Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Identificación de la aplicación

La identificación de aplicaciones le permite ver las aplicaciones en su red y aprender cómo funcionan, sus características de comportamiento y su riesgo relativo. Mediante varios mecanismos de identificación diferentes, el ID de la aplicación detecta las aplicaciones en su red sin importar el puerto, el protocolo y otras tácticas evasivas utilizadas. Para obtener más información, consulte los siguientes temas:

Descripción de las técnicas de identificación de aplicaciones

Históricamente, los firewalls han utilizado los números de puerto y dirección IP como una forma de aplicar políticas. Esa estrategia se basa en la suposición de que los usuarios se conectan a la red desde ubicaciones fijas y acceden a recursos particulares mediante números de puerto específicos.

Hoy en día, la red inalámbrica y los dispositivos móviles requieren una estrategia diferente. La forma en que los dispositivos se conectan a la red cambia rápidamente. Una persona puede conectarse a la red utilizando varios dispositivos al mismo tiempo. Ya no es práctico identificar a un usuario, aplicación o dispositivo mediante un grupo de direcciones IP asignadas estáticamente y números de puerto.

En este tema se incluye la siguiente sección:

Junos OS de aplicaciones de última generación

La identificación de aplicaciones de última generación se basa en la funcionalidad de identificación de aplicaciones heredadas y proporciona capacidades de detección más eficaces para aplicaciones evasivas como Skype, BitTorrent y Tor.

Junos OS identificación de aplicaciones reconoce aplicaciones y protocolos web y de otras en diferentes capas de red mediante características distintas del número de puerto. Las aplicaciones se identifican mediante un paquete de protocolo que contiene firmas de aplicaciones y datos de análisis. La identificación se basa en el análisis y la decodificación de protocolos, así como en la administración de sesiones.

El mecanismo de detección tiene su propio feed de datos y se crea para identificar aplicaciones.

Se admiten las siguientes características en la identificación de la aplicación:

  • Compatibilidad con protocolos y aplicaciones, como transmisión de video, comunicación par a par, redes sociales y mensajes

  • Identificación de los servicios dentro de las aplicaciones

  • Capacidad para distinguir las acciones que se inician en una aplicación (como inicio de sesión, navegación, chat y transferencia de archivos)

  • Compatibilidad con todas las versiones de protocolos y descodificadores de aplicaciones y actualizaciones dinámicas de los descodificadores

  • Compatibilidad con tráfico cifrado y comprimido y protocolos de tunelización más complejos

  • Capacidad para identificar todos los protocolos desde la capa 3 hasta la capa 7 y superiores

Beneficios de la identificación de la aplicación

  • Proporciona control granular sobre aplicaciones, como la transmisión de video, la comunicación par a par, las redes sociales y la mensajes. También identifica servicios, uso de puertos, tecnología subyacente y características de comportamiento dentro de las aplicaciones. Esta visibilidad le permite bloquear aplicaciones evasivas en línea en el firewall serie SRX.

  • Identifica aplicaciones y permite, bloquea o limita las aplicaciones, independientemente del puerto o del protocolo, incluidas las aplicaciones conocidas por usar técnicas evasivas para evitar su identificación. Esta identificación ayuda a las organizaciones a controlar los tipos de tráfico permitidos para entrar y salir de la red.

Asignación de firmas de aplicaciones

La asignación de firmas de aplicaciones es un método preciso para identificar la aplicación que lanzó tráfico en la red. La asignación de firmas funciona en la capa 7 e examina el contenido real de la carga.

Las aplicaciones se identifican mediante un paquete de protocolo descargable. Las firmas de aplicaciones y la información de análisis de los primeros paquetes se comparan con el contenido de la base de datos. Si la carga contiene la misma información que una entrada en la base de datos, la aplicación del tráfico se identifica como la aplicación asignada a esa entrada de base de datos.

Juniper Networks proporciona una base de datos de identificación de aplicaciones predefinida que contiene entradas para un conjunto completo de aplicaciones conocidas, como FTP y DNS, y aplicaciones que funcionan a través del protocolo HTTP, como Facebook, Kazaa, y muchos programas de mensajes instantáneas. Una suscripción de firma le permite descargar la base de datos de Juniper Networks y actualizar regularmente el contenido a medida que se agregan firmas nuevas predefinidas.

Secuencia de coincidencia de identificación de aplicación

En la Figura 1 se muestra la secuencia en la que se aplican las técnicas de asignación y cómo se determina la aplicación.

