IDP 애플리케이션 식별
주니퍼 네트웍스는 비표준 포트에서 실행되는 TCP(Transmission Control Protocol) 및 UDP(User Datagram Protocol) 애플리케이션을 감지하는 사전 정의된 애플리케이션 시그니처를 제공합니다.
자세한 내용은 다음 항목을 참조하세요.
침입 탐지 및 방지(IDP) 애플리케이션 식별 이해
주니퍼 네트웍스는 비표준 포트에서 실행되는 TCP(Transmission Control Protocol) 및 UDP(User Datagram Protocol) 애플리케이션을 감지하는 사전 정의된 애플리케이션 시그니처를 제공합니다. 이러한 애플리케이션을 식별하면 침입 탐지 및 방지(IDP)가 비표준 포트에서 실행되는 애플리케이션에 적절한 공격 객체를 적용할 수 있습니다. 또한 디코더가 없는 애플리케이션에 대한 공격 시그니처 범위를 좁혀 성능을 향상시킵니다.
침입 탐지 및 방지(IDP) 센서는 네트워크를 모니터링하고 침입 탐지 및 방지(IDP) 규칙 베이스에 정의된 특정 규칙에 따라 의심스럽고 비정상적인 네트워크 트래픽을 감지합니다. 프로토콜 또는 애플리케이션을 기반으로 트래픽에 공격 객체를 적용합니다. 애플리케이션 시그니처를 통해 센서는 비표준 포트에서 실행되는 알려진 애플리케이션과 알려지지 않은 애플리케이션을 식별하고 올바른 공격 객체를 적용할 수 있습니다.
애플리케이션 서명은 주니퍼 네트웍스에서 제공하는 보안 패키지의 일부로 사용할 수 있습니다. 미리 정의된 응용 프로그램 서명은 보안 패키지 업데이트와 함께 다운로드합니다. 응용 프로그램 서명을 만들 수 없습니다. 보안 패키지 다운로드에 대한 자세한 내용은 IDP 서명 데이터베이스 수동 업데이트 개요를 참조하십시오.
모든 브랜치 SRX 시리즈 방화벽에서 ASC 테이블에서 지원되는 최대 항목 수는 100,000개입니다. 사용자 랜드 버퍼의 크기는 제한적으로 1MB로 고정되어 있으므로 테이블에는 최대 38,837개의 캐시 항목이 표시됩니다.
지원되는 최대 침입 탐지 및 방지(IDP) 세션 수는 SRX320 디바이스에서 16,384개, SRX345 디바이스에서 32,768개입니다.
지원되는 최대 침입 탐지 및 방지(IDP) 세션 수는 NFX150-C-S1 디바이스의 기본 프로필에서 8,000개, NFX150-C-S1 디바이스의 SD-WAN 프로필에서 16,000개입니다. 지원되는 최대 침입 탐지 및 방지(IDP) 세션 수는 NFX150-S1의 기본 프로필에서 8,000개, NFX150-S1 디바이스의 SD-WAN 프로필에서 64,000개입니다.
애플리케이션 식별은 애플리케이션 식별을 요청하는 서비스(예: IDP, AppFW, AppTrack 또는 AppQoS)가 애플리케이션 식별을 호출할 수 있는 경우에만 기본적으로 활성화됩니다. 이러한 정책 또는 구성이 없으면 애플리케이션 식별이 자동으로 트리거되지 않습니다. 그러나 정책 규칙에서 애플리케이션을 지정할 때 IDP는 애플리케이션 식별 결과가 아닌 지정된 애플리케이션을 사용합니다. 정책 규칙에서 애플리케이션을 지정하는 방법에 대한 지침은 예: IDP 애플리케이션 및 서비스 구성을 참조하십시오.
응용 프로그램 식별은 기본적으로 사용하도록 설정되어 있습니다. CLI를 통한 애플리케이션 식별을 비활성화하려면 Junos OS 애플리케이션 식별 비활성화 및 재활성화를 참조하십시오.
