシュの有効化または無効化 を参照してください。
バイト制限を設定するには、階層から次の設定ステートメントを使用
[edit]
します。set services application-identification global-offload-byte-limit byte-limit-number
オプションのデフォルト値
global-offload-byte-limit
は 10000 です。値をゼロに設定すると、グローバル オフロード バイト制限を
global-offload-byte-limit
無効にできます。バイト制限では、IP ヘッダーおよび TCP/UDP ヘッダー長は除外されます。
パフォーマンス モード オプションを有効にする
Junos OS リリース 15.1X49-D200 および 19.4R1 より、DPI set services application-identification enable-performance-mode max-packet-threshold value
パフォーマンス モード オプションの最大パケットしきい値は、すぐに削除されるのではなく、考慮されません。下位互換性を備え、設定を新しい構成に準拠させる機会が得されます。このオプションは、DPI パフォーマンス モードの最大パケットしきい値を設定するために使用しました。
max-packet-threshold
設定に Junos OS 15.1X49-D200 および 19.4R1 リリースで有効なパフォーマンス モード オプションが含まれる場合、AppID は、アプリケーション分類が、TCP/UDP インスペクション制限またはグローバル オフロード バイト制限で設定された最小値に達するか、DPI パフォーマンス モード オプションの最大パケットしきい値に達すると結論付けされます。
コンテンツ配信ネットワーク(CDN)でホストされるアプリケーションのアプリケーション識別サポート
Junos OSリリース20.1R1および19.1R3から、AppID(アプリケーション識別)を有効にして、AWS、Akamai、Azure、Fastly、Cloudflareなどのコンテンツ配信ネットワーク(CDN)でホストされているWebアプリケーションを正確に分類できます。次の設定ステートメントを使用して、CDNアプリケーションの分類を有効にできます。
[edit]
user@host#
user@hots# set service application-identification enable-cdn-application-detection
設定を適用すると、AppIDはCDNでホストされている実際のアプリケーションを特定して分類します。
DPI の最大メモリ制限
リリース Junos OS 20.1R1 および 19.1R3 から、次の設定ステートメントを使用して、ディープ パケット インスペクション(DPI)の最大メモリ制限を設定できます。
user@host#
set services application-identification max-memory memory-value
1~200000 MB をメモリ値として設定できます。
JDPI メモリの消費量が設定された値の 90% に達すると、DPI は新しいセッションの処理を停止します。
アプリケーション トラフィックのスループットの向上
パフォーマンス モードで ディープ パケット インスペクション(DPI)を、デフォルトのパケット インスペクション制限を 2 つのパケットとして設定することで、アプリケーション トラフィックのスループットを向上させることができます(クライアントからサーバー間、サーバー間の方向も含む)。デフォルトでは、セキュリティ デバイスではパフォーマンス モードが無効になっています。
アプリケーション トラフィックのスループットを向上するには、以下の方法が必要です。
コマンドを使用 show services application-identification status
して、アプリケーション識別ステータスの詳細情報を表示します。
show services application-identification status(DPI Performance Mode Enabled)
user@host> show services application-identification status pic: 2/1 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.2-24.006 (build date Jul 30 2014) Max TCP session packet memory 30000 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 262144 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Slot 1: Application package version 2399 Status Active Version 1.40.0-26.006 (build date May 1 2014) Sessions 0 Slot 2 Application package version 0 Status Free Version Sessions 0
[DPI パフォーマンス モード] フィールドには、DPI パフォーマンス モードが有効かどうかを示します。このフィールドは、パフォーマンス モードが有効CLI場合にのみ、デフォルト のコマンド出力に表示されます。
DPI をデフォルトの精度モードに設定し、パフォーマンス モードを無効にする場合は、パフォーマンス モードの有効化を指定した設定ステートメントを削除します。
