Firmas de aplicaciones personalizadas para la identificación de aplicaciones
Las firmas de aplicaciones personalizadas definidas por el usuario también se pueden usar para identificar la aplicación independientemente del protocolo y el puerto que se utilicen. Puede crear firmas personalizadas mediante nombres de host, intervalos de direcciones IP y puertos, lo que le permite rastrear el tráfico hacia destinos específicos. Para obtener más información, consulte los siguientes temas:
Descripción de Junos OS firmas de aplicaciones personalizadas para la identificación de aplicaciones
Este tema incluye las siguientes secciones:
- Descripción general de firmas de aplicaciones personalizadas
- Mejoras en firmas de aplicaciones personalizadas
- Tipos compatibles de firmas de aplicaciones personalizadas
- Ventajas del uso de firmas de aplicaciones personalizadas
- Limitaciones
- Opciones de configuración adicionales para firmas de aplicaciones personalizadas
Descripción general de firmas de aplicaciones personalizadas
Junos OS función de identificación de aplicaciones le ofrece la flexibilidad de crear firmas personalizadas para identificar cualquier aplicación, ya sea una aplicación web o una aplicación de servidor de cliente. Puede crear firmas de aplicaciones personalizadas para aplicaciones basadas en ICMP, protocolo IP, dirección IP y capa 7.
En general, las firmas de aplicaciones personalizadas son exclusivas de su entorno y se utilizan principalmente para inspeccionar aplicaciones internas o personalizadas. Una vez que cree firmas de aplicaciones personalizadas, AppID clasifica e examina de la misma manera que las aplicaciones estándar. Dado que las firmas de aplicaciones personalizadas no forman parte del paquete de aplicación predefinido, se guardan en la jerarquía de configuración, no en la base de datos de firmas de aplicaciones predefinida.
Debe descargar instalar el paquete de firma de la aplicación en su dispositivo para configurar firmas personalizadas. Cuando se configuran las firmas personalizadas, no puede desinstalar el paquete de firma de la aplicación. Todas las firmas de aplicaciones personalizadas se reenvía tal y como está cuando actualiza su sistema a una nueva versión de software.
Mejoras en firmas de aplicaciones personalizadas
A partir de Junos OS versión 20.1R1, hemos mejorado la funcionalidad de firma de aplicaciones personalizadas proporcionando un nuevo conjunto de aplicaciones y contextos.
Los contextos de firma de aplicaciones personalizadas ahora forman parte del paquete de firma de la aplicación. Si desea usar la aplicación recién introducida y los contextos para firmas de aplicaciones personalizadas, debe descargar e instalar el último paquete de firma de aplicación versión 3248 o posterior. Puede actualizar el paquete de firma de la aplicación por separado sin actualizar los Junos OS.
Tipos compatibles de firmas de aplicaciones personalizadas
Los dispositivos de seguridad admiten los siguientes tipos de firmas personalizadas:
Asignación basada en ICMP
Asignación basada en direcciones
Asignación basada en protocolos IP
Asignación basada en flujos TCP/UDP de capa 7
En todas las firmas de aplicaciones personalizadas compatibles, las aplicaciones personalizadas basadas en ICMP, basadas en protocolos IP y basadas en direcciones tienen más prioridad que las aplicaciones personalizadas basadas en flujos TCP/UDP de capa 7. El orden de prioridad de firmas de aplicaciones personalizadas es: aplicaciones personalizadas basadas en protocolos IP, basadas en PROTOCOLO IP, basadas en direcciones y en capa 7 o TCP/UDP.
- Asignación basada en ICMP
- Asignación basada en direcciones
- Asignación basada en protocolos IP
- Firmas basadas en flujos TCP/UDP de capa 7
Asignación basada en ICMP
La técnica de asignación de ICMP asigna tipos de mensajes ICMP estándar y códigos opcionales a un nombre de aplicación único. Esta técnica de asignación le permite diferenciar entre varios tipos de mensajes ICMP. La técnica de asignación icmp no admite tráfico ICMPv6.