모든 브랜치 SRX 시리즈 방화벽에서 IDP는 비패킷 컨텍스트에 대한 헤더 검사를 허용하지 않습니다.
액티브/액티브 및 액티브/패시브 섀시 클러스터 모두에 구축된 침입 탐지 및 방지(IDP)에는 다음과 같은 제한 사항이 있습니다.
페일오버 또는 페일백(failback)되는 세션은 검사하지 않습니다.
IP 작업 테이블은 노드 간에 동기화되지 않습니다.
보조 노드의 라우팅 엔진은 패킷 전달 엔진을 통해서만 연결할 수 있는 네트워크에 도달하지 못할 수 있습니다.
SSL 세션 ID 캐시는 노드 간에 동기화되지 않습니다. SSL 세션이 세션 ID를 재사용하고 세션 ID가 캐시된 노드가 아닌 다른 노드에서 처리되는 경우, SSL 세션은 해독될 수 없으며 침입 탐지 및 방지(IDP) 검사를 위해 우회됩니다.
액티브/액티브 섀시 클러스터에 구축된 침입 탐지 및 방지(IDP)는 시간 바인딩 범위 소스 트래픽의 경우, 소스(둘 이상의 대상 포함)의 공격에 노드 간에 분산된 활성 세션이 있는 경우, 시간 바인딩 카운팅에 로컬 노드 전용 보기가 있기 때문에 공격이 감지되지 않을 수 있다는 제한이 있습니다. 이러한 종류의 공격을 탐지하려면 현재 지원되지 않는 시간 바인딩 상태의 RTO 동기화가 필요합니다.
또한보십시오
침입 탐지 및 방지(IDP) 공격 객체별 애플리케이션 바인딩 이해
공격 객체는 다양한 방식으로 애플리케이션 및 서비스에 결합할 수 있습니다.
공격 객체는 애플리케이션에 암묵적으로 바인딩될 수 있으며 서비스 정의를 갖지 않을 수 있습니다. 컨텍스트 또는 변칙의 이름을 기반으로 응용 프로그램에 바인딩됩니다.
공격 객체는 서비스 이름을 사용하여 서비스에 바인딩할 수 있습니다.
공격 객체는 TCP 또는 UDP 포트, ICMP 유형 또는 코드 또는 RPC 프로그램 번호를 사용하여 서비스에 바인딩할 수 있습니다.
지정된 애플리케이션 또는 서비스 바인딩의 적용 여부는 전체 공격 객체 정의와 침입 탐지 및 방지(IDP) 정책 구성에 따라 달라집니다.
공격 객체 정의에서 애플리케이션을 지정하면 service 필드는 무시됩니다. 공격 객체는 지정된 서비스 대신 애플리케이션에 바인딩됩니다. 그러나 공격 객체 정의에 서비스를 지정하고 애플리케이션을 지정하지 않으면 공격 객체가 서비스에 바인딩됩니다. 표 1 에는 애플리케이션 식별을 통한 애플리케이션 및 서비스 바인딩의 동작이 요약되어 있습니다.
표 1: 애플리케이션 식별 기능이 있는 애플리케이션 및 서비스 공격 객체 필드
바인딩 동작
애플리케이션 식별
:application (http)
:service (smtp)
응용 프로그램 HTTP에 바인딩합니다.
service 필드는 무시됩니다.
사용
:service (http)
응용 프로그램 HTTP에 바인딩합니다.
사용
:service (tcp/80)
TCP 포트 80에 바인딩합니다.
비활성화
예를 들어, 다음 공격 객체 정의에서 공격 객체는 애플리케이션 HTTP에 바인딩되고, 애플리케이션 식별이 활성화되며, 서비스 필드 SMTP 는 무시됩니다.
