EN ESTA PÁGINA
Descripción de las técnicas de identificación de aplicaciones
Descripción de la base de Junos OS de datos de identificación de aplicaciones
Deshabilitar y volver a Junos OS identificación de aplicaciones
Habilitar o deshabilitar la caché del sistema de aplicaciones para los servicios de aplicación
Descripción de la compatibilidad con Jumbo Frames para Junos OS de identificación de aplicaciones
Mejora de la transferencia de datos del tráfico de aplicaciones
Descripción general del tráfico de la aplicación desconocida captura de paquetes
Configurar la captura de paquetes para el tráfico de aplicaciones desconocido
Identificación de la aplicación
La identificación de aplicaciones le permite ver las aplicaciones en su red y aprender cómo funcionan, sus características de comportamiento y su riesgo relativo. Mediante varios mecanismos de identificación diferentes, el ID de la aplicación detecta las aplicaciones en su red sin importar el puerto, el protocolo y otras tácticas evasivas utilizadas. Para obtener más información, consulte los siguientes temas:
Descripción de las técnicas de identificación de aplicaciones
Históricamente, los firewalls han utilizado los números de puerto y dirección IP como una forma de aplicar políticas. Esa estrategia se basa en la suposición de que los usuarios se conectan a la red desde ubicaciones fijas y acceden a recursos particulares mediante números de puerto específicos.
Hoy en día, la red inalámbrica y los dispositivos móviles requieren una estrategia diferente. La forma en que los dispositivos se conectan a la red cambia rápidamente. Una persona puede conectarse a la red utilizando varios dispositivos al mismo tiempo. Ya no es práctico identificar a un usuario, aplicación o dispositivo mediante un grupo de direcciones IP asignadas estáticamente y números de puerto.
En este tema se incluye la siguiente sección:
- Junos OS de aplicaciones de última generación
- Beneficios de la identificación de la aplicación
- Asignación de firmas de aplicaciones
- Secuencia de coincidencia de identificación de aplicación
Junos OS de aplicaciones de última generación
La identificación de aplicaciones de última generación se basa en la funcionalidad de identificación de aplicaciones heredadas y proporciona capacidades de detección más eficaces para aplicaciones evasivas como Skype, BitTorrent y Tor.
Junos OS identificación de aplicaciones reconoce aplicaciones y protocolos web y de otras en diferentes capas de red mediante características distintas del número de puerto. Las aplicaciones se identifican mediante un paquete de protocolo que contiene firmas de aplicaciones y datos de análisis. La identificación se basa en el análisis y la decodificación de protocolos, así como en la administración de sesiones.
El mecanismo de detección tiene su propio feed de datos y se crea para identificar aplicaciones.
Se admiten las siguientes características en la identificación de la aplicación:
Compatibilidad con protocolos y aplicaciones, como transmisión de video, comunicación par a par, redes sociales y mensajes
Identificación de los servicios dentro de las aplicaciones
Capacidad para distinguir las acciones que se inician en una aplicación (como inicio de sesión, navegación, chat y transferencia de archivos)
Compatibilidad con todas las versiones de protocolos y descodificadores de aplicaciones y actualizaciones dinámicas de los descodificadores
Compatibilidad con tráfico cifrado y comprimido y protocolos de tunelización más complejos
Capacidad para identificar todos los protocolos desde la capa 3 hasta la capa 7 y superiores
Beneficios de la identificación de la aplicación
Proporciona control granular sobre aplicaciones, como la transmisión de video, la comunicación par a par, las redes sociales y la mensajes. También identifica servicios, uso de puertos, tecnología subyacente y características de comportamiento dentro de las aplicaciones. Esta visibilidad le permite bloquear aplicaciones evasivas en línea en el firewall serie SRX.
Identifica aplicaciones y permite, bloquea o limita las aplicaciones, independientemente del puerto o del protocolo, incluidas las aplicaciones conocidas por usar técnicas evasivas para evitar su identificación. Esta identificación ayuda a las organizaciones a controlar los tipos de tráfico permitidos para entrar y salir de la red.
Asignación de firmas de aplicaciones
La asignación de firmas de aplicaciones es un método preciso para identificar la aplicación que lanzó tráfico en la red. La asignación de firmas funciona en la capa 7 e examina el contenido real de la carga.
Las aplicaciones se identifican mediante un paquete de protocolo descargable. Las firmas de aplicaciones y la información de análisis de los primeros paquetes se comparan con el contenido de la base de datos. Si la carga contiene la misma información que una entrada en la base de datos, la aplicación del tráfico se identifica como la aplicación asignada a esa entrada de base de datos.
Juniper Networks proporciona una base de datos de identificación de aplicaciones predefinida que contiene entradas para un conjunto completo de aplicaciones conocidas, como FTP y DNS, y aplicaciones que funcionan a través del protocolo HTTP, como Facebook, Kazaa, y muchos programas de mensajes instantáneas. Una suscripción de firma le permite descargar la base de datos de Juniper Networks y actualizar regularmente el contenido a medida que se agregan firmas nuevas predefinidas.