DPI solo funciona con tráfico TCP o UDP. Por lo tanto, la asignación de ICMP no se aplica DPI y no puede admitir funciones DPI como ataques personalizados.
Asignación basada en direcciones
La asignación de direcciones de capa 3 y capa 4 define una aplicación según la dirección IP y el intervalo de puertos opcional del tráfico.
Para configurar aplicaciones personalizadas basadas en direcciones de capa 3 y capa 4, debe coincidir con la dirección IP y el intervalo de puertos con la dirección IP de destino y el puerto. Cuando se configuran tanto la dirección IP como el puerto, ambos criterios deben coincidir con la dirección IP de destino y el intervalo de puertos del paquete.
Considere la posibilidad de un servidor del Protocolo de iniciación de sesión (SIP) que inicia sesiones desde su puerto conocido 5060. Dado que todo el tráfico de esta dirección IP y el puerto solo lo genera la aplicación SIP, la aplicación SIP se puede asignar a la dirección IP del servidor y al puerto 5060 para la identificación de la aplicación. De esta manera, todo el tráfico con esta dirección IP y puerto se identifica como tráfico de aplicación SIP.
Cuando configure una aplicación basada en direcciones y una aplicación basada en flujos TCP/UDP, y si una sesión coincide con ambas aplicaciones, la aplicación basada en secuencia TCP/UDP se notifica como aplicación y aplicación basada en direcciones se notifica como aplicación extendida.
Para garantizar una seguridad adecuada, utilice la asignación de direcciones cuando la configuración de su red privada predijo el tráfico de aplicaciones hacia o desde servidores de confianza. La asignación de direcciones proporciona eficiencia y precisión en el manejo del tráfico desde una aplicación conocida.
Asignación basada en protocolos IP
Los números de protocolo IP estándar asignan una aplicación al tráfico IP. Al igual que con la asignación de direcciones, para garantizar la seguridad adecuada, utilice la asignación de protocolos IP solo en su red privada para los servidores de confianza.
DPI solo funciona con tráfico TCP o UDP. Por lo tanto, la asignación de protocolo IP no se aplica DPI y no admite funciones DPI como ataques personalizados.
Las firmas de aplicaciones personalizadas basadas en protocolo IP no funcionan como se espera en las versiones de Junos OS de 19.2 a Junos OS versión 19.4. A partir de Junos OS versión 20.1R1, puede usar firmas de aplicaciones personalizadas basadas en protocolo IP.
Solución sugerida:
Si está configurando una política unificada, utilice la configuración de aplicaciones basadas en servicios. Ejemplo:
user@host#
set applications application application-name protocol IP-proto-numberEjemplo:
user@host#
set applications application A1 protocol 2Si usa firewall de aplicaciones heredadas, utilice aplicaciones de protocolo IP predefinidas. Ejemplo
user@host#
set security application-firewall rule-sets rule-set-name rule rule-name match dynamic-application application-nameEjemplo:
user@host#
set security application-firewall rule-sets RS-1 rule R1 match dynamic-application junos:IPP-IGMP
Firmas basadas en flujos TCP/UDP de capa 7
Las firmas personalizadas de capa 7 definen una aplicación que se ejecuta a través de aplicaciones TCP o UDP o de capa 7.
Se requieren firmas de aplicaciones personalizadas basadas en capa 7 para la identificación de varias aplicaciones que se ejecutan en los mismos protocolos de capa 7. Por ejemplo, aplicaciones como Facebook y Yahoo Messenger pueden ejecutar HTTP, pero existe la necesidad de identificarlas como dos aplicaciones diferentes que se ejecutan en el mismo protocolo de capa 7.
Las firmas de aplicaciones personalizadas basadas en capa 7 detectan aplicaciones según los patrones en contextos HTTP. Sin embargo, algunas sesiones HTTP se cifran en SSL. La identificación de la aplicación también puede extraer la información del nombre del servidor o la certificación del servidor de las sesiones TLS o SSL. También puede detectar patrones en carga TCP o UDP en aplicaciones de capa 7.
