Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Identificación de aplicaciones Compatibilidad con políticas unificadas

Descripción de las políticas unificadas en dispositivos de seguridad

Con la creciente popularidad de las aplicaciones web, y debido al cambio de las aplicaciones tradicionales basadas en clientes completos a la web, cada vez más tráfico se transmite a través de HTTP. Las aplicaciones como la mensajería instantánea, el intercambio de archivos punto a punto, el correo web, las redes sociales y la colaboración de voz y video IP evaden los mecanismos de seguridad al cambiar los puertos y protocolos de comunicación. La administración de cambios en el comportamiento de la aplicación requiere una modificación constante de las reglas de seguridad, y el mantenimiento de las reglas de la política de seguridad plantea un desafío importante. Para controlar estos cambios en el comportamiento de las aplicaciones, necesita directivas de seguridad para administrar aplicaciones dinámicas.

Como respuesta a este desafío, a partir de Junos OS versión 18.2R1, los firewalls de la serie SRX y el firewall virtual vSRX de Juniper Networks admiten políticas unificadas, lo que permite un control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad. Las directivas unificadas son políticas de seguridad que permiten usar aplicaciones dinámicas como parte de las condiciones existentes de coincidencia de 5 o 6 tuplas (5 tuplas con firewall de usuario) para detectar cambios en las aplicaciones a lo largo del tiempo.

Una política unificada aprovecha la información de identidad de la aplicación determinada en el módulo de identificación de aplicaciones (AppID). Después de identificar una aplicación determinada, se aplica una acción como permitir, denegar, rechazar o redirigir al tráfico de acuerdo con la política configurada en el dispositivo.

Cualquier tráfico denegado o rechazado por la política de seguridad basada en criterios de capa 3 o capa 4 se elimina inmediatamente. El tráfico permitido por la política de seguridad se evalúa en la capa 7 en función de la información de AppID.

AppID se habilita cuando se configura una política de seguridad con aplicaciones dinámicas o cuando se habilita cualquier servicio, como el enrutamiento basado en políticas de aplicaciones (APBR), el seguimiento de aplicaciones (Apptrack), la calidad de servicio de la aplicación (AppQoS), el firewall de aplicaciones (AppFW), el IDP o Juniper ATP Cloud en la política de seguridad.

Beneficios

  • Simplifica la gestión de políticas de seguridad basadas en aplicaciones en la capa 7.

  • Permite que su dispositivo se adapte a los cambios dinámicos de tráfico en la red.

  • Proporciona mayor control y extensibilidad para administrar el tráfico dinámico de aplicaciones que una política de seguridad tradicional.

Descripción de cómo las políticas unificadas usan la información de AppID

La clasificación precisa del tráfico es esencial para la seguridad de la red en las arquitecturas de nube y centro de datos. Identificar y clasificar diferentes tipos de tráfico de aplicaciones (tramitado en HTTP) también es un desafío, ya que las aplicaciones web incluyen documentos, datos, imágenes y archivos de audio y vídeo.

AppID detecta las aplicaciones en su red independientemente del puerto, protocolo y cifrado (TLS/SSL o SSH) u otras tácticas evasivas. Utiliza técnicas de inspección profunda de paquetes (DPI), una base de datos de firmas y direcciones y puertos conocidos para identificar aplicaciones. AppID proporciona información como la clasificación dinámica de aplicaciones, el protocolo predeterminado y el puerto de una aplicación. Para cualquier aplicación incluida en la lista de dependientes de otra aplicación, AppID proporciona la información de la aplicación dependiente.

Una política unificada aprovecha la información de AppID para que coincida con la aplicación y realice las acciones especificadas en la política. En una configuración de directiva unificada, puede utilizar una aplicación dinámica predefinida (del paquete de firma de identificación de la aplicación) o una aplicación personalizada definida por el usuario como condición de coincidencia.