Secuencia de coincidencia de identificación de aplicación
En la Figura 1 se muestra la secuencia en la que se aplican las técnicas de asignación y cómo se determina la aplicación.

En la identificación de la aplicación, cada paquete del flujo pasa por el motor de identificación de la aplicación para su procesamiento hasta que se identifica la aplicación. Los enlaces de aplicaciones se guardan en la caché del sistema de aplicaciones (ASC) para acelerar el futuro proceso de identificación.
En los primeros paquetes de una sesión, las firmas de aplicación identifican una aplicación basada en el análisis de la tipomática del protocolo. Si el motor de identificación de la aplicación aún no ha identificado la aplicación, pasa los paquetes y espera por más datos.
El módulo de identificación de aplicaciones coincide con las aplicaciones tanto para las sesiones de cliente a servidor como de servidor a cliente.
Una vez que se determina la aplicación, se pueden configurar módulos de servicio AppSecure para supervisar y controlar el tráfico para el seguimiento, la priorización, el control de acceso, la detección y la prevención según el ID de aplicación del tráfico.
Seguimiento de aplicaciones (App Track):rastrea e informa las aplicaciones que pasan por el dispositivo.
detección y prevención de intrusiones (DPI): aplica objetos de ataque adecuados a aplicaciones que se ejecutan en puertos no estándar. La identificación de aplicaciones mejora DPI rendimiento óptimo mediante la reducción del alcance de firmas de ataque para aplicaciones sin descodificadores.
Firewall de aplicaciones (AppFW): implementa un firewall de aplicaciones mediante reglas basadas en aplicaciones.
Calidad del servicio de la aplicación (AppQoS ): proporciona priorización de la calidad del servicio basada en el conocimiento de la aplicación.
Enrutamiento avanzado basado en políticas (APBR): clasifica la sesión en función de las aplicaciones y aplica las reglas configuradas para redirigir el tráfico.
Calidad de la experiencia de la aplicación (AppQoE): monitorea el rendimiento de las aplicaciones y, en función de la puntuación, selecciona el mejor vínculo posible para ese tráfico de aplicaciones.
Consulte también
Descripción de la base de Junos OS de datos de identificación de aplicaciones
Una base de datos de firmas predefinida está disponible en el sitio web Juniper Networks Security Engineering. Esta base de datos incluye una biblioteca de firmas de aplicaciones. Consulte Firmas de aplicaciones para obtener más información. Estas páginas de firmas le darán visibilidad sobre la categoría de la aplicación, el grupo, el nivel de riesgo, los puertos, entre otros.
El paquete de firmas predefinido proporciona criterios de identificación para firmas de aplicaciones conocidas y se actualiza periódicamente.
Siempre que se agregan aplicaciones nuevas, el paquete de protocolo se actualiza y se genera para todas las plataformas relevantes. Se empaqueta junto con otros archivos de firma de la aplicación. Este paquete estará disponible para su descarga a través del sitio web de descarga de seguridad.
Un servicio de suscripción le permite descargar regularmente las firmas más recientes para una cobertura actualizada sin tener que crear entradas para su propio uso.
La identificación de aplicaciones está habilitada de forma predeterminada y se activa automáticamente cuando se configuran detección y prevención de intrusiones (DPI), AppFW, AppQoS o AppPista.
Las actualizaciones del Junos OS paquete de firmas de aplicaciones predefinidos están autorizadas por un servicio de suscripción con licencia por separado. Debe instalar la clave de licencia de actualización de firma de la aplicación de identificación de la aplicación en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas proporcionadas por Juniper Networks. Cuando caduca su clave de licencia, puede seguir utilizando el contenido del paquete de firma de la aplicación almacenada localmente, pero no puede actualizar el paquete.
Consulte también
Deshabilitar y volver a Junos OS identificación de aplicaciones
La identificación de aplicaciones está habilitada de forma predeterminada. Puede deshabilitar la identificación de aplicaciones con el CLI.
Para deshabilitar la identificación de la aplicación:
user@host# set services application-identification no-application-identification
Si desea volver a activar la identificación de la aplicación, elimine la instrucción de configuración que especifica la deshabilitación de la identificación de la aplicación:
user@host# delete services application-identification no-application-identification
Cuando termine de configurar el dispositivo, confirme la configuración.
Para comprobar la configuración, escriba el show services application-identification
comando.
Consulte también
Descripción de la caché del sistema de aplicaciones
La caché del sistema de aplicaciones (ASC) guarda la asignación entre un tipo de aplicación y la dirección IP de destino correspondiente, el puerto de destino, el tipo de protocolo y el servicio. Una vez que se identifica una aplicación, su información se guarda en el ASC, de forma que solo se requiere una entrada correspondiente para identificar una aplicación que se ejecuta en un sistema determinado, lo que acelera el proceso de identificación.
De forma predeterminada, el ASC guarda la información de asignación durante 3600 segundos. Sin embargo, puede configurar el valor de tiempo de espera de caché mediante el CLI.