パフォーマンス モードを無効にするには、以下の方法で行います。
パフォーマンス モードを削除します。
[edit]
user@host# delete services application-identification enable-performance-mode設定をコミットします。
[edit]
user@host# commit
詳細については、
未知のアプリケーション トラフィックのパケット キャプチャの概要
未知のアプリケーション機能のパケット キャプチャを使用して、セキュリティ デバイスで未知のアプリケーションの詳細を収集できます。不明なアプリケーション トラフィックとは、アプリケーションのシグネチャと一致しないトラフィックです。
セキュリティ デバイスでパケット キャプチャ オプションを設定すると、未知のアプリケーション トラフィックが収集され、パケット キャプチャ ファイル(.pcap)にデバイスに保存されます。未知のアプリケーションのパケット キャプチャを使用して、新しいカスタム アプリケーションシグネチャーを定義できます。セキュリティ ポリシーでこのカスタム アプリケーション シグネチャを使用すると、アプリケーション トラフィックを効率的に管理できます。
トラフィックが適切に分類されない場合は、. pcap ファイルを ジュニパーネットワークス して分析のために送信するか、アプリケーション署名の作成を要求できます。
未知のアプリケーション トラフィックのパケット キャプチャのメリット
未知のアプリケーション トラフィックのパケット キャプチャを使用して、以下を実行できます。
未知のアプリケーションに関するより多くの洞察を収集する
未知のアプリケーション トラフィックを分析して潜在的な脅威を検出する
セキュリティ ポリシー ルールの作成を支援
カスタム アプリケーション シグネチャの作成を有効にする
未知のすべてのアプリケーション トラフィックをブロックするセキュリティ ポリシーを実装すると、ネットワークベースのアプリケーションに問題が発生する可能性があります。このようなタイプのポリシーを適用する前に、このアプローチによって環境に問題が発生されていないことを確認してください。未知のアプリケーション トラフィックを慎重に分析し、セキュリティ ポリシーを適切に定義する必要があります。
未知のアプリケーション トラフィックに対するパケット キャプチャの設定
開始する前に
未知のアプリケーション トラフィックのパケット キャプチャを自動的に有効にするには、以下の必要があります。
お使いのデバイスに有効なアプリケーション識別機能ライセンスSRX シリーズします。「 すべてのライセンスのJunos OSする 」を参照してください。
アプリケーション署名パッケージをダウンロードJunos OSインストールします。アプリケーション署名 パッケージのダウンロードJunos OSインストール を参照してください。
セキュリティ デバイスに Junos OS リリース 20.2R1がインストールされている必要があります。
概要
この例では、以下の手順を実行して、セキュリティ デバイスで未知のアプリケーションの自動パケット キャプチャを設定する方法について説明します。
グローバル レベルまたはセキュリティ ポリシー レベルでパケット キャプチャ オプションを設定します。
パケット キャプチャ モードの構成
(オプション)パケット キャプチャ ファイル オプションの設定
生成されたパケット キャプチャ ファイル( ) にアクセスします。pcap ファイル)
構成
パケット キャプチャの構成オプションについては、開始する前 にパケット キャプチャを 参照してください。
- 未知のアプリケーションのパケット キャプチャ
- セキュリティ ポリシー レベルでの未知のアプリケーションのパケット キャプチャ
- パケット キャプチャ モードの選択
- パケット キャプチャ オプションを定義します(オプション)
- パケット キャプチャ ファイルへのアクセス(.pcaps)
未知のアプリケーションのパケット キャプチャ
手順
グローバル レベルでパケット キャプチャを有効にするには、次のコマンドを使用します。
user@host#
set services application-identification packet-capture global
グローバル レベルでパケット キャプチャを有効にした場合、セキュリティ デバイスで、未知のアプリケーション トラフィックを含むすべてのセッションのパケット キャプチャが生成されます。
セキュリティ ポリシー レベルでの未知のアプリケーションのパケット キャプチャ
手順
セキュリティ ポリシー レベルでパケット キャプチャを設定するには、次の手順に従います。この例では、セキュリティ ポリシー P1 で未知のアプリケーション トラフィックのパケット キャプチャを有効にできます。
[edit]
user@host#
set security policies from-zone untrust to-zone trust policy P1 match source-address anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match destination-address anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match application anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:UNKNOWNuser@host#
