애플리케이션 식별을 위한 맞춤형 애플리케이션 서명
또한 사용자 정의 사용자 지정 애플리케이션 시그니처를 사용하여 사용 중인 프로토콜 및 포트에 관계없이 애플리케이션을 식별할 수 있습니다. 호스트 이름, IP 주소 범위 및 포트를 사용하여 사용자 지정 시그니처를 생성하여 특정 목적지에 대한 트래픽을 추적할 수 있습니다. 자세한 내용은 다음 주제를 참조하십시오.
애플리케이션 식별 사용자 지정 애플리케이션 서명 Junos OS 이해
이 주제에는 다음 섹션이 포함됩니다.
- 사용자 지정 애플리케이션 서명 개요
- 사용자 지정 애플리케이션 서명의 개선 사항
- 지원되는 유형의 사용자 지정 애플리케이션 서명
- 사용자 지정 애플리케이션 서명 사용의 이점
- 제한
- 사용자 지정 애플리케이션 서명에 대한 추가 구성 옵션
사용자 지정 애플리케이션 서명 개요
Junos OS 애플리케이션 식별 기능은 웹 기반 애플리케이션이든 클라이언트 서버 애플리케이션이든 애플리케이션을 식별할 수 있도록 사용자 지정 서명을 생성할 수 있는 유연성을 제공합니다. ICMP, IP 프로토콜, IP 주소 및 레이어 7을 기반으로 애플리케이션에 대한 사용자 지정 애플리케이션 시그니처를 생성할 수 있습니다.
일반적으로 사용자 지정 애플리케이션 시그니처는 사용자 환경에 따라 고유하며 주로 내부 또는 사용자 지정 애플리케이션을 검사하는 데 사용됩니다. 사용자 지정 애플리케이션 서명을 생성한 후 AppID는 표준 애플리케이션과 동일한 방식으로 분류 및 검사합니다. 사용자 지정 애플리케이션 서명은 사전 정의된 애플리케이션 패키지의 일부가 아니기 때문에 사전 정의된 애플리케이션 서명 데이터베이스가 아닌 구성 계층에 저장됩니다.
사용자 지정 서명을 구성하려면 디바이스에 애플리케이션 서명 패키지를 설치해야 합니다. 사용자 지정 시그니처가 구성되면 애플리케이션 서명 패키지를 제거하실 수 없습니다. 시스템을 새 소프트웨어 버전으로 업그레이드하면 모든 사용자 지정 애플리케이션 서명이 그대로 전달됩니다.
사용자 지정 애플리케이션 서명의 개선 사항
릴리스 20.1R1 Junos OS 새로운 일련의 애플리케이션과 컨텍스트를 제공하여 맞춤형 애플리케이션 서명 기능을 개선했습니다.
이제 사용자 지정 애플리케이션 서명 컨텍스트가 애플리케이션 서명 패키지의 일부가 되었습니다. 새롭게 소개된 애플리케이션과 컨텍스트를 커스텀 애플리케이션 서명에 사용하려면, 최신 애플리케이션 서명 패키지 버전 3248을 다운로드하여 설치해야 합니다. Junos OS 업그레이드하지 않고 애플리케이션 서명 패키지를 별도로 업그레이드할 수 있습니다.
지원되는 유형의 사용자 지정 애플리케이션 서명
보안 디바이스는 다음과 같은 유형의 맞춤형 시그니처를 지원합니다.
ICMP 기반 매핑
주소 기반 매핑
IP 프로토콜 기반 매핑
레이어 7 기반 및 TCP/UDP 스트림 기반 매핑
지원되는 모든 사용자 지정 애플리케이션 시그니처에서 ICMP 기반, IP 프로토콜 기반 및 주소 기반 맞춤형 애플리케이션은 레이어 7 기반 및 TCP/UDP 스트림 기반의 사용자 지정 애플리케이션보다 우선 순위가 더 높습니다. 사용자 지정 애플리케이션 시그니처 우선 순위 순서는 ICMP 기반, IP 프로토콜 기반, 주소 기반, 레이어7 기반 또는 TCP/UDP 스트림 기반 맞춤형 애플리케이션입니다.
ICMP 기반 매핑
ICMP 매핑 기술은 표준 ICMP 메시지 유형과 옵션 코드를 고유한 애플리케이션 이름에 매핑합니다. 이 매핑 기술을 사용하면 다양한 유형의 ICMP 메시지를 구별할 수 있습니다. ICMP 매핑 기술은 ICMPv6 트래픽을 지원하지 않습니다.