Descripción de la identificación de aplicaciones dinámicas dependientes

Una lista de aplicaciones dependientes incluye aplicaciones sobre las que se puede identificar una aplicación dinámica. Por ejemplo, la lista de aplicaciones dependientes para Facebook comprende HTTP2 y SSL.

El protocolo y el puerto predeterminados de una aplicación dinámica incluyen el protocolo y el puerto definidos para esa aplicación. Si el protocolo y el puerto para esa aplicación no están definidos, se considera la lista de protocolos y puertos predeterminados de sus aplicaciones dependientes.

Por ejemplo, la aplicación Facebook-Access depende de aplicaciones como HTTP, SSL y HTTP2. Por lo tanto, el protocolo predeterminado y los puertos de estas aplicaciones dependientes se consideran para la aplicación Facebook-Access.

Nota:

La lista de aplicaciones dependientes y la asignación de protocolos y puertos de una aplicación pueden cambiar durante el tiempo de ejecución cada vez que se instala un nuevo paquete de firmas de aplicación o cambia una configuración de aplicación personalizada. AppID proporciona estos detalles a la política de seguridad.

Estados de clasificación dinámica de aplicaciones

Durante el proceso de identificación de la aplicación, DPI procesa cada paquete y lo clasifica en uno de los siguientes estados hasta que finalmente se identifica la aplicación:

  • Pre-coincidencia: antes de que el DPI identifique una aplicación.

  • Transacción final: en el caso de las aplicaciones dinámicas, se ha completado una transacción, pero la identificación de la aplicación no es definitiva. Las aplicaciones que superan la capa 7 pueden cambiar constantemente con cada transacción porque tienen aplicaciones dependientes. Por ejemplo, las aplicaciones de Facebook tienen aplicaciones dependientes como HTTP, SSL, etc.

  • Coincidencia final: una aplicación coincidente en la capa 7 se considera la coincidencia final según el número máximo de transacciones configurado. Es decir, la coincidencia se considera final solo después de que se complete el número máximo de transacciones.

Antes de identificar la aplicación final, la política no se puede coincidir con precisión. Se pone a disposición una lista de políticas potenciales y se permite el tráfico mediante la política potencial de la lista. Una vez identificada la aplicación, se aplica la directiva final a la sesión. Las acciones de la política, como permitir, denegar, rechazar o redirigir, se aplican al tráfico como se especifica en las reglas de la política.

Nota:

DPI puede cambiar la aplicación coincidente durante el partido final; Pero la política respectiva sigue siendo la misma. Esta es la razón por la que puede observar que diferentes aplicaciones mencionadas en un syslog crean y cierran sesiones de la misma política.

La clasificación de aplicaciones no finaliza para aplicaciones basadas en transacciones, como Facebook. Para finalizar la clasificación de dichas aplicaciones, puede optar por considerar los resultados de varias transacciones como la clasificación final.

Configuración del límite de transacciones para la identificación de aplicaciones

Puede configurar el número máximo de transacciones antes de concluir los resultados finales para identificar una aplicación mediante la set services application-identification maximum-transactions transactions-number instrucción. Cuando se configura el número máximo de transacciones, PPP no se termina hasta que se complete el número configurado de transacciones.

Ejemplo:

Puede configurar un número de transacción del 0 al 25. De forma predeterminada, se consideran cinco transacciones.

Si establece el recuento de transacciones como 0, la transacción no termina el DPI. Es posible que la coincidencia final de la aplicación no esté disponible; y no se aplica la política de seguridad final.

La Tabla 1 muestra los diferentes estados de clasificación de identificación de la aplicación cuando la transacción máxima se establece en cinco. Tenga en cuenta que los valores de la tabla son, por ejemplo, y no son valores reales. La transacción exacta puede variar según el patrón de tráfico.