Puede usar el comando para cambiar [edit services application-identification application-system-cache-timeout]
el valor de tiempo de espera de las entradas en la caché del sistema de aplicaciones. El valor de tiempo de espera se puede configurar de 0 a 1.000.000 segundos. La sesión del ASC podría caducar después de 1000 000 segundos.
Las entradas de ASC caducan después del tiempo de espera configurado de ASC. Las entradas del ASC no se actualizan incluso cuando hay aciertos en la caché (que coincide con la entrada del ASC que se encontró) durante el período de tiempo de espera.
Cuando configure una nueva firma de aplicación personalizada o modifique una firma personalizada existente, se borrarán todas las entradas de caché del sistema de aplicaciones existentes para aplicaciones predefinidas y personalizadas.
Cuando elimina o deshabilita una firma de aplicación personalizada y se produce un error en la confirmación de la configuración, la entrada de la caché del sistema de aplicaciones (ASC) no se borrará por completo; en su lugar, se divulgará una aplicación base en la ruta de aplicación personalizada en ASC.
Consulte también
Habilitar o deshabilitar la caché del sistema de aplicaciones para los servicios de aplicación
A partir de Junos OS versión 18.2R1, el comportamiento predeterminado del ASC cambia de la siguiente manera:
- Antes Junos OS versión 18.2R1: ASC está habilitado de forma predeterminada para todos los servicios, incluidos los de seguridad.
-
A partir Junos OS versión 18.2R1 versiones anteriores: EL ASC está habilitado de forma predeterminada; tenga en cuenta la diferencia en la búsqueda de servicios de seguridad:
-
La búsqueda de ASC para servicios de seguridad no está habilitada de forma predeterminada. Es decir: los servicios de seguridad que incluyen políticas de seguridad, firewall de aplicaciones (AppFW), seguimiento de aplicaciones (AppP), calidad del servicio de aplicaciones (AppQoS), Juniper Sky ATP, DPI y AUA no utilizan el ASC de forma predeterminada.
-
La búsqueda de ASC para servicios varios está habilitada de forma predeterminada. Es decir: los servicios varios, como el enrutamiento avanzado basado en políticas (APBR), utilizan el ASC para la identificación de aplicaciones de forma predeterminada.
-
El cambio en el comportamiento predeterminado del ASC afecta a la funcionalidad de AppFW heredada. Con el ASC deshabilitado de forma predeterminada para los servicios de seguridad a partir de Junos OS inicio de la versión 18.2, AppFW no utilizará las entradas presentes en el ASC.
Puede revertir al comportamiento del ASC como en Junos OS versiones anteriores a la versión 18.2 con el set services application-identification application-system-cache security-services
comando.
El dispositivo de seguridad puede volverse susceptible a las técnicas de evasión de aplicaciones si el ASC está habilitado para los servicios de seguridad. Recomendamos que habilite el ASC solo cuando el rendimiento del dispositivo en su configuración predeterminada (deshabilitado para los servicios de seguridad) no sea suficiente para su caso de uso específico.
Utilice los siguientes comandos para activar o deshabilitar el ASC:
Habilite el ASC para los servicios de seguridad:
user@host#
set services application-identification application-system-cache security-servicesDesactive el ASC para servicios varios:
user@host#
set services application-identification application-system-cache no-miscellaneous-servicesDesactive el ASC habilitado para los servicios de seguridad:
user@host#
delete services application-identification application-system-cache security-servicesHabilite el ASC deshabilitado para servicios varios:
user@host#
delete services application-identification application-system-cache no-miscellaneous-services
Puede utilizar el comando show services application-identification application-system-cache
para comprobar el estado del ASC.
La siguiente salida de ejemplo proporciona el estado del ASC:
user@host>
show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
En las versiones anteriores a Junos OS versión 18.2R1, el caché de aplicaciones se habilitaba de forma predeterminada. Puede deshabilitarlo manualmente con el set services application-identification no-application-system-cache
comando.
user@host# set services application-identification no-application-system-cache
Consulte también
Verificar estadísticas de caché del sistema de aplicaciones
Propósito
Compruebe las estadísticas de la caché del sistema de aplicaciones (ASC).
La caché del sistema de aplicaciones mostrará la caché para las aplicaciones de identificación de aplicaciones.
Acción
Desde CLI modo de operación, escriba el show services application-identification application-system-cache
comando.
Prueba de salida
command-name
user@host> show services application-identification application-system-cache application-cache: on nested-application-cache: on cache-unknown-result: on cache-entry-timeout: 3600 seconds
Significado
El resultado muestra un resumen de la información de estadísticas del ASC. Verifique la siguiente información:
Dirección IP: muestra la dirección de destino.
Puerto: muestra el puerto de destino en el servidor.
Protocolo: muestra el tipo de protocolo en el puerto de destino.
Aplicación: muestra el nombre de la aplicación identificada en el puerto de destino.
En para SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500 dispositivos, cuando hay una gran cantidad de entradas ASC (10 000 o más) show services application-identification application-system-cache
y las entradas se mostrarán en la salida del comando, se produce un tiempo de espera de sesión de CLI.