set security policies from-zone untrust to-zone trust policy P1 then permit application-services packet-captureセキュリティ ポリシー レベルで未知のアプリケーション トラフィックのパケット キャプチャを有効にするには、動的
junos:UNKNOWN
アプリケーションの一致条件として含める必要があります。セキュリティ ポリシー(P1)を設定すると、システムはセキュリティ ポリシーの一致条件に一致するアプリケーション トラフィックのパケット詳細をキャプチャします。
パケット キャプチャ モードの選択
未知のアプリケーション トラフィックのパケットは、以下のいずれかのモードでキャプチャできます。
ASCモード:アプリケーションが junos:UNKNOWNに分類され、アプリケーションシステムキャッシュ(ASC)に一致するエントリーがある場合、未知のアプリケーションのパケットをキャプチャします。このモードはデフォルトで有効になっています。
アグレッシブ モード — AppID が分類を完了する前に、すべてのトラフィックをキャプチャします。このモードでは、使用可能な ASC エントリーに関係なく、すべてのアプリケーション トラフィックがシステムによってキャプチャされます。パケット キャプチャは、最初のセッションの最初のパケットから始まります。アグレッシブ モードはリソース集約が著しく高く、注意して使用する必要があります。
アグレッシブ モードを有効にするには、次のコマンドを使用します。
[edit]
user@host#
set services application-identification packet-capture aggressive-modeフローを初めてキャプチャする必要がない限り、アグレッシブ モードを使用することをお勧めしません。上述したように、デバイスのデフォルト動作は ASC に依存します。
パケット キャプチャ オプションを定義します(オプション)
手順
必要に応じて、以下のパケット キャプチャ パラメータを設定できます。そうしないと、パケット キャプチャに記載された デフォルト オプション が、この機能に使用されます。この例では、最大パケット制限、最大バイト制限、パケット キャプチャ(.pcap)ファイル数などのパケット キャプチャ オプションを定義します。
セッション当たりの UDP パケットの最大数を設定します。
[edit]
user@host#
set services application-identification packet-capture max-packets 10セッション当たりの TCP バイトの最大数を設定します。
[edit]
user@host#
set services application-identification packet-capture max-bytes 2048最も古いファイルが上書きおよび回転される前に作成するパケット キャプチャ(.pcap)ファイルの最大数を設定します。
[edit]
user@host#
set services application-identification packet-capture max-files 30
結果
設定モードから、 コマンドおよび階層レベルを入力して show services application-identification packet-capture
設定を show security policies
確認します。出力結果に意図した設定が表示されない場合は、この例の設定手順に従って設定を修正します。
次の設定は、オプションの設定を使用して、グローバル レベルでの未知のアプリケーション パケット キャプチャの例を示しています。
[edit services application-identification]
user@host# show packet-capture
{ global; max-packets 10; max-bytes 2048; max-files 30; }
次の設定は、オプションの設定を含むセキュリティ ポリシー レベルでの未知のアプリケーション パケット キャプチャの例を示しています。
[edit services application-identification]
user@host# show packet-capture
{ max-packets 10; max-bytes 2048; max-files 30; }
[edit security policies]
user@host# show
from-zone untrust to-zone trust { policy P1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:UNKNOWN ]; } then { permit { application-services { packet-capture; } } } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
パケット キャプチャ ファイルへのアクセス(.pcaps)
設定を完了してコミットすると、パケット キャプチャ(.pcap)ファイルを表示できます。宛先 IP アドレス、宛先ポート、プロトコルごとに固有のパケット キャプチャ ファイルが生成されます。
手順
パケット キャプチャ ファイルを表示するには、次の方法に示します。
.pcap ファイルがデバイスに保存されているディレクトリに移動します。
user@host> start shell % % cd /var/log/pcap
pcap ファイルを探します。