IDP는 TCP 또는 UDP 트래픽에서만 작동합니다. 따라서 ICMP 매핑은 IDP에 적용되지 않으며 사용자 지정 공격과 같은 IDP 기능을 지원할 수 없습니다.
주소 기반 매핑
레이어 3 및 레이어 4 주소 매핑은 IP 주소 및 트래픽의 선택적 포트 범위에 따라 애플리케이션을 정의합니다.
레이어 3 및 레이어 4 주소 기반 사용자 지정 애플리케이션을 구성하려면 IP 주소 및 포트 범위를 대상 IP 주소 및 포트와 일치해야 합니다. IP 주소와 포트가 모두 구성된 경우, 두 기준 모두 대상 IP 주소와 패킷의 포트 범위와 일치해야 합니다.
알려진 포트 5060에서 세션을 시작하는 SIP(Session Initiation Protocol) 서버를 고려하십시오. 이 IP 주소 및 포트의 모든 트래픽은 SIP 애플리케이션에서만 생성되므로 SIP 애플리케이션은 서버의 IP 주소와 포트 5060에 매핑하여 애플리케이션을 식별할 수 있습니다. 이러한 방식으로 이 IP 주소와 포트가 있는 모든 트래픽은 SIP 애플리케이션 트래픽으로 식별됩니다.
주소 기반 애플리케이션과 TCP/UDP 스트림 기반 애플리케이션을 구성하고 세션이 두 애플리케이션과 일치하는 경우 TCP/UDP 스트림 기반 애플리케이션은 애플리케이션으로 보고되고 주소 기반 애플리케이션은 확장 애플리케이션으로 보고됩니다.
적절한 보안을 보장하기 위해 프라이빗 네트워크 구성 시 신뢰할 수 있는 서버로 또는 해당 서버에서 애플리케이션 트래픽을 예측할 때 주소 매핑을 사용하십시오. 주소 매핑은 알려진 애플리케이션의 트래픽 처리에 효율성과 정확성을 제공합니다.
IP 프로토콜 기반 매핑
표준 IP 프로토콜 번호는 애플리케이션을 IP 트래픽에 매핑합니다. 주소 매핑과 마찬가지로 적절한 보안을 위해 신뢰할 수 있는 서버에 대한 프라이빗 네트워크에서만 IP 프로토콜 매핑을 사용합니다.
IDP는 TCP 또는 UDP 트래픽에서만 작동합니다. 따라서 IP 프로토콜 매핑은 IDP에 적용되지 않으며 사용자 지정 공격과 같은 IDP 기능을 지원할 수 없습니다.
19.2부터 Junos OS 릴리스 19.4까지의 Junos OS 릴리스에서는 IP 프로토콜 기반의 사용자 지정 애플리케이션 서명이 예상대로 작동하지 않습니다. 릴리스 20.1R1 Junos OS IP 프로토콜 기반 맞춤형 애플리케이션 시그니처를 사용할 수 있습니다.
권장되는 해결 방법:
통합 정책을 구성하는 경우 서비스 기반 애플리케이션 구성을 사용합니다. 예제:
user@host#set applications application application-name protocol IP-proto-number예제:
user@host#set applications application A1 protocol 2레거시 애플리케이션 방화벽을 사용하는 경우 사전 정의된 IP 프로토콜 애플리케이션을 사용합니다. 예제
user@host#set security application-firewall rule-sets rule-set-name rule rule-name match dynamic-application application-name예제:
user@host#set security application-firewall rule-sets RS-1 rule R1 match dynamic-application junos:IPP-IGMP
레이어 7 기반 및 TCP/UDP 스트림 기반 시그니처
레이어 7 사용자 지정 시그니처는 TCP 또는 UDP 또는 레이어 7 애플리케이션에서 실행되는 애플리케이션을 정의합니다.
동일한 레이어 7 프로토콜에서 실행되는 여러 애플리케이션을 식별하려면 레이어 7 기반의 맞춤형 애플리케이션 서명이 필요합니다. 예를 들어, Facebook 및 Yahoo Messenger와 같은 애플리케이션은 HTTP를 통해 실행할 수 있지만 동일한 레이어 7 프로토콜에서 실행되는 두 개의 서로 다른 애플리케이션으로 식별해야 합니다.