Gráfico 1: Secuencia de asignación Mapping Sequence

En la identificación de la aplicación, cada paquete del flujo pasa por el motor de identificación de la aplicación para su procesamiento hasta que se identifica la aplicación. Los enlaces de aplicaciones se guardan en la caché del sistema de aplicaciones (ASC) para acelerar el futuro proceso de identificación.

En los primeros paquetes de una sesión, las firmas de aplicación identifican una aplicación basada en el análisis de la tipomática del protocolo. Si el motor de identificación de la aplicación aún no ha identificado la aplicación, pasa los paquetes y espera por más datos.

El módulo de identificación de aplicaciones coincide con las aplicaciones tanto para las sesiones de cliente a servidor como de servidor a cliente.

Una vez que se determina la aplicación, se pueden configurar módulos de servicio AppSecure para supervisar y controlar el tráfico para el seguimiento, la priorización, el control de acceso, la detección y la prevención según el ID de aplicación del tráfico.

  • Seguimiento de aplicaciones (App Track):rastrea e informa las aplicaciones que pasan por el dispositivo.

  • detección y prevención de intrusiones (DPI): aplica objetos de ataque adecuados a aplicaciones que se ejecutan en puertos no estándar. La identificación de aplicaciones mejora DPI rendimiento óptimo mediante la reducción del alcance de firmas de ataque para aplicaciones sin descodificadores.

  • Firewall de aplicaciones (AppFW): implementa un firewall de aplicaciones mediante reglas basadas en aplicaciones.

  • Calidad del servicio de la aplicación (AppQoS ): proporciona priorización de la calidad del servicio basada en el conocimiento de la aplicación.

  • Enrutamiento avanzado basado en políticas (APBR): clasifica la sesión en función de las aplicaciones y aplica las reglas configuradas para redirigir el tráfico.

  • Calidad de la experiencia de la aplicación (AppQoE): monitorea el rendimiento de las aplicaciones y, en función de la puntuación, selecciona el mejor vínculo posible para ese tráfico de aplicaciones.

Descripción de la base de Junos OS de datos de identificación de aplicaciones

Una base de datos de firmas predefinida está disponible en el sitio web Juniper Networks Security Engineering. Esta base de datos incluye una biblioteca de firmas de aplicaciones. Consulte Firmas de aplicaciones para obtener más información. Estas páginas de firmas le darán visibilidad sobre la categoría de la aplicación, el grupo, el nivel de riesgo, los puertos, entre otros.

El paquete de firmas predefinido proporciona criterios de identificación para firmas de aplicaciones conocidas y se actualiza periódicamente.

Siempre que se agregan aplicaciones nuevas, el paquete de protocolo se actualiza y se genera para todas las plataformas relevantes. Se empaqueta junto con otros archivos de firma de la aplicación. Este paquete estará disponible para su descarga a través del sitio web de descarga de seguridad.

Un servicio de suscripción le permite descargar regularmente las firmas más recientes para una cobertura actualizada sin tener que crear entradas para su propio uso.

La identificación de aplicaciones está habilitada de forma predeterminada y se activa automáticamente cuando se configuran detección y prevención de intrusiones (DPI), AppFW, AppQoS o AppPista.

Nota:

Las actualizaciones del Junos OS paquete de firmas de aplicaciones predefinidos están autorizadas por un servicio de suscripción con licencia por separado. Debe instalar la clave de licencia de actualización de firma de la aplicación de identificación de la aplicación en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas proporcionadas por Juniper Networks. Cuando caduca su clave de licencia, puede seguir utilizando el contenido del paquete de firma de la aplicación almacenada localmente, pero no puede actualizar el paquete.

Deshabilitar y volver a Junos OS identificación de aplicaciones

La identificación de aplicaciones está habilitada de forma predeterminada. Puede deshabilitar la identificación de aplicaciones con el CLI.

Para deshabilitar la identificación de la aplicación:

Si desea volver a activar la identificación de la aplicación, elimine la instrucción de configuración que especifica la deshabilitación de la identificación de la aplicación:

Cuando termine de configurar el dispositivo, confirme la configuración.

Para comprobar la configuración, escriba el show services application-identification comando.

Descripción de la caché del sistema de aplicaciones

La caché del sistema de aplicaciones (ASC) guarda la asignación entre un tipo de aplicación y la dirección IP de destino correspondiente, el puerto de destino, el tipo de protocolo y el servicio. Una vez que se identifica una aplicación, su información se guarda en el ASC, de forma que solo se requiere una entrada correspondiente para identificar una aplicación que se ejecuta en un sistema determinado, lo que acelera el proceso de identificación.

De forma predeterminada, el ASC guarda la información de asignación durante 3600 segundos. Sin embargo, puede configurar el valor de tiempo de espera de caché mediante el CLI.