Tabla 1: Ejemplo de transacciones de identificación de aplicaciones

Escenario

Aplicación identificada

Estado de identificación de la aplicación

Transacciones

Primer paquete de la sesión

Ninguno

Pre-partido

0

Aplicación intermedia

SSL (en inglés)

Pre-partido

1

Aplicación intermedia identificada en la carga descifrada

HTTP

Pre-partido

2

Aplicación intermedia identificada

ACCESO A FACEBOOK

Pre-partido

3

Aplicación intermedia identificada

CHAT DE FACEBOOK

Transacción final (transacción =1)

4

Aplicación final identificada

CORREO DE FACEBOOK

Partido final (transacción = 2)

4

Nota:

En las políticas unificadas, no se admite la configuración de aplicaciones dinámicas que se puedan identificar en función de la información de capa 3 o capa 4 (excepto las aplicaciones basadas en ICMP). En su lugar, puede utilizar el grupo junos-defaults que contiene valores predefinidos para aplicaciones basadas en capas 3 y 4.

Soporte de alta disponibilidad para la identificación de aplicaciones para políticas unificadas

Cuando se identifica una aplicación, su información de clasificación se guarda en la caché del sistema de aplicaciones (ASC).

Cuando el dispositivo de seguridad (por ejemplo, firewall de la serie SRX) funciona en modo de clúster de chasis, la información guardada en el ASC se sincroniza entre el nodo principal y el nodo secundario.

En el caso de la clasificación dinámica de aplicaciones, la información de clasificación de aplicaciones por sesión del DPI se sincroniza con el nodo secundario cuando la clasificación de aplicaciones es definitiva.

Durante una conmutación por error, la información de clasificación de aplicaciones en el nodo secundario se encuentra en uno de los siguientes estados:

  • Aplicación no identificada

  • Aplicación final identificada

Después de una conmutación por error, la información de clasificación de aplicaciones que está disponible en el nuevo nodo principal se considera como la coincidencia final. La misma información se sincroniza con el nuevo nodo secundario, ya que la clasificación no avanza después de una conmutación por error. El ejemplo de la Tabla 2 La Tabla 2 muestra el estado de clasificación de aplicaciones en una configuración de clúster de chasis.

Tabla 2: Estado de clasificación de aplicaciones en la configuración de un clúster de chasis

Estado de identificación de la aplicación

Nodo de clúster de chasis

Antes de la conmutación por error

Después de la conmutación por error

Detalles

Se identifica la solicitud final.

Aplicación identificada: SSL:Facebook

Nodo principal

Aplicación identificada: SSL:Facebook

Aplicación identificada: SSL:Facebook

No hay cambios después de la conmutación por error porque la clasificación completa de la aplicación se sincroniza con el nodo secundario.

Nodo secundario

Aplicación identificada: SSL:Facebook

Aplicación identificada: SSL:Facebook

No se identifica la solicitud final. (Se identifica la aplicación parcial.)

Aplicación identificada: SSL

Nodo principal

Aplicación identificada: SSL

Aplicación identificada: APP-INVALID

La identificación de la aplicación no avanza después de una conmutación por error.

Nodo secundario

Aplicación identificada: no disponible

Aplicación identificada: APP-INVALID

No se identifica la solicitud final. (Se identifica la aplicación parcial)

Nodo principal

Aplicación identificada: no disponible

Aplicación identificada: APP-INVALID

En este caso, se produjo una conmutación por error después de la primera inspección de paquetes y no se identifica ninguna aplicación.

La identificación de la aplicación no avanza después de una conmutación por error.

Nodo secundario

Aplicación identificada: no disponible

Aplicación identificada: APP-INVALID

Habilitar o deshabilitar la caché del sistema de aplicaciones para servicios de aplicaciones

A partir de Junos OS versión 18.2R1, el comportamiento predeterminado del ASC cambia de la siguiente manera:

  • Antes de Junos OS versión 18.2R1, ASC estaba habilitado de forma predeterminada para todos los servicios, incluidos los servicios de seguridad.
  • A partir de la versión 18.2R1 de Junos OS, ASC está habilitado de forma predeterminada; Tenga en cuenta la diferencia en la búsqueda de servicios de seguridad:

    • La búsqueda de ASC para servicios de seguridad no está habilitada de forma predeterminada. Es decir, los servicios de seguridad, incluidas las políticas de seguridad, el firewall de aplicaciones (AppFW), el seguimiento de aplicaciones (AppTrack), la calidad de servicio de las aplicaciones (AppQoS), la nube ATP de Juniper, el IDP y la seguridad de contenido, no usan el ASC de forma predeterminada.