레이어 7 기반의 사용자 지정 애플리케이션 시그니처는 HTTP 컨텍스트의 패턴에 따라 애플리케이션을 감지합니다. 그러나 일부 HTTP 세션은 SSL에서 암호화됩니다. 애플리케이션 식별은 TLS 또는 SSL 세션에서 서버 이름 정보 또는 서버 인증을 추출할 수도 있습니다. 또한 레이어 7 애플리케이션에서 TCP 또는 UDP 페이로드의 패턴을 감지할 수 있습니다.
사용자 지정 애플리케이션 서명 사용의 이점
특정 애플리케이션을 기반으로 네트워킹 환경에 고유한 보안 정책 적용
알 수 없거나 분류되지 않은 애플리케이션에 대한 가시성 제공
레이어 7, 전송 또는 임시 애플리케이션을 통한 애플리케이션 식별 및 알려진 애플리케이션의 더욱 세분화
특정 애플리케이션에 대한 QoS(Quality of Service) 수행
제한
지원되지 않는 기능은 다음과 같습니다.
일부 PCRE 기반 표현식 및 유니코드 기반 문자(Hyperscan에서 지원되지 않는 경우)
레이어 7 기반 서명의 구성원 간 순서 적용
주소 기반 서명에 대한 와일드카드 주소(레이어 3 및 레이어 4)
사용자 지정 애플리케이션 서명에 대한 추가 구성 옵션
릴리스 20.1R1 Junos OS 시작하여 애플리케이션 서명 패키지 버전 3248 이상 사용 중인 경우 사용자 지정 애플리케이션 서명에 대해 다음 옵션을 구성할 수 있습니다.
사용자 지정 애플리케이션 패턴 깊이
AppID의 바이트 제한을 지정하여 TCP 또는 UDP 또는 레이어 7 애플리케이션을 통해 실행되는 애플리케이션의 사용자 지정 애플리케이션 패턴을 식별할 수 있습니다.
제한을 구성하려면 계층에서 [edit] 다음 구성 문을 사용합니다.
user@host# set services application-identification application application-name over application signature signature-name member number depth
예제:
user@host# set services application-identification application my_custom_address over HTTP signature my_addr_sig1 member m01 depth 256
레이어 7 사용자 지정 애플리케이션의 경우 레이어 7 컨텍스트의 시작 부분부터 깊이가 고려됩니다. TCP/UDP 스트림 기반 커스텀 애플리케이션의 경우, TCP/UDP 페이로드 시작부터 깊이가 고려됩니다.
사용자 지정 애플리케이션 검사 바이트 제한
AppID에 대한 검사 바이트 제한을 설정하여 분류를 마무리하고 세션에서 사용자 지정 애플리케이션을 식별할 수 있습니다. 한도를 초과하면 AppID는 애플리케이션 분류를 종료합니다. 이 옵션을 사용하여 애플리케이션 트래픽 처리량을 개선할 수 있습니다.
애플리케이션 바이트 제한을 구성하려면 [edit] 계층에서 다음 구성 문을 사용합니다.
user@host# set services application-identification custom-application-byte-limit byte-number
예제:
user@host# set services application-identification custom-application-byte-limit 400
사전 정의된 애플리케이션을 통해 사용자 지정 애플리케이션 서명을 구성하고 AppID가 이미 사전 정의된 애플리케이션을 식별한 경우, DPI는 사용자 지정 서명 식별을 계속합니다. 사용자 지정 서명 식별이 진행 중이지만, 분류는 최종적이지 않은 것으로 표시됩니다. 사용자 지정 애플리케이션 바이트 제한 내에서 사용자 지정 애플리케이션이 식별되지 않고 사전 정의된 애플리케이션이 이미 식별된 경우 AppID는 사전 정의된 애플리케이션을 최종 애플리케이션으로 마무리하고 세션을 오프로드합니다.
사용자 지정 애플리케이션의 우선 순위
Junos OS 20.1R1 이전의 릴리스에서는 사용자 지정 애플리케이션 서명의 기본 우선 순위가 높았으며, 이를 통해 사용자 지정 시그니처가 사전 정의된 애플리케이션보다 우선하도록 할 수 있었습니다. 릴리스 20.1R1 Junos OS 시작하여 사용자 지정 애플리케이션 시그니처의 기본 우선 순위는 낮습니다.
AppID는 사전 정의된 애플리케이션을 식별하기 전에 우선 순위가 낮은 사용자 지정 애플리케이션을 식별하면 사전 정의된 애플리케이션 분류가 최종적일 때까지 기다립니다. 사전 정의된 애플리케이션 일치가 없고 사용자 지정 애플리케이션이 식별되면 AppID는 식별된 사용자 지정 애플리케이션으로 분류를 종료합니다.