Ventajas del uso de firmas de aplicaciones personalizadas
Aplique políticas de seguridad exclusivas para su entorno de red según aplicaciones específicas
Visibilizar aplicaciones desconocidas o no clasificados
Identifique las aplicaciones a través de la capa 7 y las aplicaciones en tránsito o temporales, y para lograr una mayor granularidad de las aplicaciones conocidas
Realice un servicio de calidad (QoS) para cualquier aplicación específica
Limitaciones
No se admiten las siguientes características:
Algunas de las expresiones basadas en PCRE y caracteres basados en Ascii (si no se admiten en Hyperscan)
Aplicación del orden entre los miembros en firmas basadas en capa 7
La dirección comodín para firmas basadas en direcciones (capa 3 y capa 4)
Opciones de configuración adicionales para firmas de aplicaciones personalizadas
A partir de Junos OS versión 20.1R1 y si utiliza el paquete de firma de aplicación versión 3248 o posterior, puede configurar las siguientes opciones para firmas de aplicaciones personalizadas:
- Profundidad del patrón de aplicación personalizado
- Límite de bytes de inspección de aplicaciones personalizadas
- Prioridad para aplicaciones personalizadas
Profundidad del patrón de aplicación personalizado
Puede especificar el límite de bytes para appID para identificar el patrón de aplicación personalizado de las aplicaciones que se ejecutan en aplicaciones TCP o UDP o de capa 7.
Para configurar el límite, utilice las siguientes instrucciones de configuración desde la [edit]
jerarquía:
user@host#
set services application-identification application application-name over application signature signature-name member number depth
Ejemplo:
user@host#
set services application-identification application my_custom_address over HTTP signature my_addr_sig1 member m01 depth 256
Para aplicaciones personalizadas de capa 7, la profundidad se considera desde el principio del contexto de capa 7. Para las aplicaciones personalizadas basadas en flujos TCP/UDP, la profundidad se considera desde el principio de la carga TCP/UDP.
Límite de bytes de inspección de aplicaciones personalizadas
Puede establecer el límite de bytes de inspección para el AppID para finalizar la clasificación e identificar la aplicación personalizada en una sesión. Al superar el límite, AppID termina la clasificación de la aplicación. Puede usar esta opción para mejorar la transferencia de datos del tráfico de la aplicación.
Para configurar el límite de bytes de la aplicación, utilice las siguientes instrucciones de configuración desde la jerarquía [edit]:
user@host#
set services application-identification custom-application-byte-limit byte-number
Ejemplo:
user@host#
set services application-identification custom-application-byte-limit 400
Si configuró una firma de aplicación personalizada a través de una aplicación predefinida y si AppID ya ha identificado la aplicación predefinida, el DPI continúa con la identificación de firma personalizada. Aunque la identificación de firmas personalizadas está en curso, la clasificación se marca como no final. Si no se identifica ninguna aplicación personalizada dentro del límite de bytes de la aplicación personalizada y si ya está identificada una aplicación predefinida, AppID concluye la aplicación predefinida como final y descarga la sesión.
Prioridad para aplicaciones personalizadas
En las versiones anteriores a Junos OS 20.1R1, la prioridad predeterminada de las firmas de aplicaciones personalizadas era alta, lo que permitía que las firmas personalizadas tienen prioridad sobre las aplicaciones predefinidas. A partir Junos OS versión 20.1R1 versión, la prioridad predeterminada de la firma de la aplicación personalizada es baja.
Cuando AppID identifica una aplicación personalizada con prioridad baja antes de identificar una aplicación predefinida, espera hasta que la clasificación de aplicaciones predefinida sea definitiva. Si no hay ninguna coincidencia de aplicación predefinida disponible y se identifica a la aplicación personalizada, AppID termina la clasificación con la aplicación personalizada identificada.
Si desea reemplazar la prioridad de aplicaciones predefinidas con firmas de aplicaciones personalizadas, debe establecer explícitamente la prioridad en alto para las firmas de aplicaciones personalizadas.