    • La búsqueda de ASC para servicios varios está habilitada de forma predeterminada. Es decir, los servicios varios, incluido el enrutamiento avanzado basado en políticas (APBR), usan el ASC para la identificación de aplicaciones de forma predeterminada.

Nota:

El cambio en el comportamiento predeterminado del ASC afecta a la funcionalidad heredada de AppFW. Con el ASC deshabilitado de forma predeterminada para los servicios de seguridad a partir de Junos OS versión 18.2, AppFW no utilizará las entradas presentes en el ASC.

Puede revertir al comportamiento de ASC como en las versiones de Junos OS anteriores a la versión 18.2 mediante el set services application-identification application-system-cache security-services comando.

CAUTELA:

El dispositivo de seguridad puede volverse susceptible a las técnicas de evasión de aplicaciones si el ASC está habilitado para servicios de seguridad. Le recomendamos que habilite el ASC solo cuando el rendimiento del dispositivo en su configuración predeterminada (deshabilitada para servicios de seguridad) no sea suficiente para su caso de uso específico.

Utilice los siguientes comandos para habilitar o deshabilitar el ASC:

  • Habilite el ASC para servicios de seguridad:

  • Deshabilite el ASC para servicios varios:

  • Deshabilite el ASC habilitado para los servicios de seguridad:

  • Habilite el ASC deshabilitado para servicios varios:

Puede utilizar el show services application-identification application-system-cache comando para comprobar el estado del ASC.

La siguiente salida de ejemplo proporciona el estado del ASC:

En versiones anteriores a Junos OS versión 18.2R1, el almacenamiento en caché de aplicaciones estaba habilitado de forma predeterminada. Puede deshabilitarlo manualmente mediante el set services application-identification no-application-system-cache comando.

Compatibilidad con aplicaciones de tunelización

A partir de Junos OS versión 20.4R1, hemos mejorado la búsqueda unificada de políticas en dispositivos de seguridad para administrar aplicaciones de tunelización. Ahora puede bloquear una aplicación de tunelización específica mediante la directiva unificada.

Cuando desee bloquear determinadas aplicaciones de tunelización, como QUIC o SOCK, puede configurar estas aplicaciones de tunelización para unificar la directiva con la acción denegar o rechazar.

Soporte de identificación de aplicaciones para microaplicaciones

A partir de la versión 19.2R1 de Junos OS, puede administrar las aplicaciones en un nivel de subfunción con la función de identificación de aplicaciones. En este documento, nos referimos a las subfunciones de aplicación como microaplicaciones.

Las microaplicaciones forman parte del paquete de firmas de aplicaciones. Debe habilitar la detección de microaplicaciones en la identificación de aplicaciones y, a continuación, usarlas como criterios coincidentes en la política de seguridad.

AppID detecta las aplicaciones en el nivel de subfunción de su red y la política de seguridad aprovecha la información de identidad de la aplicación determinada en el módulo de identificación de aplicaciones (AppID). Después de identificar una aplicación determinada, se aplica una acción como permitir, denegar, rechazar o redirigir al tráfico de acuerdo con la política configurada en el dispositivo.

El concepto de microaplicaciones es similar al de las aplicaciones basadas en transacciones, donde la aplicación anidada sobre una aplicación base cambia continuamente para la misma sesión.