: (“http-test” :application (“http”) :service (“smtp”) :rectype (signature) :signature ( :pattern (“.*TERM=xterm; export TERM=xterm; exec bash – i\x0a\x.*”) :type (stream) ) :type (attack-ip) )
공격 객체가 서비스별 컨텍스트(예: http-url) 및 이상(예: tftp_file_name_too_long)을 기반으로 하는 경우 애플리케이션과 서비스 필드가 모두 무시됩니다. 서비스 컨텍스트 및 이상은 적용을 의미합니다. 따라서 공격 객체에서 이를 지정하면 애플리케이션 식별이 적용됩니다.
정책에서 특정 애플리케이션을 구성하면 공격 객체에 지정된 애플리케이션 바인딩을 덮어쓰게 됩니다. 표 2 에는 침입 탐지 및 방지(IDP) 정책에서 애플리케이션 구성과의 바인딩이 요약되어 있습니다.
표 2: 침입 탐지 및 방지(IDP) 정책의 애플리케이션 구성 정책의 응용 프로그램 종류
바인딩 동작
애플리케이션 식별
Default
공격 객체 정의에 구성된 애플리케이션 또는 서비스에 바인딩합니다.
애플리케이션 기반 공격 객체에 대해 사용
서비스 기반 공격 객체에 대해 사용 안 함
Specific application
공격 객체 정의에 지정된 애플리케이션에 바인딩합니다.
비활성화
Any
모든 응용 프로그램에 바인딩합니다.
비활성화
침입 탐지 및 방지(IDP) 정책에서 애플리케이션을 지정하는 경우, 공격 객체 정의와 침입 탐지 및 방지(IDP) 정책에 구성된 애플리케이션 유형이 일치해야 합니다. 정책 규칙은 두 개의 서로 다른 애플리케이션(하나는 공격 객체에, 다른 하나는 정책에)을 지정할 수 없습니다.
다른 애플리케이션을 기반으로 한 공격이 침입 탐지 및 방지(IDP) 구성에 지정되어 커밋이 실패하면 애플리케이션이 될 any 수 없습니다. 대신 기본값을 사용합니다.
애플리케이션에 대한 IDS 규칙을 구성하는 동안 옵션은 any 더 이상 사용되지 않습니다.
그러나 침입 탐지 및 방지(IDP) 구성에 애플리케이션이 any 있고 사용자 지정 공격 그룹이 사용되는 경우 커밋이 성공적으로 진행됩니다. 따라서 커밋 검사는 이러한 경우를 감지하지 못합니다.
또한보십시오
중첩된 애플리케이션에 대한 IDP 애플리케이션 식별 이해
애플리케이션 프로토콜 캡슐화가 많이 사용됨에 따라 동일한 레이어 7 프로토콜에서 실행되는 여러 다른 애플리케이션의 식별을 지원해야 할 필요성이 대두되고 있습니다. 예를 들어, Facebook 및 Yahoo Messenger와 같은 애플리케이션은 모두 HTTP를 통해 실행될 수 있지만, 동일한 레이어 7 프로토콜에서 실행되는 두 개의 서로 다른 애플리케이션으로 식별해야 합니다. 이를 위해 현재 애플리케이션 식별 레이어는 레이어 7 애플리케이션과 레이어 7 프로토콜의 두 레이어로 분할됩니다.
레이어 7 애플리케이션을 탐지하기 위해 사전 정의된 애플리케이션 시그니처가 생성되었지만, 기존 레이어 7 프로토콜 시그니처는 여전히 동일한 방식으로 작동합니다. 이러한 사전 정의된 애플리케이션 시그니처는 공격 객체에 사용될 수 있습니다.
또한보십시오
예: 애플리케이션 식별을 위한 침입 탐지 및 방지(IDP) 정책 구성
이 예는 애플리케이션 식별을 위한 침입 탐지 및 방지(IDP) 정책을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
응용 프로그램 패키지를 다운로드합니다.