Puede usar el comando para cambiar [edit services application-identification application-system-cache-timeout] el valor de tiempo de espera de las entradas en la caché del sistema de aplicaciones. El valor de tiempo de espera se puede configurar de 0 a 1.000.000 segundos. La sesión del ASC podría caducar después de 1000 000 segundos.

Las entradas de ASC caducan después del tiempo de espera configurado de ASC. Las entradas del ASC no se actualizan incluso cuando hay aciertos en la caché (que coincide con la entrada del ASC que se encontró) durante el período de tiempo de espera.

Nota:

Cuando configure una nueva firma de aplicación personalizada o modifique una firma personalizada existente, se borrarán todas las entradas de caché del sistema de aplicaciones existentes para aplicaciones predefinidas y personalizadas.

Nota:

Cuando elimina o deshabilita una firma de aplicación personalizada y se produce un error en la confirmación de la configuración, la entrada de la caché del sistema de aplicaciones (ASC) no se borrará por completo; en su lugar, se divulgará una aplicación base en la ruta de aplicación personalizada en ASC.

Habilitar o deshabilitar la caché del sistema de aplicaciones para los servicios de aplicación

A partir de Junos OS versión 18.2R1, el comportamiento predeterminado del ASC cambia de la siguiente manera:

  • Antes Junos OS versión 18.2R1: ASC está habilitado de forma predeterminada para todos los servicios, incluidos los de seguridad.
  • A partir Junos OS versión 18.2R1 versiones anteriores: EL ASC está habilitado de forma predeterminada; tenga en cuenta la diferencia en la búsqueda de servicios de seguridad:

    • La búsqueda de ASC para servicios de seguridad no está habilitada de forma predeterminada. Es decir: los servicios de seguridad que incluyen políticas de seguridad, firewall de aplicaciones (AppFW), seguimiento de aplicaciones (AppP), calidad del servicio de aplicaciones (AppQoS), Juniper Sky ATP, DPI y AUA no utilizan el ASC de forma predeterminada.

    • La búsqueda de ASC para servicios varios está habilitada de forma predeterminada. Es decir: los servicios varios, como el enrutamiento avanzado basado en políticas (APBR), utilizan el ASC para la identificación de aplicaciones de forma predeterminada.

Nota:

El cambio en el comportamiento predeterminado del ASC afecta a la funcionalidad de AppFW heredada. Con el ASC deshabilitado de forma predeterminada para los servicios de seguridad a partir de Junos OS inicio de la versión 18.2, AppFW no utilizará las entradas presentes en el ASC.

Puede revertir al comportamiento del ASC como en Junos OS versiones anteriores a la versión 18.2 con el set services application-identification application-system-cache security-services comando.

PRECAUCIÓN:

El dispositivo de seguridad puede volverse susceptible a las técnicas de evasión de aplicaciones si el ASC está habilitado para los servicios de seguridad. Recomendamos que habilite el ASC solo cuando el rendimiento del dispositivo en su configuración predeterminada (deshabilitado para los servicios de seguridad) no sea suficiente para su caso de uso específico.

Utilice los siguientes comandos para activar o deshabilitar el ASC:

  • Habilite el ASC para los servicios de seguridad:

  • Desactive el ASC para servicios varios:

  • Desactive el ASC habilitado para los servicios de seguridad:

  • Habilite el ASC deshabilitado para servicios varios:

Puede utilizar el comando show services application-identification application-system-cache para comprobar el estado del ASC.

La siguiente salida de ejemplo proporciona el estado del ASC:

En las versiones anteriores a Junos OS versión 18.2R1, el caché de aplicaciones se habilitaba de forma predeterminada. Puede deshabilitarlo manualmente con el set services application-identification no-application-system-cache comando.

Verificar estadísticas de caché del sistema de aplicaciones

Propósito

Compruebe las estadísticas de la caché del sistema de aplicaciones (ASC).

Nota:

La caché del sistema de aplicaciones mostrará la caché para las aplicaciones de identificación de aplicaciones.

Acción

Desde CLI modo de operación, escriba el show services application-identification application-system-cache comando.

Prueba de salida

command-name

Significado

El resultado muestra un resumen de la información de estadísticas del ASC. Verifique la siguiente información:

  • Dirección IP: muestra la dirección de destino.

  • Puerto: muestra el puerto de destino en el servidor.

  • Protocolo: muestra el tipo de protocolo en el puerto de destino.

  • Aplicación: muestra el nombre de la aplicación identificada en el puerto de destino.

Nota:

En para SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500 dispositivos, cuando hay una gran cantidad de entradas ASC (10 000 o más) show services application-identification application-system-cachey las entradas se mostrarán en la salida del comando, se produce un tiempo de espera de sesión de CLI.