Consulte también
Estadísticas de identificación de aplicaciones Enbox
Los servicios de identificación de aplicaciones proporcionan información estadística por sesión. Estas estadísticas proporcionan a los clientes un perfil de uso de aplicaciones. La función Estadísticas de identificación de aplicaciones de Onbox agrega estadísticas a nivel de aplicación al conjunto AppSecure aplicación. Las estadísticas de aplicación permiten que un administrador acceda a estadísticas acumuladas, así como a las acumuladas a través de intervalos definidos por el usuario.
Con esta función, el administrador puede borrar las estadísticas y configurar los valores de intervalo mientras mantiene los bytes y las estadísticas del recuento de sesión. Dado que el recuento de estadísticas se produce en el tiempo de evento de cierre de la sesión, los recuentos de bytes y sesiones no se actualizan hasta que la sesión se cierra. Juniper Networks dispositivos de seguridad admiten un historial de ocho intervalos que un administrador puede usar para mostrar recuentos de bytes y sesión de aplicaciones. A partir Junos OS 18.3R1, los dispositivos de seguridad admiten un historial de un intervalo para mostrar los recuentos de bytes y sesión de la aplicación.
Si se admite la agrupación de aplicaciones en su configuración de Junos OS, la función Estadística de identificación de aplicaciones enbox admite estadísticas de coincidencia en la caja por grupo. Las estadísticas se mantienen solo para grupos predefinidos.
Volver a instalar un paquete de firma de aplicación no borrará las estadísticas de la aplicación. Si la aplicación está deshabilitada, no habrá tráfico para esa aplicación, pero aún se mantiene en las estadísticas. No importa si va a volver a instalar una aplicación predefinida, ya que las aplicaciones se rastrean según el tipo de aplicación. Para estadísticas de grupo predefinidas, volver a instalar un paquete de seguridad no borrará las estadísticas. Sin embargo, cualquier cambio en las membresías de grupo se actualiza. Por ejemplo, junos:web puede tener 50 aplicaciones en la versión actual y 60 aplicaciones después de una actualización. Las aplicaciones eliminadas y los grupos de aplicaciones que cambien de nombre se manejan de la misma manera que las aplicaciones que se agregan.
El módulo de identificación de aplicaciones mantiene un contador de sesión de 64 bits para cada aplicación en cada unidad de procesamiento de servicios (SPU). El contador se incrementa cuando se identifica una sesión como una aplicación determinada. Otro conjunto de contadores de 64 bits agrega el total de bytes por aplicación en la SPU. También se mantienen los contadores para aplicaciones no especificadas. Las estadísticas de varias SUS para ambas sesiones y bytes se agregan en motor de enrutamiento se presentan a los usuarios.
Las SUS individuales tienen temporizadores de intervalo para pasar estadísticas por interval tiempo. Para configurar el intervalo para la recopilación de estadísticas, utilice el set services application-identification statistics interval time
comando. Siempre que motor de enrutamiento consultas para el intervalo necesario, las estadísticas correspondientes se obtienen de cada SPU, se agregan en el motor de enrutamiento y se presentan al usuario.
Use esta opción clear services application-identification statistics
para borrar todas las estadísticas de aplicaciones, como acumulativos, intervalos, aplicaciones y grupos de aplicaciones.
Use el clear services application-identification counter
comando para restablecer los contadores manualmente. Los contadores se restablecen automáticamente cuando se actualiza o reinicia un dispositivo, cuando se reinicia el flujo o cuando hay un cambio en el temporizador del intervalo.
Utilice el para set services application-identification application-system-cache-timeout value
especificar el valor de tiempo de espera en segundos para las entradas en la caché del sistema de aplicaciones.
A partir de Junos OS versión 15.1X49-D120, en todos los dispositivos de la serie SRX, el intervalo de tiempo predeterminado para la recopilación de estadísticas de identificación de aplicaciones cambia de 1 minuto a 1440 minutos.
Configuración del tamaño de la caché de IMAP
El protocolo de acceso a mensajes de Internet (IMAP) es un protocolo estándar de Internet que utilizan los clientes de correo electrónico para el almacenamiento de correo electrónico y los servicios de recuperación. La caché de IMAP se utiliza para el análisis de protocolos y la generación de contexto. Almacena la información relacionada del análisis de un correo electrónico.
A partir de Junos OS versión 15.1X49-D120, puede configurar para limitar la cantidad máxima de entradas en la caché de IMAP y especificar el valor de tiempo de espera para las entradas en la caché.
Puede utilizar los siguientes comandos para modificar la configuración de la caché de IMAP:
set services application-identification imap-cache imap-cache-size size
set services application-identification imap-cache imap-cache-timeout time in seconds
Ejemplo:
[edit]
user@host# set services application-identification imap-cache imap-cache-size 50000
En este ejemplo, el tamaño de la caché de IMAP está configurado para almacenar 50 000 entradas.
[edit]
user@host# set services application-identification imap-cache-timeout 600
En este ejemplo, el período de tiempo de espera se configura en 600 segundos durante los cuales una entrada de caché permanece en la caché de IMAP.