사용자 지정 애플리케이션 서명으로 사전 정의된 애플리케이션 우선 순위를 재정의하려면, 사용자 지정 애플리케이션 서명에 대해 우선 순위를 '고'로 명시적으로 설정해야 합니다.
사용자 지정 애플리케이션에 대한 높은 우선 순위를 구성하려면 [edit] 계층에서 다음 구성 문을 사용합니다.
user@host# set services application-identification application application-name priority high
예제:
user@host# set services application-identification application my_custom_address priority high
사용자 지정 애플리케이션의 우선 순위에 대해 다음 사항을 참고하십시오.
20.1R1 이전 Junos OS 릴리스:
사용자 지정 애플리케이션의 기본 우선 순위는 높습니다.
여러 애플리케이션이 동일한 패킷에서 일치할 때 애플리케이션의 우선 순위가 고려됩니다.
사용자 지정 애플리케이션에 대해 높은 우선 순위를 구성할 때 사용자 지정 애플리케이션은 항상 사전 정의된 애플리케이션보다 우선 순위가 높습니다.
사용자 지정 애플리케이션에 대한 낮은 우선 순위를 구성할 때 사용자 지정 애플리케이션은 유사한 패턴 기반 사전 정의된 서명보다 우선 순위가 낮으며 다른 애플리케이션보다 우선 순위가 높습니다. 이러한 릴리스에서는 동작을 변경할 수 있는 옵션이 없습니다.
Junos OS 릴리스 20.1R1 이상:
사용자 지정 애플리케이션의 기본 우선 순위는 낮습니다.
우선 순위는 동일한 패킷의 일치에 의존하지 않습니다.
레이어 7 및 TCP/UDP 스트림 기반의 사용자 지정 애플리케이션의 우선순위는 사전 정의된 모든 애플리케이션에서 구성된(높거나 낮은) 작동합니다.
레이어 3 및 레이어 4 기반의 사용자 지정 애플리케이션은 항상 높은 우선순위를 유지합니다. 이 경우 구성된 우선 순위는 무시됩니다. 레이어 3 및 레이어 4 기반의 사용자 지정 애플리케이션은 모든 사전 정의된 애플리케이션을 재정의합니다. 세션의 첫 번째 패킷에서 이러한 애플리케이션이 트리거되기 때문입니다.
예: Junos OS 애플리케이션 식별 사용자 지정 애플리케이션 서명 구성
이 예는 Junos OS 애플리케이션 식별을 위해 사용자 지정 애플리케이션 서명을 구성하는 방법을 보여줍니다.
고급 Junos OS 사용자만이 애플리케이션 시그니처를 커스터마이즈하는 것을 권장합니다.
시작하기 전에 다음을 수행합니다.
SRX 시리즈 디바이스에 유효한 애플리케이션 식별 기능 라이선스를 설치합니다. Junos OS 라이선스 관리를 참조하십시오.
이 구성 예는 Junos OS 릴리스 20.1R1을 사용하여 테스트됩니다.
애플리케이션 서명 패키지가 설치된 보안 디바이스를 확인하십시오. Junos OS 애플리케이션 서명 패키지 수동 다운로드 및 설치를 참조하십시오.
향상된 맞춤형 애플리케이션 시그니처를 사용하려면 최신 애플리케이션 서명 패키지 버전 3284 이상에서 업그레이드하십시오. 다음 명령을 사용하여 애플리케이션 서명 버전을 확인합니다.
user@host> show services application-identification version
Application package version: 3248
고급 Junos OS 사용자만이 애플리케이션 시그니처를 커스터마이즈하는 것을 권장합니다.
개요
애플리케이션 식별은 사용자 지정 애플리케이션 서명을 지원하여 디바이스를 통과할 때 애플리케이션을 감지합니다. 사용자 지정 시그니처를 구성할 때 시그니처가 고유한지 확인합니다.
사용자 지정 애플리케이션 시그니처를 구성하려면 다음 단계를 따르십시오.
보안 디바이스가 애플리케이션 트래픽과 일치하도록 컨텍스트, 패턴, 방향, 포트 범위 등의 속성을 정의합니다.
검사 제한, 패턴 깊이 및 우선 순위(선택적 구성)를 구성하여 사용자 지정 애플리케이션 식별 프로세스를 강화합니다.
사용자 지정 애플리케이션을 애플리케이션 트래픽을 허용하거나 거부하는 보안 정책에 연결합니다.