Estadísticas de identificación de aplicaciones Enbox

Los servicios de identificación de aplicaciones proporcionan información estadística por sesión. Estas estadísticas proporcionan a los clientes un perfil de uso de aplicaciones. La función Estadísticas de identificación de aplicaciones de Onbox agrega estadísticas a nivel de aplicación al conjunto AppSecure aplicación. Las estadísticas de aplicación permiten que un administrador acceda a estadísticas acumuladas, así como a las acumuladas a través de intervalos definidos por el usuario.

Con esta función, el administrador puede borrar las estadísticas y configurar los valores de intervalo mientras mantiene los bytes y las estadísticas del recuento de sesión. Dado que el recuento de estadísticas se produce en el tiempo de evento de cierre de la sesión, los recuentos de bytes y sesiones no se actualizan hasta que la sesión se cierra. Juniper Networks dispositivos de seguridad admiten un historial de ocho intervalos que un administrador puede usar para mostrar recuentos de bytes y sesión de aplicaciones. A partir Junos OS 18.3R1, los dispositivos de seguridad admiten un historial de un intervalo para mostrar los recuentos de bytes y sesión de la aplicación.

Si se admite la agrupación de aplicaciones en su configuración de Junos OS, la función Estadística de identificación de aplicaciones enbox admite estadísticas de coincidencia en la caja por grupo. Las estadísticas se mantienen solo para grupos predefinidos.

Volver a instalar un paquete de firma de aplicación no borrará las estadísticas de la aplicación. Si la aplicación está deshabilitada, no habrá tráfico para esa aplicación, pero aún se mantiene en las estadísticas. No importa si va a volver a instalar una aplicación predefinida, ya que las aplicaciones se rastrean según el tipo de aplicación. Para estadísticas de grupo predefinidas, volver a instalar un paquete de seguridad no borrará las estadísticas. Sin embargo, cualquier cambio en las membresías de grupo se actualiza. Por ejemplo, junos:web puede tener 50 aplicaciones en la versión actual y 60 aplicaciones después de una actualización. Las aplicaciones eliminadas y los grupos de aplicaciones que cambien de nombre se manejan de la misma manera que las aplicaciones que se agregan.

El módulo de identificación de aplicaciones mantiene un contador de sesión de 64 bits para cada aplicación en cada unidad de procesamiento de servicios (SPU). El contador se incrementa cuando se identifica una sesión como una aplicación determinada. Otro conjunto de contadores de 64 bits agrega el total de bytes por aplicación en la SPU. También se mantienen los contadores para aplicaciones no especificadas. Las estadísticas de varias SUS para ambas sesiones y bytes se agregan en motor de enrutamiento se presentan a los usuarios.

Las SUS individuales tienen temporizadores de intervalo para pasar estadísticas por interval tiempo. Para configurar el intervalo para la recopilación de estadísticas, utilice el set services application-identification statistics interval time comando. Siempre que motor de enrutamiento consultas para el intervalo necesario, las estadísticas correspondientes se obtienen de cada SPU, se agregan en el motor de enrutamiento y se presentan al usuario.

Use esta opción clear services application-identification statistics para borrar todas las estadísticas de aplicaciones, como acumulativos, intervalos, aplicaciones y grupos de aplicaciones.

Use el clear services application-identification counter comando para restablecer los contadores manualmente. Los contadores se restablecen automáticamente cuando se actualiza o reinicia un dispositivo, cuando se reinicia el flujo o cuando hay un cambio en el temporizador del intervalo.

Utilice el para set services application-identification application-system-cache-timeout value especificar el valor de tiempo de espera en segundos para las entradas en la caché del sistema de aplicaciones.

A partir de Junos OS versión 15.1X49-D120, en todos los dispositivos de la serie SRX, el intervalo de tiempo predeterminado para la recopilación de estadísticas de identificación de aplicaciones cambia de 1 minuto a 1440 minutos.

Configuración del tamaño de la caché de IMAP

El protocolo de acceso a mensajes de Internet (IMAP) es un protocolo estándar de Internet que utilizan los clientes de correo electrónico para el almacenamiento de correo electrónico y los servicios de recuperación. La caché de IMAP se utiliza para el análisis de protocolos y la generación de contexto. Almacena la información relacionada del análisis de un correo electrónico.

A partir de Junos OS versión 15.1X49-D120, puede configurar para limitar la cantidad máxima de entradas en la caché de IMAP y especificar el valor de tiempo de espera para las entradas en la caché.