Consulte también
Descripción de la compatibilidad con Jumbo Frames para Junos OS de identificación de aplicaciones
La identificación de aplicaciones admite el tamaño de trama Jumbo más grande de 9192 bytes. Aunque las tramas Jumbo están habilitadas de forma predeterminada, puede ajustar el tamaño unidad máxima de transmisión (UMT) con el comando [set interfaces
]. Al procesar tramas Jumbo, se puede reducir la sobrecarga de la CPU.
Consulte también
Límite de inspección de identificación de aplicaciones
A partir de Junos OS versiones 15.1X49-D200 y 19.4R1, tiene la flexibilidad para configurar los límites de inspección de identificación de aplicaciones:.
Inspection Limit for TCP and UDP Sessions
Puede establecer el límite de bytes y el límite de paquetes para la identificación de aplicaciones (AppID) en un UDP o en una sesión TCP. La AppID concluye la clasificación según el límite de inspección configurado. Al superar el límite, AppID termina la clasificación de la aplicación.
Si AppID no concluye la clasificación final dentro de los límites configurados y hay disponible una aplicación previamente coincidente, AppID concluye la aplicación como la aplicación previamente coincidente. De lo contrario, la aplicación se concluye como junos:UNKNOWN, siempre que la caché global de AppID esté habilitada. La caché global de AppID está habilitada de forma predeterminada.
Para configurar el límite de bytes y el límite de paquetes, utilice las siguientes instrucciones de configuración desde la
[edit]
jerarquía:-
user@host#
set services application-identification inspection-limit tcp byte-limit byte-limit-number packet-limit packet-limit-number -
user@host#
set services application-identification inspection-limit udp byte-limit byte-limit-number packet-limit packet-limit-number
La tabla 1 proporciona el rango y el valor predeterminado para configurar el límite de bytes y el límite de paquetes para las sesiones TCP y UDP.
Tabla 1: Límite máximo de bytes y límite de bytes de paquete para sesiones TCP y UDP Sesión
Límite
Gama
Valor predeterminado
TCP
Límite de bytes
Del 0 al 4294967295
6000
Para Junos OS versión 15.1X49-D200, el valor predeterminado es 10000.
Límite de paquetes
Del 0 al 4294967295
Cero
UDP
Límite de bytes
Del 0 al 4294967295
Cero
Límite de paquetes
Del 0 al 4294967295
10
Para Junos OS versión 15.1X49-D200, el valor predeterminado es 20.
El límite de bytes excluye el encabezado IP y las longitudes del encabezado TCP/UDP.
Si establece las opciones y las
byte-limit
dospacket-limit
, AppID inspeccionará la sesión hasta que se alcancen ambos límites.Puede deshabilitar el límite de inspección TCP o UDP configurando los
byte-limit
valores correspondientes enpacket-limit
cero.-
Global Offload Byte Limit (Other Sessions)
Puede establecer el límite de bytes de la AppID para finalizar la clasificación e identificar la aplicación en una sesión. Al superar el límite, AppID termina la clasificación de aplicaciones y toma una de las siguientes decisiones:
Si hay disponible una aplicación coincidente previamente, AppID concluye la clasificación de la aplicación como la aplicación previamente coincidente en los siguientes casos:
Cuando appID no concluye la clasificación final dentro del límite de bytes configurado
Cuando la sesión no se descarga debido al comportamiento de tunelización de algunas aplicaciones,
Si no hay disponible una aplicación coincidente previamente, AppID concluye la aplicación como junos:UNKNOWN, siempre que se habilite la caché global de AppID. La caché global de AppID está habilitada de forma predeterminada. Consulte Habilitar o deshabilitar la caché del sistema de aplicaciones para servicios de aplicaciones.
Para configurar el límite de bytes, utilice la siguiente instrucción de configuración desde la
[edit]
jerarquía:set services application-identification global-offload-byte-limit byte-limit-number
El valor predeterminado de la
global-offload-byte-limit
opción es 10000.Puede deshabilitar el límite global de bytes de descarga configurando el valor
global-offload-byte-limit
en cero.El límite de bytes excluye el encabezado IP y las longitudes del encabezado TCP/UDP.
- Opción de activar el modo de rendimiento
- Soporte de identificación de aplicaciones para aplicaciones alojadas en la red de distribución de contenido (CDN)
- Límite máximo de memoria para DPI
Opción de activar el modo de rendimiento
A partir de las versiones 15.1X49-D200 y 19.4R1 de Junos OS, se desaproba el umbral máximo de paquetes para la opción del modo de rendimiento DPI set services application-identification enable-performance-mode max-packet-threshold value
, en lugar de eliminarse de inmediato, para proporcionar compatibilidad con versiones anteriores y una oportunidad para que su configuración cumpla con la nueva configuración. Esta opción se usó para establecer el umbral máximo de paquetes para el modo de rendimiento DPI.
max-packet-threshold
Si su configuración incluye la opción del modo de rendimiento habilitado con versiones de Junos OS 15.1X49-D200 y 19.4R1, AppID concluye la clasificación de aplicaciones al llegar al valor más bajo configurado en el límite de inspección TCP o UDP o en el límite global de bytes de descarga, o en la opción del umbral máximo de paquetes para el modo de rendimiento DPI.