및
show services application-identification group명령을 사용하여show services application-identification application애플리케이션 서명 및 애플리케이션 서명 그룹을 확인합니다.
사용자 지정 애플리케이션 구성 예시
절차
단계별 절차
사용자 지정 애플리케이션에 대한 검사 제한을 설정합니다.
[edit ] user@host# set services application-identification custom-application-byte-limit 400
사용자 지정 애플리케이션의 우선순위를 설정합니다.
[edit ] user@host# set services application-identification application test cacheable user@host# set services application-identification application test priority high
TCP 스트림 기반 맞춤형 서명을 구성합니다.
[edit ] user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 context stream user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 pattern .*install.* user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 direction any user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 depth 100
FTP 컨텍스트 기반 맞춤형 서명을 구성합니다.
[edit ] user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 depth 60 user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 context ftp-file-name user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 pattern .*install.* user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 direction client-to-server
HTTP 컨텍스트 기반 사용자 지정 서명을 구성합니다.
[edit ] user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 context http-header-host user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 pattern .*agent1.* user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 direction client-to-server user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 depth 100
SSL 컨텍스트 기반 맞춤형 서명을 구성합니다.
[edit] user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 context ssl-server-name user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 pattern "example\.com" user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 direction client-to-server user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 depth 100
ICMP 기반 맞춤형 애플리케이션 시그니처를 구성합니다.
[edit ] user@host# set services application-identification application my_custom_icmp icmp-mapping type 100 user@host# set services application-identification application my_custom_icmp icmp-mapping code 1
레이어 3 또는 레이어 4 주소 기반 맞춤형 애플리케이션 시그니처 구성:
[edit ] user@host# set services application-identification application my_custom_address address-mapping ADDR-SAMPLE filter ip 192.0.2.1/24 user@host# set services application-identification application my_custom_address address-mapping ADDR-SAMPLE filter port-range udp 5000-6000
참고:주소 기반 사용자 지정 애플리케이션 시그니처를 구성하려면 적절한 포트 범위와 지정된 IP 주소를 제공해야 합니다.
IP 프로토콜 매핑 기반 맞춤형 애플리케이션 시그니처를 구성합니다.
[edit] user@host# set services application-identification application my_custom_ip_proto ip-protocol-mapping protocol 2
맞춤 애플리케이션을 일치 기준으로 보안 정책을 생성합니다.
user@host# set security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match application any user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application my_custom_http user@host# set security policies from-zone untrust to-zone trust policy 1 then permit
이 예에서는 my_custom_http 사용하고 있습니다. 마찬가지로, 다른 보안 정책을 생성하고 요구 사항에 따라 동적 애플리케이션의 일치 조건으로 my_custom_ip_proto my_custom_ftp, my_custom_tcp, my_custom_ssl, my_custom_address, my_custom_icmp my_custom_ip_proto 같은 다른 사용자 지정 애플리케이션을 지정할 수 있습니다.
애플리케이션 추적을 활성화합니다.
user@host# set security zones security-zone trust application-tracking
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show services application-identification . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]user@host# show services application-identificationcustom-application-byte-limit 100; application my_custom_address { address-mapping ADDR-SAMPLE { filter { ip 192.0.2.1/24; port-range { udp 5000-6000; } } } } application my_custom_ftp { over FTP { signature sig1 { member m01 { depth 60; context ftp-file-name; pattern .*install.*; direction client-to-server; } } } } application my_custom_http { over HTTP { signature s1 { member m01 { depth 100; context http-header-host; pattern .*agent1.*; direction client-to-server; } } } } application my_custom_icmp { icmp-mapping { type 100; code 1; } } application my_custom_ip_proto { ip-protocol-mapping { protocol 2; } } application my_custom_ssl { over SSL { signature s1 { member m01 { depth 100; context ssl-server-name; pattern "example\.com"; direction client-to-server; } } } } application my_custom_tcp { over TCP { signature s1 { member m01 { depth 100; context stream; pattern .*install.*; direction any; } } } } application test { cacheable; priority high; }
[edit security policies]
user@host# show
from-zone untrust to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [my_custom_http];
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
확인
사용자 지정 애플리케이션 정의 확인
목적
디바이스에 구성된 사용자 지정 애플리케이션 서명을 표시합니다. 사전 정의된 애플리케이션 서명 이름은 접두사 "junos:"를 사용합니다.
작업
구성 모드에서 명령을 입력합니다 show services application-identification application detail name .
user@host> show services application-identification application
detail test
Application Name: test
Application type: TEST
Description: N/A
Application ID: 16777219
Priority: high