Puede utilizar los siguientes comandos para modificar la configuración de la caché de IMAP:

set services application-identification imap-cache imap-cache-size size

set services application-identification imap-cache imap-cache-timeout time in seconds

Ejemplo:

En este ejemplo, el tamaño de la caché de IMAP está configurado para almacenar 50 000 entradas.

En este ejemplo, el período de tiempo de espera se configura en 600 segundos durante los cuales una entrada de caché permanece en la caché de IMAP.

Descripción de la compatibilidad con Jumbo Frames para Junos OS de identificación de aplicaciones

La identificación de aplicaciones admite el tamaño de trama Jumbo más grande de 9192 bytes. Aunque las tramas Jumbo están habilitadas de forma predeterminada, puede ajustar el tamaño unidad máxima de transmisión (UMT) con el comando [set interfaces]. Al procesar tramas Jumbo, se puede reducir la sobrecarga de la CPU.

Límite de inspección de identificación de aplicaciones

A partir de Junos OS versiones 15.1X49-D200 y 19.4R1, tiene la flexibilidad para configurar los límites de inspección de identificación de aplicaciones:.

  • Inspection Limit for TCP and UDP Sessions

    Puede establecer el límite de bytes y el límite de paquetes para la identificación de aplicaciones (AppID) en un UDP o en una sesión TCP. La AppID concluye la clasificación según el límite de inspección configurado. Al superar el límite, AppID termina la clasificación de la aplicación.

    Si AppID no concluye la clasificación final dentro de los límites configurados y hay disponible una aplicación previamente coincidente, AppID concluye la aplicación como la aplicación previamente coincidente. De lo contrario, la aplicación se concluye como junos:UNKNOWN, siempre que la caché global de AppID esté habilitada. La caché global de AppID está habilitada de forma predeterminada.

    Para configurar el límite de bytes y el límite de paquetes, utilice las siguientes instrucciones de configuración desde la [edit] jerarquía:

    La tabla 1 proporciona el rango y el valor predeterminado para configurar el límite de bytes y el límite de paquetes para las sesiones TCP y UDP.

    Tabla 1: Límite máximo de bytes y límite de bytes de paquete para sesiones TCP y UDP

    Sesión

    Límite

    Gama

    Valor predeterminado

    TCP

    Límite de bytes

    Del 0 al 4294967295

    6000

    Para Junos OS versión 15.1X49-D200, el valor predeterminado es 10000.

    Límite de paquetes

    Del 0 al 4294967295

    Cero

    UDP

    Límite de bytes

    Del 0 al 4294967295

    Cero

    Límite de paquetes

    Del 0 al 4294967295

    10

    Para Junos OS versión 15.1X49-D200, el valor predeterminado es 20.

    El límite de bytes excluye el encabezado IP y las longitudes del encabezado TCP/UDP.

    Si establece las opciones y las byte-limit dos packet-limit , AppID inspeccionará la sesión hasta que se alcancen ambos límites.

    Puede deshabilitar el límite de inspección TCP o UDP configurando los byte-limit valores correspondientes en packet-limit cero.

  • Global Offload Byte Limit (Other Sessions)

    Puede establecer el límite de bytes de la AppID para finalizar la clasificación e identificar la aplicación en una sesión. Al superar el límite, AppID termina la clasificación de aplicaciones y toma una de las siguientes decisiones:

    • Si hay disponible una aplicación coincidente previamente, AppID concluye la clasificación de la aplicación como la aplicación previamente coincidente en los siguientes casos:

      • Cuando appID no concluye la clasificación final dentro del límite de bytes configurado

      • Cuando la sesión no se descarga debido al comportamiento de tunelización de algunas aplicaciones,

    • Si no hay disponible una aplicación coincidente previamente, AppID concluye la aplicación como junos:UNKNOWN, siempre que se habilite la caché global de AppID. La caché global de AppID está habilitada de forma predeterminada. Consulte Habilitar o deshabilitar la caché del sistema de aplicaciones para servicios de aplicaciones.

    Para configurar el límite de bytes, utilice la siguiente instrucción de configuración desde la [edit] jerarquía:

    El valor predeterminado de la global-offload-byte-limit opción es 10000.

    Puede deshabilitar el límite global de bytes de descarga configurando el valor global-offload-byte-limit en cero.

    El límite de bytes excluye el encabezado IP y las longitudes del encabezado TCP/UDP.