Soporte de identificación de aplicaciones para aplicaciones alojadas en la red de distribución de contenido (CDN)
A partir de las versiones 20.1R1 y 19.1R3 de Junos OS, puede habilitar la identificación de aplicaciones (AppID) para clasificar una aplicación web que se aloja en una red de entrega de contenido (CDN) como AWS, Akamai, Azure, Fastly y Cloudflare, entre otros. Utilice la siguiente instrucción de configuración para habilitar la clasificación de aplicaciones DE CDN:
[edit]
user@host#
user@hots# set service application-identification enable-cdn-application-detection
Cuando se aplica la configuración, AppID identifica y clasifica las aplicaciones reales que se alojan en la CDN.
Límite máximo de memoria para DPI
A partir de Junos OS versión 20.1R1 y 19.1R3, puede configurar el límite máximo de memoria para inspección profunda de paquetes (DPI) mediante la siguiente instrucción de configuración:
user@host#
set services application-identification max-memory memory-value
Puede establecer de 1 a 200000 MB como valor de memoria.
Una vez que el consumo de memoria de JDPI alcanza el 90 % del valor configurado, el DPI detiene el procesamiento de nuevas sesiones.
Mejora de la transferencia de datos del tráfico de aplicaciones
La transferencia de datos del tráfico de la aplicación se puede mejorar estableciendo el inspección profunda de paquetes (DPI) en modo de rendimiento con límite predeterminado de inspección de paquetes como dos paquetes, lo que incluye las direcciones de cliente a servidor y de servidor a cliente. De forma predeterminada, el modo de rendimiento está deshabilitado en dispositivos de seguridad.
Para mejorar la transferencia de datos del tráfico de la aplicación:
Utilice el show services application-identification status
comando para mostrar información detallada sobre el estado de identificación de la aplicación.
muestra el estado de identificación de la aplicación de los servicios (modo de rendimiento DPI habilitado)
user@host> show services application-identification status pic: 2/1 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.2-24.006 (build date Jul 30 2014) Max TCP session packet memory 30000 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 262144 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Slot 1: Application package version 2399 Status Active Version 1.40.0-26.006 (build date May 1 2014) Sessions 0 Slot 2 Application package version 0 Status Free Version Sessions 0
El campo Modo de rendimiento de DPI muestra si el modo de rendimiento de DPI está habilitado o no. Este campo se muestra en la salida CLI comando solo si el modo de rendimiento está habilitado.
Si desea establecer DPI en el modo de precisión predeterminado y deshabilitar el modo de rendimiento, elimine la instrucción de configuración que especifica la habilitación del modo de rendimiento:
Para deshabilitar el modo de rendimiento:
Eliminar el modo de rendimiento.
[edit]
user@host# delete services application-identification enable-performance-modeConfirmar la configuración.
[edit]
user@host# commit
Consulte también
Descripción general del tráfico de la aplicación desconocida captura de paquetes
Puede usar la función de captura de paquetes de aplicaciones desconocidas para recopilar más detalles acerca de una aplicación desconocida en su dispositivo de seguridad. El tráfico de aplicaciones desconocido es el tráfico que no coincide con una firma de aplicación.
Una vez que configuró las opciones de captura de paquetes en su dispositivo de seguridad, el tráfico de aplicaciones desconocido se recopila y almacena en el dispositivo en un archivo de captura de paquetes (.pcap). Puede usar la captura de paquetes de una aplicación desconocida para definir una nueva firma de aplicación personalizada. Puede usar esta firma de aplicación personalizada en una política de seguridad para administrar el tráfico de la aplicación de manera más eficiente.
Puede enviar el archivo .pcap a Juniper Networks para su análisis en caso de que el tráfico se clasifique incorrectamente o para solicitar la creación de una firma de aplicación.
Beneficios de la captura de paquetes del tráfico de aplicaciones desconocido
Puede usar la captura de paquetes del tráfico de aplicaciones desconocido para:
Obtener más información sobre una aplicación desconocida
Analice el tráfico de aplicaciones desconocido para ver si hay amenazas potenciales
Ayudar en la creación de reglas de políticas de seguridad
Habilitar la creación de firmas de aplicaciones personalizadas
Implementar políticas de seguridad que bloqueen todo el tráfico de aplicaciones desconocido podría ocasionar problemas con aplicaciones basadas en la red. Antes de aplicar estos tipos de políticas, asegúrese de validar que este enfoque no provoca problemas en su entorno. Debe analizar detenidamente el tráfico de aplicaciones desconocido y definir la política de seguridad en consecuencia.
Configurar la captura de paquetes para el tráfico de aplicaciones desconocido
Antes de empezar
Para activar la captura automática de paquetes del tráfico de aplicaciones desconocido, debe:
Instale una licencia de función de identificación de aplicación válida en su dispositivo serie SRX. Consulte Administración Junos OS licencias de red.