pcap ファイルは形式で保存destination-IP-address. destination-port.protocol. pcap されます。例: 142.250.31.156_443_17.pcap
user@host:/var/log/pcap # ls -lah total 1544 drwxr-xr-x 2 root wheel 3.0K Jul 27 15:04 . drwxrwxr-x 9 root wheel 3.0K Jul 24 16:23 .. -rw-r----- 1 root wheel 5.0K Jul 24 20:16 142.250.31.156_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 15:03 142.250.64.97_443_17.pcap -rw-r----- 1 root wheel 9.0K Jul 27 14:26 162.223.228.170_443_17.pcap -rw-r----- 1 root wheel 2.1K Jul 26 17:06 17.133.234.32_16385_17.pcap -rw-r----- 1 root wheel 11K Jul 24 16:20 172.217.0.226_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 14:21 172.217.9.234_443_17.pcap -rw-r----- 1 root wheel 31K Jul 27 14:25 172.217.9.238_443_17.pcap -rw-r----- 1 root wheel 17K Jul 24 19:21 52.114.132.87_3478_17.pcap
SFTP または SCP を使用して .pcap ファイルをダウンロードし、Wireshark またはお好みのネットワーク アナライザで表示できます。
図 2 は、 不明なアプリケーション トラフィック 用に生成された .pcap ファイルのサンプルを示しています。
図 2:パケット キャプチャ ファイルの例メモ:パケット ロスが発生している状況では、デバイスがフローの関連する詳細をキャプチャできない場合があります。この場合、 .pcap ファイルにはデバイスが取り込んで処理できたものだけが反映されます。
セキュリティ デバイスは、グローバルまたはポリシー レベルの設定に関係なく、同じファイルの 3 つの一致条件(宛先 IP アドレス、宛先ポート、プロトコル)に一致するすべてのトラフィックのパケット キャプチャの詳細を保存します。宛先 IP アドレス、宛先ポート、プロトコルを使用するキャッシュはシステムに保持され、同じトラフィックの繰り返しキャプチャは受け入れではなく、このトラフィックは定義された上限を超えています。パケット キャプチャ ファイルオプションは、パケット キャプチャとして 設定できます。
検証
パケット キャプチャの詳細の表示
目的
パケット キャプチャの詳細を参照して、設定が機能しているのを確認します。
アクション
コマンドを使用 show services application-identification packet-capture counters
します。
user@host> show services application-identification packet-capture counters pic: 0/0 Counter type Value Total sessions captured 47 Total packets captured 282 Active sessions being captured 1 Sessions ignored because of memory allocation failures 0 Packets ignored because of memory allocation failures 0 Ipc messages ignored because of storage limit 0 Sessions ignored because of buffer-packets limit 0 Packets ignored because of buffer-packets limit 0 Inconclusive sessions captured 4 Inconclusive sessions ignored 0 Cache entries timed out 0
意味
このサンプル出力から、キャプチャするセッション数やすでにキャプチャしたセッション数などの詳細を取得できます。パケット キャプチャ カウンターの詳細については、「 サービス アプリケーション識別パケット キャプチャ カウンター 」を参照してください。
セッション当たりの未知のアプリケーション詳細のパケット キャプチャ
リリース 21.1 Junos OS、セキュリティ デバイスには、セッションごとに未知のアプリケーションの詳細がパケット キャプチャとして保存されます。この変更の結果、パケット キャプチャ(.pcap)ファイルにセッション ID がファイル名に含まれるることができるようになりました。つまり destination-IP-address_destination-port_protocol_session-ID です。/var/log/pcap の場所に pcap を指定します。
セッションごとにパケット キャプチャを保存することで、.pcap ファイル サイズが小さくなります。セッション単位でのみ詳細が保存されます。
さらに、未知のアプリケーション機能のパケットキャプチャを強化して、未知のSNIの詳細を取得しました