Opción de activar el modo de rendimiento

A partir de las versiones 15.1X49-D200 y 19.4R1 de Junos OS, se desaproba el umbral máximo de paquetes para la opción del modo de rendimiento DPI set services application-identification enable-performance-mode max-packet-threshold value , en lugar de eliminarse de inmediato, para proporcionar compatibilidad con versiones anteriores y una oportunidad para que su configuración cumpla con la nueva configuración. Esta opción se usó para establecer el umbral máximo de paquetes para el modo de rendimiento DPI.

max-packet-threshold Si su configuración incluye la opción del modo de rendimiento habilitado con versiones de Junos OS 15.1X49-D200 y 19.4R1, AppID concluye la clasificación de aplicaciones al llegar al valor más bajo configurado en el límite de inspección TCP o UDP o en el límite global de bytes de descarga, o en la opción del umbral máximo de paquetes para el modo de rendimiento DPI.

Soporte de identificación de aplicaciones para aplicaciones alojadas en la red de distribución de contenido (CDN)

A partir de las versiones 20.1R1 y 19.1R3 de Junos OS, puede habilitar la identificación de aplicaciones (AppID) para clasificar una aplicación web que se aloja en una red de entrega de contenido (CDN) como AWS, Akamai, Azure, Fastly y Cloudflare, entre otros. Utilice la siguiente instrucción de configuración para habilitar la clasificación de aplicaciones DE CDN:

[edit] 
user@host# user@hots# set service application-identification enable-cdn-application-detection 

Cuando se aplica la configuración, AppID identifica y clasifica las aplicaciones reales que se alojan en la CDN.

Límite máximo de memoria para DPI

A partir de Junos OS versión 20.1R1 y 19.1R3, puede configurar el límite máximo de memoria para inspección profunda de paquetes (DPI) mediante la siguiente instrucción de configuración:

Puede establecer de 1 a 200000 MB como valor de memoria.

Una vez que el consumo de memoria de JDPI alcanza el 90 % del valor configurado, el DPI detiene el procesamiento de nuevas sesiones.

Mejora de la transferencia de datos del tráfico de aplicaciones

La transferencia de datos del tráfico de la aplicación se puede mejorar estableciendo el inspección profunda de paquetes (DPI) en modo de rendimiento con límite predeterminado de inspección de paquetes como dos paquetes, lo que incluye las direcciones de cliente a servidor y de servidor a cliente. De forma predeterminada, el modo de rendimiento está deshabilitado en dispositivos de seguridad.

Para mejorar la transferencia de datos del tráfico de la aplicación:

  1. Habilite el modo de rendimiento DPI.
  2. (Opcional) Puede establecer el umbral máximo de paquetes para el modo de rendimiento DPI, incluidas las direcciones de cliente a servidor y de servidor a cliente.

    Puede establecer el límite de inspección de paquetes del 1 al 100.

    A partir de las versiones 15.1X49-D200 y 19.4R1 de Junos OS, la opción de modo de rendimiento DPI set services application-identification enable-performance-mode max-packet-threshold value deja de tener el umbral máximo de paquetes (en lugar de eliminarse de inmediato) para proporcionar compatibilidad con versiones anteriores y una oportunidad para que su configuración cumpla con la nueva configuración. Esta opción se usó para establecer el umbral máximo de paquetes para el modo de rendimiento DPI.

  3. Confirmar la configuración.

Utilice el show services application-identification status comando para mostrar información detallada sobre el estado de identificación de la aplicación.

muestra el estado de identificación de la aplicación de los servicios (modo de rendimiento DPI habilitado)

El campo Modo de rendimiento de DPI muestra si el modo de rendimiento de DPI está habilitado o no. Este campo se muestra en la salida CLI comando solo si el modo de rendimiento está habilitado.

Si desea establecer DPI en el modo de precisión predeterminado y deshabilitar el modo de rendimiento, elimine la instrucción de configuración que especifica la habilitación del modo de rendimiento:

Para deshabilitar el modo de rendimiento:

  1. Eliminar el modo de rendimiento.

  2. Confirmar la configuración.

Descripción general del tráfico de la aplicación desconocida captura de paquetes

Puede usar la función de captura de paquetes de aplicaciones desconocidas para recopilar más detalles acerca de una aplicación desconocida en su dispositivo de seguridad. El tráfico de aplicaciones desconocido es el tráfico que no coincide con una firma de aplicación.

Una vez que configuró las opciones de captura de paquetes en su dispositivo de seguridad, el tráfico de aplicaciones desconocido se recopila y almacena en el dispositivo en un archivo de captura de paquetes (.pcap). Puede usar la captura de paquetes de una aplicación desconocida para definir una nueva firma de aplicación personalizada. Puede usar esta firma de aplicación personalizada en una política de seguridad para administrar el tráfico de la aplicación de manera más eficiente.

Puede enviar el archivo .pcap a Juniper Networks para su análisis en caso de que el tráfico se clasifique incorrectamente o para solicitar la creación de una firma de aplicación.