Descargue e instale el paquete Junos OS de firma de la aplicación. Consulte Descargar e instalar Junos OS paquete de firma de la aplicación.
Asegúrese de tener Junos OS versión 20.2R1 versión posterior en su dispositivo de seguridad.
Visión general
En este ejemplo, aprenderá a configurar la captura automatizada de paquetes de aplicaciones desconocidas en su dispositivo de seguridad con los siguientes pasos:
Establezca opciones de captura de paquetes a nivel global o a nivel de políticas de seguridad.
Configurar el modo de captura de paquetes
(Opcional) Configure las opciones de archivo de captura de paquetes
Acceda al archivo de captura de paquetes generados (. pcap )
Configuración
Para obtener más información sobre las opciones de configuración de captura de paquetes, consulte captura de paquetes antes de comenzar.
- Captura de paquetes para aplicaciones desconocidas en todo el mundo
- Captura de paquetes para aplicaciones desconocidas a nivel de políticas de seguridad
- Selección del modo de captura de paquetes
- Defina opciones de captura de paquetes (opcional)
- Acceso a archivos de captura de paquetes (.pcaps)
Captura de paquetes para aplicaciones desconocidas en todo el mundo
Procedimiento paso a paso
Para habilitar la captura de paquetes a nivel global, utilice el siguiente comando:
user@host#
set services application-identification packet-capture global
Cuando habilita la captura de paquetes a nivel global, su dispositivo de seguridad genera una captura de paquetes para todas las sesiones que contienen tráfico de aplicaciones desconocido.
Captura de paquetes para aplicaciones desconocidas a nivel de políticas de seguridad
Procedimiento paso a paso
Configure la captura de paquetes en un nivel de política de seguridad, utilice el siguiente procedimiento. En este ejemplo, habilitará la captura de paquetes del tráfico de aplicaciones desconocido en la política de seguridad P1.
[edit]
user@host#
set security policies from-zone untrust to-zone trust policy P1 match source-address anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match destination-address anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match application anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:UNKNOWNuser@host#
set security policies from-zone untrust to-zone trust policy P1 then permit application-services packet-capturePara habilitar la captura de paquetes del tráfico de aplicaciones desconocido en el nivel de política de seguridad, debe incluir
junos:UNKNOWN
como condiciones de coincidencia de aplicaciones dinámicas.Cuando configure la política de seguridad (P1), el sistema captura los detalles del paquete para el tráfico de la aplicación que coincide con los criterios de coincidencia de la política de seguridad.
Selección del modo de captura de paquetes
Puede capturar los paquetes para el tráfico de aplicación desconocido en cualquiera de los siguientes modos:
Modo ASC: captura paquetes para aplicaciones desconocidas cuando la aplicación se clasifica como junos:UNKNOWN y tiene una entrada que coincide en la caché del sistema de aplicaciones (ASC). Este modo está habilitado de forma predeterminada.
Modo agresivo: captura todo el tráfico antes de que la AppID termine de clasificar. En este modo, el sistema captura todo el tráfico de la aplicación independientemente de una entrada ASC disponible. La captura de paquetes comienza desde el primer paquete de la primera sesión. Tenga en cuenta que el modo agresivo utiliza mucho más recursos y debe utilizarse con precaución.
Para activar el modo agresivo, utilice el siguiente comando:
[edit]
user@host#
set services application-identification packet-capture aggressive-modeNo recomendamos el uso del modo agresivo, a menos que necesite capturar la primera ocurrencia de un flujo. Como se señaló anteriormente, el comportamiento predeterminado del dispositivo depende del ASC.
Defina opciones de captura de paquetes (opcional)
Procedimiento paso a paso
Opcionalmente, puede establecer los siguientes parámetros de captura de paquetes. De lo contrario, se utilizan las opciones predeterminadas descritas en la captura de paquetes para esta función. En este ejemplo, se definen opciones de captura de paquetes, como el límite máximo de paquetes, el límite máximo de bytes y la cantidad de archivos de captura de paquetes (.pcap).
Establezca la cantidad máxima de paquetes UDP por sesión.
[edit]
user@host#
set services application-identification packet-capture max-packets 10Establezca la cantidad máxima de bytes TCP por sesión.
[edit]
user@host#
set services application-identification packet-capture max-bytes 2048Establezca la cantidad máxima de archivos de captura de paquetes (.pcap) que se crearán antes de que el más antiguo se sobrescribe y se rescriba.
[edit]
user@host#
set services application-identification packet-capture max-files 30
Resultados
Desde el modo de configuración, ingrese el show services application-identification packet-capture
show security policies
comando y el nivel jerárquico para confirmar su configuración. Si el resultado no muestra la configuración deseada, siga las instrucciones de configuración de este ejemplo para corregirla.