Ejemplo:

Considere una aplicación dinámica MODBUS. READ y WRITE son subfunciones u operaciones de la aplicación MODBUS. Para estas subfunciones, debemos definir microaplicaciones como MODBUS-READ y MODBUS-WRITE. La ruta de clasificación de la aplicación puede cambiar constantemente entre MODBUS:MODBUS-READ y MODBUS:MODBUS-WRITE. En este caso, MODBUS es la aplicación base y MODBUS-READ y MODBUS-WRITE son aplicaciones anidadas, es decir, microaplicaciones.

Puede configurar las microaplicaciones en la misma jerarquía que la aplicación dinámica predefinida en una política de seguridad y realizar la acción en función de las reglas de la directiva.

Al configurar estas microaplicaciones en las políticas de seguridad, puede permitir o denegar subfunciones MODBUS en lugar de bloquear o permitir toda la aplicación MODBUS.

Clasificación de microaplicaciones

La clasificación de aplicaciones para microaplicaciones no llega a la coincidencia final porque, la microaplicación sigue cambiando para la sesión. Una solicitud coincidente se considera como la coincidencia final solo después de que se haya completado el número máximo de transacciones.

AppID tiene el límite máximo de transacciones como 25, sin embargo, cada módulo de servicio tiene su propio límite basado en sus propios requisitos. Si se alcanza el límite específico del servicio antes del límite máximo de transacciones (25), el módulo de servicio marca su política como final. Sin embargo, AppID continúa con la clasificación de aplicaciones y descarga la sesión al alcanzar el límite de 25.

Puede usar el set services application-identification max-transactions comando para configurar el límite de transacciones.

Lista de aplicaciones dependientes y protocolos y puertos predeterminados

Una lista de aplicaciones dependientes incluye aplicaciones sobre las que se puede identificar una aplicación dinámica. El protocolo y el puerto predeterminados de una aplicación dinámica incluyen el protocolo y el puerto definidos para esa aplicación.

La lista de aplicaciones dependientes y los protocolos y puertos predeterminados son usados por la política unificada para aplicar la política de seguridad. La lista de aplicaciones dependientes y los protocolos y puertos predeterminados de la aplicación micro son los mismos que los de la aplicación base.

Ejemplo: La lista de aplicaciones dependientes y los puertos predeterminados de la microaplicación MODBUS-READ son los mismos que la lista de aplicaciones dependientes y los puertos predeterminados de MODBUS.

Aplicación de políticas para microaplicaciones

Las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. Si ha configurado una política de seguridad con una microaplicación como criterios de coincidencia, el módulo de políticas requiere información de identificación de microaplicaciones de AppID.

La clasificación de aplicaciones con microaplicaciones no llega a la coincidencia final porque, la microaplicación sigue cambiando para la sesión. Sin embargo, se requiere una coincidencia final para la aplicación para la búsqueda de directivas y el procesamiento de la directiva. Puede utilizar el comando [edit security policies unified-policy-max-lookups] para limitar el número de búsquedas de directivas.

Una vez identificada la aplicación, se aplica la directiva final a la sesión. Las acciones de la política, como permitir, denegar, rechazar o redirigir, se aplican al tráfico como se especifica en las reglas de la política.

Instalación de microaplicaciones

Las microaplicaciones forman parte del paquete de firmas de aplicaciones. Cuando descarga el paquete de firmas de aplicaciones y lo instala, las microaplicaciones también se instalan y están disponibles para su configuración en las políticas de seguridad. Puede ver los detalles de las microaplicaciones utilizando el show services application-identification status comando.

Nota:

Si ha configurado microaplicaciones en una política de seguridad a partir de Junos OS versión 19.2, no es posible cambiar a la versión anterior de Junos OS. Para cambiar a la versión anterior de las versiones de Junos OS, debe quitar las microaplicaciones configuradas en las políticas de seguridad.