Beneficios de la captura de paquetes del tráfico de aplicaciones desconocido

Puede usar la captura de paquetes del tráfico de aplicaciones desconocido para:

  • Obtener más información sobre una aplicación desconocida

  • Analice el tráfico de aplicaciones desconocido para ver si hay amenazas potenciales

  • Ayudar en la creación de reglas de políticas de seguridad

  • Habilitar la creación de firmas de aplicaciones personalizadas

Nota:

Implementar políticas de seguridad que bloqueen todo el tráfico de aplicaciones desconocido podría ocasionar problemas con aplicaciones basadas en la red. Antes de aplicar estos tipos de políticas, asegúrese de validar que este enfoque no provoca problemas en su entorno. Debe analizar detenidamente el tráfico de aplicaciones desconocido y definir la política de seguridad en consecuencia.

Configurar la captura de paquetes para el tráfico de aplicaciones desconocido

Antes de empezar

Para activar la captura automática de paquetes del tráfico de aplicaciones desconocido, debe:

Visión general

En este ejemplo, aprenderá a configurar la captura automatizada de paquetes de aplicaciones desconocidas en su dispositivo de seguridad con los siguientes pasos:

  • Establezca opciones de captura de paquetes a nivel global o a nivel de políticas de seguridad.

  • Configurar el modo de captura de paquetes

  • (Opcional) Configure las opciones de archivo de captura de paquetes

  • Acceda al archivo de captura de paquetes generados (. pcap )

Configuración

Para obtener más información sobre las opciones de configuración de captura de paquetes, consulte captura de paquetes antes de comenzar.

Captura de paquetes para aplicaciones desconocidas en todo el mundo

Procedimiento paso a paso
  • Para habilitar la captura de paquetes a nivel global, utilice el siguiente comando:

Cuando habilita la captura de paquetes a nivel global, su dispositivo de seguridad genera una captura de paquetes para todas las sesiones que contienen tráfico de aplicaciones desconocido.

Captura de paquetes para aplicaciones desconocidas a nivel de políticas de seguridad

Procedimiento paso a paso
  • Configure la captura de paquetes en un nivel de política de seguridad, utilice el siguiente procedimiento. En este ejemplo, habilitará la captura de paquetes del tráfico de aplicaciones desconocido en la política de seguridad P1.

    Para habilitar la captura de paquetes del tráfico de aplicaciones desconocido en el nivel de política de seguridad, debe incluir junos:UNKNOWN como condiciones de coincidencia de aplicaciones dinámicas.

    Cuando configure la política de seguridad (P1), el sistema captura los detalles del paquete para el tráfico de la aplicación que coincide con los criterios de coincidencia de la política de seguridad.

Selección del modo de captura de paquetes

Puede capturar los paquetes para el tráfico de aplicación desconocido en cualquiera de los siguientes modos:

  • Modo ASC: captura paquetes para aplicaciones desconocidas cuando la aplicación se clasifica como junos:UNKNOWN y tiene una entrada que coincide en la caché del sistema de aplicaciones (ASC). Este modo está habilitado de forma predeterminada.

  • Modo agresivo: captura todo el tráfico antes de que la AppID termine de clasificar. En este modo, el sistema captura todo el tráfico de la aplicación independientemente de una entrada ASC disponible. La captura de paquetes comienza desde el primer paquete de la primera sesión. Tenga en cuenta que el modo agresivo utiliza mucho más recursos y debe utilizarse con precaución.

    Para activar el modo agresivo, utilice el siguiente comando:

    No recomendamos el uso del modo agresivo, a menos que necesite capturar la primera ocurrencia de un flujo. Como se señaló anteriormente, el comportamiento predeterminado del dispositivo depende del ASC.

Defina opciones de captura de paquetes (opcional)

Procedimiento paso a paso

Opcionalmente, puede establecer los siguientes parámetros de captura de paquetes. De lo contrario, se utilizan las opciones predeterminadas descritas en la captura de paquetes para esta función. En este ejemplo, se definen opciones de captura de paquetes, como el límite máximo de paquetes, el límite máximo de bytes y la cantidad de archivos de captura de paquetes (.pcap).

  1. Establezca la cantidad máxima de paquetes UDP por sesión.

    [edit]
    user@host# set services application-identification packet-capture max-packets 10  
    

  2. Establezca la cantidad máxima de bytes TCP por sesión.

  3. Establezca la cantidad máxima de archivos de captura de paquetes (.pcap) que se crearán antes de que el más antiguo se sobrescribe y se rescriba.