La siguiente configuración muestra un ejemplo de captura de paquetes de aplicaciones desconocidos a nivel global con configuraciones opcionales:
[edit services application-identification]
user@host# show packet-capture
{ global; max-packets 10; max-bytes 2048; max-files 30; }
La siguiente configuración muestra un ejemplo de captura de paquetes de aplicaciones desconocidas a nivel de políticas de seguridad con configuraciones opcionales:
[edit services application-identification]
user@host# show packet-capture
{ max-packets 10; max-bytes 2048; max-files 30; }
[edit security policies]
user@host# show
from-zone untrust to-zone trust { policy P1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:UNKNOWN ]; } then { permit { application-services { packet-capture; } } } } }
Cuando termine de configurar el dispositivo, ingrese en commit
el modo de configuración.
Acceso a archivos de captura de paquetes (.pcaps)
Después de completar la configuración y confirmarla, puede ver el archivo de captura de paquetes (.pcap). El sistema genera un archivo de captura de paquetes único para cada dirección IP de destino, puerto de destino y protocolo.
Procedimiento paso a paso
Para ver el archivo de captura de paquetes:
Ir al directorio donde se almacenan los archivos .pcap en el dispositivo.
user@host> start shell % % cd /var/log/pcap
Busque el archivo .pcap .
El archivo .pcap se guarda en destination-IP-address. destination-port.protocol. pcap formato. Ejemplo: 142.250.31.156_443_17.pcap.
user@host:/var/log/pcap # ls -lah total 1544 drwxr-xr-x 2 root wheel 3.0K Jul 27 15:04 . drwxrwxr-x 9 root wheel 3.0K Jul 24 16:23 .. -rw-r----- 1 root wheel 5.0K Jul 24 20:16 142.250.31.156_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 15:03 142.250.64.97_443_17.pcap -rw-r----- 1 root wheel 9.0K Jul 27 14:26 162.223.228.170_443_17.pcap -rw-r----- 1 root wheel 2.1K Jul 26 17:06 17.133.234.32_16385_17.pcap -rw-r----- 1 root wheel 11K Jul 24 16:20 172.217.0.226_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 14:21 172.217.9.234_443_17.pcap -rw-r----- 1 root wheel 31K Jul 27 14:25 172.217.9.238_443_17.pcap -rw-r----- 1 root wheel 17K Jul 24 19:21 52.114.132.87_3478_17.pcap
Puede descargar el archivo .pcap utilizando SFTP o SCP y verlo con Wireshark o su analizador de red preferido.
En la Figura 2 se muestra un archivo .pcap de ejemplo generado para el tráfico de aplicaciones desconocido.
Gráfico 2: Ejemplo de archivo de captura de paquetesNota:En situaciones en las que se produce la pérdida de paquetes, es posible que el dispositivo no pueda capturar todos los detalles relevantes del flujo. En este caso, el archivo .pcap solo reflejará lo que el dispositivo pudo ingerir y procesar.
El dispositivo de seguridad guarda los detalles de la captura de paquetes para todo el tráfico que coincida con los tres criterios de coincidencia (dirección IP de destino, puerto de destino y protocolo) en el mismo archivo independientemente de la configuración global o a nivel de política. El sistema mantiene la caché con la dirección IP de destino, el puerto de destino y el protocolo, y no acepta la captura repetida del mismo tráfico que supera el límite definido. Puede establecer las opciones de archivo de captura de paquetes como en la captura de paquetes.
Verificación
- Ver detalles de la captura de paquetes
- Captura de paquetes de detalles de aplicaciones desconocidas por sesión
Ver detalles de la captura de paquetes
Propósito
Vea los detalles de la captura de paquetes para confirmar que su configuración funciona.
Acción
Utilice el show services application-identification packet-capture counters
comando.
user@host> show services application-identification packet-capture counters pic: 0/0 Counter type Value Total sessions captured 47 Total packets captured 282 Active sessions being captured 1 Sessions ignored because of memory allocation failures 0 Packets ignored because of memory allocation failures 0 Ipc messages ignored because of storage limit 0 Sessions ignored because of buffer-packets limit 0 Packets ignored because of buffer-packets limit 0 Inconclusive sessions captured 4 Inconclusive sessions ignored 0 Cache entries timed out 0
Significado
A partir de este ejemplo de salida, puede obtener detalles como la cantidad de sesiones que se capturan y la cantidad de sesiones ya capturadas. Para obtener más información acerca de los contadores de captura de paquetes, consulte mostrar contadores de captura de paquetes con identificación de aplicaciones de servicios.
Captura de paquetes de detalles de aplicaciones desconocidas por sesión
A partir de Junos OS versión 21.1, su dispositivo de seguridad almacena la captura de paquetes de detalles de aplicaciones desconocidas por sesión. Como resultado de este cambio, el archivo de captura de paquetes (.pcap) ahora incluye el ID de sesión en el nombre del archivo. Es decir, destination-IP-address_destination-port_protocol_session-id. pcap en la ubicación /var/log/pcap.
Al almacenar la captura de paquetes por sesión, el tamaño del archivo .pcap se reduce a medida que guarda los detalles solo por sesión.
Además, hemos mejorado la captura de paquetes de la funcionalidad de aplicaciones desconocidas para capturar detalles de SNI desconocidos