개요
이 예에서는 침입 탐지 및 방지(IDP) 정책 ABC를 생성하고 IPS 규칙 베이스에서 규칙 123을 정의합니다. 침입 탐지 및 방지(IDP) 정책 규칙에서 default를 애플리케이션 유형으로 지정합니다. 기본값 대신 애플리케이션을 지정하면 이 규칙에 대해 애플리케이션 식별 기능이 비활성화되고 IDP는 트래픽을 지정된 애플리케이션 유형과 일치시킵니다. application-identification에 정의된 애플리케이션은 현재 직접 참조할 수 없습니다.
구성
절차
단계별 절차
애플리케이션 식별을 위한 침입 탐지 및 방지(IDP) 정책 구성:
침입 탐지 및 방지(IDP) 정책을 생성합니다.
[edit] user@host# set security idp idp-policy ABC
응용 프로그램 유형을 지정합니다.
[edit] user@host# set security idp idp-policy ABC rulebase-ips rule 123 match application default
일치 조건이 충족될 때 수행할 작업을 지정합니다.
[edit] user@host# set security idp idp-policy ABC rulebase-ips rule 123 then action no-action
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security idp .
침입 탐지 및 방지(IDP) 애플리케이션 식별을 위한 메모리 제한 설정 이해
침입 탐지 및 방지(IDP) 서명 데이터베이스로 애플리케이션 시그니처를 생성할 수는 없지만 센서 설정을 구성하여 애플리케이션 식별을 실행하는 세션 수를 제한하고 애플리케이션 식별을 위한 메모리 사용량을 제한할 수 있습니다.
Memory limit for a session(세션에 대한 메모리 제한) - 하나의 TCP 또는 UDP 세션에 대한 애플리케이션 식별을 위해 패킷을 저장하는 데 사용할 수 있는 최대 메모리 바이트를 구성할 수 있습니다. 애플리케이션 식별을 위해 전역 메모리 사용량에 대한 제한을 구성할 수도 있습니다. 시스템이 세션에 대해 지정된 메모리 제한에 도달한 후 세션에 대해 애플리케이션 식별을 사용할 수 없습니다. 그러나 IDP는 계속해서 패턴을 일치시킵니다. 일치하는 응용 프로그램은 다음 세션에서 사용할 수 있도록 캐시에 저장됩니다. 이렇게 하면 의도적으로 대규모 클라이언트-서버 패킷을 전송하여 애플리케이션 식별을 우회하려는 공격자로부터 시스템을 보호할 수 있습니다.
Number of sessions(세션 수) - 애플리케이션 식별을 동시에 실행할 수 있는 최대 세션 수를 구성할 수 있습니다. 응용 프로그램 식별은 시스템이 지정된 세션 수에 도달한 후에 비활성화됩니다. 너무 많은 연결 요청이 시스템에 할당된 모든 리소스를 압도하고 소진할 때 발생하는 서비스 거부(DOS) 공격을 방지할 수 있도록 세션 수를 제한합니다.
표 3 은 SRX3400, SRX3600, SRX5600 및 SRX5800 디바이스에 대한 CP(Central Point) 세션 번호의 용량을 제공합니다.
SRX 시리즈 디바이스 |
최대 세션 수 |
센트럴 포인트(CP) |
|---|---|---|
SRX3400 |
2,250,000 |
콤보 모드 CP |
SRX3600 |
2,250,000 |
콤보 모드 CP |
SRX5600 |
900만 2,250,000 |
전체 CP 콤보 모드 CP |
SRX5800 |
1,000만 2,250,000 |
전체 CP 콤보 모드 CP |
예: 침입 탐지 및 방지(IDP) 애플리케이션 식별 서비스에 대한 메모리 제한 설정
이 예에서는 침입 탐지 및 방지(IDP) 애플리케이션 식별 서비스에 대한 메모리 제한을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
서명 데이터베이스를 다운로드합니다. 예: IDP 서명 데이터베이스 수동 업데이트를 참조하십시오.
개요
이 예에서는 하나의 TCP 세션에 대한 애플리케이션 식별을 위해 패킷을 저장하는 데 사용할 수 있는 최대 메모리 양으로 5000 메모리 바이트를 구성합니다.