Resultados

Desde el modo de configuración, ingrese el show services application-identification packet-capture show security policies comando y el nivel jerárquico para confirmar su configuración. Si el resultado no muestra la configuración deseada, siga las instrucciones de configuración de este ejemplo para corregirla.

La siguiente configuración muestra un ejemplo de captura de paquetes de aplicaciones desconocidos a nivel global con configuraciones opcionales:

La siguiente configuración muestra un ejemplo de captura de paquetes de aplicaciones desconocidas a nivel de políticas de seguridad con configuraciones opcionales:

Cuando termine de configurar el dispositivo, ingrese en commit el modo de configuración.

Acceso a archivos de captura de paquetes (.pcaps)

Después de completar la configuración y confirmarla, puede ver el archivo de captura de paquetes (.pcap). El sistema genera un archivo de captura de paquetes único para cada dirección IP de destino, puerto de destino y protocolo.

Procedimiento paso a paso

Para ver el archivo de captura de paquetes:

  1. Ir al directorio donde se almacenan los archivos .pcap en el dispositivo.

  2. Busque el archivo .pcap .

    El archivo .pcap se guarda en destination-IP-address. destination-port.protocol. pcap formato. Ejemplo: 142.250.31.156_443_17.pcap.

    Puede descargar el archivo .pcap utilizando SFTP o SCP y verlo con Wireshark o su analizador de red preferido.

    En la Figura 2 se muestra un archivo .pcap de ejemplo generado para el tráfico de aplicaciones desconocido.

    Gráfico 2: Ejemplo de archivo de captura de paquetes Sample Packet Capture File
    Nota:

    En situaciones en las que se produce la pérdida de paquetes, es posible que el dispositivo no pueda capturar todos los detalles relevantes del flujo. En este caso, el archivo .pcap solo reflejará lo que el dispositivo pudo ingerir y procesar.

El dispositivo de seguridad guarda los detalles de la captura de paquetes para todo el tráfico que coincida con los tres criterios de coincidencia (dirección IP de destino, puerto de destino y protocolo) en el mismo archivo independientemente de la configuración global o a nivel de política. El sistema mantiene la caché con la dirección IP de destino, el puerto de destino y el protocolo, y no acepta la captura repetida del mismo tráfico que supera el límite definido. Puede establecer las opciones de archivo de captura de paquetes como en la captura de paquetes.

Verificación

Ver detalles de la captura de paquetes

Propósito

Vea los detalles de la captura de paquetes para confirmar que su configuración funciona.

Acción

Utilice el show services application-identification packet-capture counters comando.

Significado

A partir de este ejemplo de salida, puede obtener detalles como la cantidad de sesiones que se capturan y la cantidad de sesiones ya capturadas. Para obtener más información acerca de los contadores de captura de paquetes, consulte mostrar contadores de captura de paquetes con identificación de aplicaciones de servicios.

Captura de paquetes de detalles de aplicaciones desconocidas por sesión

A partir de Junos OS versión 21.1, su dispositivo de seguridad almacena la captura de paquetes de detalles de aplicaciones desconocidas por sesión. Como resultado de este cambio, el archivo de captura de paquetes (.pcap) ahora incluye el ID de sesión en el nombre del archivo. Es decir, destination-IP-address_destination-port_protocol_session-id. pcap en la ubicación /var/log/pcap.

Al almacenar la captura de paquetes por sesión, el tamaño del archivo .pcap se reduce a medida que guarda los detalles solo por sesión.

Además, hemos mejorado la captura de paquetes de la funcionalidad de aplicaciones desconocidas para capturar detalles de SNI desconocidos

Tabla del historial de versiones
Lanzamiento
Descripción
19.4R1
A partir de Junos OS versiones 15.1X49-D200 y 19.4R1, tiene la flexibilidad para configurar los límites de inspección de identificación de aplicaciones:
19.4R1
A partir de Junos OS versiones 15.1X49-D200 y 19.4R1, el umbral máximo de paquetes para la opción de modo de rendimiento DPI establecer servicios de identificación de aplicaciones habilitar-modo de rendimiento valor de umbral máximo de paquetes está desaprobado
18.2R1
A partir de Junos OS versión 18.2R1, el comportamiento predeterminado del ASC cambia
18.2R1
En las versiones anteriores a Junos OS versión 18.2R1, el caché de aplicaciones se habilitaba de forma predeterminada. Puede deshabilitarlo manualmente con el comando set services application-identification no-application-system-cache.
15.1X49-D120
A partir de Junos OS versión 15.1X49-D120, puede configurar para limitar la cantidad máxima de entradas en la caché de IMAP y especificar el valor de tiempo de espera para las entradas en la caché.