Para configurar la prioridad alta para aplicaciones personalizadas, utilice las siguientes instrucciones de configuración desde la jerarquía [edit]:
user@host#
set services application-identification application application-name priority high
Ejemplo:
user@host#
set services application-identification application my_custom_address priority high
Tenga en cuenta lo siguiente acerca de la prioridad de las aplicaciones personalizadas:
Para Junos OS versión anterior a la 20.1R1:
La prioridad predeterminada de las aplicaciones personalizadas es alta.
La prioridad de las aplicaciones se considera cuando varias aplicaciones coinciden en el mismo paquete.
Cuando configure una prioridad alta para aplicaciones personalizadas: las aplicaciones personalizadas siempre tienen una prioridad alta sobre las aplicaciones predefinidas.
Cuando configure una prioridad baja para aplicaciones personalizadas: las aplicaciones personalizadas tienen prioridad baja sobre firmas predefinidas basadas en patrones similares y prioridad alta sobre las demás aplicaciones. En estas versiones, no hay opción disponible para cambiar el comportamiento.
Para Junos OS versión 20.1R1 y posteriores:
La prioridad predeterminada de las aplicaciones personalizadas es baja.
La prioridad no depende de las coincidencias en el mismo paquete.
La prioridad de las aplicaciones personalizadas basadas en flujos TCP/UDP de capa 7 funciona como configurada (ya sea alta o baja) con todas las aplicaciones predefinidas.
Las aplicaciones personalizadas basadas en las capas 3 y 4 siempre siguen siendo prioritarias. En este caso, se omite la prioridad configurada. Las aplicaciones personalizadas basadas en las capas 3 y 4 anulan todas las aplicaciones predefinidas; porque estas aplicaciones se activan en el primer paquete de la sesión.
Ejemplo: configuración de firmas Junos OS aplicaciones personalizadas de identificación de aplicaciones
En este ejemplo, se muestra cómo configurar firmas de aplicaciones personalizadas Junos OS identificación de la aplicación.
Recomendamos que solo los usuarios Junos OS avanzados intenten personalizar las firmas de las aplicaciones.
- Antes de comenzar:
- Visión general
- Ejemplos de configuración de aplicaciones personalizadas
- Verificación
Antes de comenzar:
Instale una licencia de función de identificación de aplicación válida en su dispositivo serie SRX. Consulte Administración Junos OS licencias de red
Este ejemplo de configuración se prueba mediante Junos OS versión 20.1R1.
Asegúrese de que su dispositivo de seguridad con el paquete de firma de la aplicación instalado. Consulte Descargar e instalar manualmente el paquete Junos OS firma de la aplicación.
Para usar firmas mejoradas de aplicaciones personalizadas, actualice el paquete de firma de la aplicación más reciente versión 3284 o posterior. Compruebe la versión de firma de la aplicación con el siguiente comando:
user@host> show services application-identification version
Application package version: 3248
Recomendamos que solo los usuarios Junos OS avanzados intenten personalizar las firmas de las aplicaciones.
Visión general
La identificación de aplicaciones admite firmas de aplicaciones personalizadas para detectar aplicaciones a medida que pasan por el dispositivo. Cuando configure firmas personalizadas, asegúrese de que sus firmas son únicas.
Siga estos pasos para configurar firmas de aplicaciones personalizadas:
Defina atributos como contexto, patrones, dirección, intervalo de puertos, entre otros, para que su dispositivo de seguridad coincida con el tráfico de la aplicación.
Configure el límite de inspección, la profundidad del patrón y la prioridad (configuraciones opcionales) para mejorar el proceso de identificación de aplicaciones personalizadas.
Conecte la aplicación personalizada a una política de seguridad que permita o desafila el tráfico de la aplicación.
Ver firmas de aplicaciones y grupos de firmas de aplicaciones con los
show services application-identification application
show services application-identification group
comandos y.
Ejemplos de configuración de aplicaciones personalizadas
Procedimiento
Procedimiento paso a paso
Establecer límite de inspección para aplicaciones personalizadas.
[edit ] user@host# set services application-identification custom-application-byte-limit 400
Establezca prioridad para las aplicaciones personalizadas.