구성
절차
단계별 절차
침입 탐지 및 방지(IDP) 애플리케이션 식별 서비스에 대한 메모리 및 세션 제한을 구성하려면,
응용 프로그램 식별을 위한 메모리 제한을 지정합니다.
[edit] user@host# set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security idp memory .
애플리케이션 식별 프로세스를 위한 IDP 카운터 확인
목적
애플리케이션 식별 프로세스에 대한 IDP 카운터를 확인합니다.
행동
CLI에서 명령을 입력합니다 show security idp counters application-identification .
샘플 출력
명령 이름
user@host> show security idp counters application-identification IDP counters: IDP counter type Value AI cache hits 2682 AI cache misses 3804 AI matches 74 AI no-matches 27 AI-enabled sessions 3804 AI-disabled sessions 2834 AI-disabled sessions due to cache hit 2682 AI-disabled sessions due to configuration 0 AI-disabled sessions due to protocol remapping 0 AI-disabled sessions due to non-TCP/UDP flows 118 AI-disabled sessions due to no AI signatures 0 AI-disabled sessions due to session limit 0 AI-disabled sessions due to session packet memory limit 34 AI-disabled sessions due to global packet memory limit 0
의미
출력에는 애플리케이션 식별 카운터의 요약이 표시됩니다. 다음 정보를 확인합니다.
AI cache hits(AI 캐시 히트) - 애플리케이션 식별 캐시의 히트 수를 표시합니다
AI cache misses(AI 캐시 누락) - 애플리케이션이 일치하지만 애플리케이션 식별 캐시 항목이 추가되지 않은 횟수를 표시합니다.
AI 일치 - 애플리케이션이 일치하는 횟수를 표시하고 애플리케이션 식별 캐시 항목이 추가됩니다.
AI no-matches - 애플리케이션이 일치하지 않는 횟수를 표시합니다.
AI 지원 세션 - 애플리케이션 식별이 활성화된 세션 수를 표시합니다.
AI 비활성화 세션 - 애플리케이션 식별이 비활성화된 세션 수를 표시합니다.
캐시 히트로 인한 AI 비활성화 세션 - 캐시 항목이 일치한 후 애플리케이션 식별이 비활성화된 세션 수를 표시합니다. 이 세션에서 응용 프로그램 식별 프로세스가 중단됩니다.
구성으로 인한 AI 비활성화 세션—센서 구성으로 인해 애플리케이션 식별이 비활성화된 세션 수를 표시합니다.
프로토콜 재매핑으로 인한 AI 비활성화 세션 - 침입 탐지 및 방지(IDP) 정책 규칙 정의에서 특정 서비스를 구성했기 때문에 애플리케이션 식별이 비활성화된 세션 수를 표시합니다.
비 TCP/UDP 흐름으로 인한 AI 비활성화 세션 - 세션이 TCP 또는 UDP 세션이 아니기 때문에 애플리케이션 식별이 비활성화된 세션 수를 표시합니다.
AI 시그니처 없음으로 인한 AI 비활성화 세션 - 애플리케이션 식별 시그니처에서 일치하는 항목이 발견되지 않아 애플리케이션 식별이 비활성화된 세션 수를 표시합니다.
세션 제한으로 인한 AI 비활성화—세션이 구성된 최대 제한에 도달했기 때문에 애플리케이션 식별이 비활성화된 세션 수를 표시합니다. 이후 세션에서도 응용 프로그램 식별이 비활성화됩니다.
세션 패킷 메모리 제한으로 인한 AI 비활성화—세션이 TCP 또는 UDP 흐름에서 최대 메모리 제한에 도달했기 때문에 애플리케이션 식별이 비활성화된 세션을 표시합니다. 이후 세션에서도 응용 프로그램 식별이 비활성화됩니다.
전역 패킷 메모리 제한으로 인한 AI 비활성화 - 최대 메모리 제한에 도달하여 애플리케이션 식별이 비활성화된 세션을 표시합니다. 이후 세션에서도 응용 프로그램 식별이 비활성화됩니다.