Administración del tráfico de aplicaciones DNS a través de HTTP y DNS a través de TLS

En Junos OS versión 20.4R1, presentamos una nueva microaplicación, DNS-ENCRYPTED, para mejorar el paquete de firmas de aplicaciones. Al configurar esta microaplicación en una política de seguridad, puede tener un control granular para el tráfico de aplicaciones DNS a través de HTTP y DNS sobre TLS.

La aplicación DNS-ENCRYPTED está habilitada de forma predeterminada. Puede deshabilitarlo usando el request services application-identification application disable DNS-ENCRYPTED comando.

Puede ver los detalles de las microaplicaciones utilizando el show services application-identification application comando.

Habilitación y desactivación de la detección de microaplicaciones

Puede activar o desactivar la detección de microaplicaciones. De forma predeterminada, la detección de microaplicaciones está deshabilitada. Debe habilitar las microaplicaciones para usarlas en su política de seguridad.

Puede activar o desactivar las microaplicaciones mediante los siguientes comandos:

  • Habilite la detección de microaplicaciones (desde el modo de configuración).

  • Desactive una microaplicación específica (desde el modo operativo).

    Ejemplo:

Ejemplo: configuración de microaplicaciones

En este ejemplo se muestra cómo configurar microaplicaciones en una política de seguridad para aplicar la directiva en el nivel de subfunción.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Firewall serie SRX con Junos OS versión 19.2R1 o posterior. Este ejemplo de configuración se ha probado en Junos OS versión 19.2R1.

  • Licencia válida de la función de identificación de aplicaciones instalada en un firewall de la serie SRX.

Antes de comenzar, instale una base de datos de firmas completa desde un IDP o un paquete de seguridad de identificación de aplicaciones. Consulte Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS o Descargar e instalar el paquete de firmas de aplicaciones de Junos OS como parte del paquete de seguridad de IDP.

Visión general

En este ejemplo, se crea una política de seguridad con las microaplicaciones MODBUS-READ-COILS y MODBUS-WRITE-SINGLE-COIL, MODBUS-READ-COILS, MODBUS-WRITE-MULTIPLE-COILS. Se permite el tráfico de aplicaciones que coincida con estas microaplicaciones.

Configuración

Configuración de la política de seguridad con microaplicaciones

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración.

Para configurar un grupo de aplicaciones personalizado para la identificación de aplicaciones:

  1. Habilite la detección de microaplicaciones.

  2. Defina una política de seguridad con otros criterios de coincidencia de políticas.

  3. Definir la aplicación y la microaplicación como criterios coincidentes.

  4. Defina la acción de la política.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de la calidad de servicio de las aplicaciones con microaplicaciones

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración.

Para configurar un grupo de aplicaciones personalizado para la identificación de aplicaciones:

  1. Defina los parámetros de configuración de AppQoS con la microaplicación junos:MODBUS-READ-COILS.

  2. Cree una política de seguridad.

  3. Defina la acción de la política.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el how class-of-service comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificación del estado de las microaplicaciones

Propósito

Verifique que las microaplicaciones estén habilitadas.

Acción

Use el comando para obtener la versión de microaplicaciones y use show services application-identification application micro-applications el show services application-identification status comando para obtener los detalles de las microaplicaciones.

Salida de muestra

mostrar servicios identificación de aplicaciones microaplicaciones de aplicación

Consulte Mostrar microaplicaciones de aplicaciones de identificación de aplicaciones de servicios para obtener más detalles.

Verificación de estadísticas de microaplicaciones

Propósito

Verifique que se aplique la microaplicación.

Acción

Utilice los siguientes comandos para obtener los detalles de las microaplicaciones.

Salida de muestra
nombre-comando

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.2R1
A partir de Junos OS versión 18.2R1, se cambia el comportamiento predeterminado del ASC
18.2R1
En versiones anteriores a Junos OS versión 18.2R1, el almacenamiento en caché de aplicaciones estaba habilitado de forma predeterminada. Puede deshabilitarlo manualmente mediante el set services application-identification no-application-system-cache comando.