[edit ] user@host# set services application-identification application test cacheable user@host# set services application-identification application test priority high
Configure firmas personalizadas basadas en secuencias TCP:
[edit ] user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 context stream user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 pattern .*install.* user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 direction any user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 depth 100
Configure firmas personalizadas basadas en contexto FTP:
[edit ] user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 depth 60 user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 context ftp-file-name user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 pattern .*install.* user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 direction client-to-server
Configure firmas personalizadas basadas en contexto HTTP.
[edit ] user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 context http-header-host user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 pattern .*agent1.* user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 direction client-to-server user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 depth 100
Configure firmas personalizadas basadas en contexto SSL:
[edit] user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 context ssl-server-name user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 pattern "example\.com" user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 direction client-to-server user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 depth 100
Configure firmas de aplicaciones personalizadas basadas en ICMP:
[edit ] user@host# set services application-identification application my_custom_icmp icmp-mapping type 100 user@host# set services application-identification application my_custom_icmp icmp-mapping code 1
Configure firmas de aplicaciones personalizadas basadas en direcciones de capa 3 o capa 4:
[edit ] user@host# set services application-identification application my_custom_address address-mapping ADDR-SAMPLE filter ip 192.0.2.1/24 user@host# set services application-identification application my_custom_address address-mapping ADDR-SAMPLE filter port-range udp 5000-6000
Nota:Debe proporcionar el intervalo de puertos adecuado y la dirección IP especificada para configurar firmas de aplicaciones personalizadas basadas en direcciones.
Configure firmas de aplicaciones personalizadas basadas en el mapeo del protocolo IP.
[edit] user@host# set services application-identification application my_custom_ip_proto ip-protocol-mapping protocol 2
Cree una política de seguridad con aplicaciones personalizadas como criterios de coincidencia.
user@host# set security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match application any user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application my_custom_http user@host# set security policies from-zone untrust to-zone trust policy 1 then permit
Estamos utilizando my_custom_http para este ejemplo. De forma similar, puede crear diferentes políticas de seguridad y especificar otras aplicaciones personalizadas como my_custom_ftp, my_custom_tcp, my_custom_ssl, my_custom_address, my_custom_icmp, my_custom_ip_proto como condición de coincidencia para la aplicación dinámica según su requisito.
Habilitar el seguimiento de aplicaciones.
user@host# set security zones security-zone trust application-tracking
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show services application-identification
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show services application-identification
custom-application-byte-limit 100; application my_custom_address { address-mapping ADDR-SAMPLE { filter { ip 192.0.2.1/24; port-range { udp 5000-6000; } } } } application my_custom_ftp { over FTP { signature sig1 { member m01 { depth 60; context ftp-file-name; pattern .*install.*; direction client-to-server; } } } } application my_custom_http { over HTTP { signature s1 { member m01 { depth 100; context http-header-host; pattern .*agent1.*; direction client-to-server; } } } } application my_custom_icmp { icmp-mapping { type 100; code 1; } } application my_custom_ip_proto { ip-protocol-mapping { protocol 2; } } application my_custom_ssl { over SSL { signature s1 { member m01 { depth 100; context ssl-server-name; pattern "example\.com"; direction client-to-server; } } } } application my_custom_tcp { over TCP { signature s1 { member m01 { depth 100; context stream; pattern .*install.*; direction any; } } } } application test { cacheable; priority high; }
[edit security policies] user@host# show from-zone untrust to-zone trust { policy 1 { match { source-address any; destination-address any; application any; dynamic-application [my_custom_http]; } then { permit; } } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Verificar las definiciones de aplicaciones personalizadas
Propósito
Muestra las firmas de aplicaciones personalizadas configuradas en su dispositivo. Tenga en cuenta que los nombres de firmas de aplicaciones predefinidos utilizan el prefijo "junos:"
Acción
Desde el modo de configuración, escriba el show services application-identification application detail name
comando.
user@host> show services application-identification application detail test Application Name: test Application type: TEST Description: N/A Application ID: 16777219 Priority: high
Significado
El resultado del comando muestra el nombre, el tipo, la descripción, el ID y la prioridad de la aplicación personalizada.
Consulte mostrar aplicación de identificación de aplicaciones de servicios