Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Identificación de la aplicación de IDP

Juniper Networks ofrece firmas de aplicaciones predefinidas que detectan aplicaciones del Protocolo de control de transmisión (TCP) y del protocolo de datagrama de usuario (UDP) que se ejecutan en puertos no estándar.

Para obtener más información, consulte los temas siguientes:

Descripción de la identificación de aplicaciones para desplazados internos

Juniper Networks ofrece firmas de aplicaciones predefinidas que detectan aplicaciones del Protocolo de control de transmisión (TCP) y del protocolo de datagrama de usuario (UDP) que se ejecutan en puertos no estándar. La identificación de estas aplicaciones permite que la detección y prevención de intrusiones (IDP) aplique objetos de ataque adecuados a aplicaciones que se ejecutan en puertos no estándar. También mejora el rendimiento al reducir el alcance de las firmas de ataque para aplicaciones sin decodificadores.

El sensor IDP monitorea la red y detecta tráfico de red sospechoso y anómalo según reglas específicas definidas en bases de reglas de IDP. Aplica objetos de ataque al tráfico basado en protocolos o aplicaciones. Las firmas de aplicación permiten que el sensor identifique aplicaciones conocidas y desconocidas que se ejecutan en puertos no estándar y que aplique los objetos de ataque correctos.

Las firmas de aplicación están disponibles como parte del paquete de seguridad proporcionado por Juniper Networks. Puede descargar firmas de aplicaciones predefinidas junto con las actualizaciones del paquete de seguridad. No puede crear firmas de aplicación. Para obtener más información sobre cómo descargar el paquete de seguridad, consulte Actualización manual de la base de datos de firmas de IDP.

En todos los dispositivos de la serie SRX de sucursal, la cantidad máxima admitida de entradas en la tabla ASC es de 100 000 entradas. Dado que el búfer de tierra de usuario tiene un tamaño fijo de 1 MB como limitación, la tabla muestra un máximo de 38 837 entradas de caché.

La cantidad máxima de sesiones de IDP compatibles es de 16 384 en dispositivos SRX320 y de 32 768 en dispositivos SRX345.

La cantidad máxima de sesiones de IDP compatibles es de 8000 en el perfil predeterminado de dispositivos NFX150-C-S1 y de 16 000 en el perfil SD-WAN de dispositivos NFX150-C-S1. La cantidad máxima de sesiones de IDP admitidas es de 8000 en el perfil predeterminado de NFX150-S1 y de 64 000 en el perfil SD-WAN de dispositivos NFX150-S1.

La identificación de aplicaciones solo está habilitada de forma predeterminada si el servicio que solicita la identificación de la aplicación (como IDP, AppFW, AppTrack o AppQoS) está habilitado para invocar la identificación de la aplicación. Si no existe ninguna de estas políticas o configuraciones, la identificación de la aplicación no se activará automáticamente. Sin embargo, cuando especifica una aplicación en la regla de política, el IDP usa la aplicación especificada en lugar del resultado de la identificación de la aplicación. Para obtener instrucciones sobre cómo especificar aplicaciones en reglas de política, consulte Ejemplo: Configuración de aplicaciones y servicios de IDP.

Nota:

La identificación de la aplicación está habilitada de forma predeterminada. Para deshabilitar la identificación de aplicaciones con la CLI, consulte Deshabilitar y volver a habilitar la identificación de aplicaciones de Junos OS.

En todos los dispositivos de la serie SRX de sucursal, el IDP no permite comprobaciones de encabezado para contextos que no son de paquetes.

El IDP implementado en clústeres de chasis activo/activo y activo/pasivo tiene las siguientes limitaciones:

  • No hay inspección de sesiones que fallan o fallan.

  • La tabla de acción de IP no está sincronizada entre nodos.

  • Es posible que el motor de enrutamiento del nodo secundario no pueda llegar a redes a las que solo se puede llegar mediante un motor de reenvío de paquetes.

  • La caché del ID de sesión SSL no está sincronizada entre nodos. Si una sesión SSL reutiliza un ID de sesión y se procesa en un nodo distinto al que está almacenado en caché el ID de sesión, la sesión SSL no se puede descifrar y se omitirá para la inspección del IDP.

El IDP implementado en clústeres de chasis activo/activo tiene una limitación que, para el tráfico de origen de ámbito de enlace de tiempo, si los ataques desde un origen (con más de un destino) tienen sesiones activas distribuidas entre nodos, es posible que el ataque no se detecte porque el conteo de enlaces de tiempo tiene una vista de solo nodos locales. La detección de este tipo de ataque requiere una sincronización RTO del estado de enlace de tiempo que no se admite actualmente.

Descripción de los enlaces de aplicaciones y del servicio IDP por objetos de ataque

Los objetos de ataque pueden enlazarse a aplicaciones y servicios de diferentes maneras:

  • Los objetos de ataque pueden enlazarse a una aplicación implícitamente y no tener una definición de servicio. Se enlazan a una aplicación basada en el nombre de un contexto o anomalía.

  • Los objetos de ataque pueden enlazarse a un servicio mediante un nombre de servicio.

  • Los objetos de ataque pueden enlazarse a un servicio mediante puertos TCP o UDP, tipos o códigos ICMP o números de programa DE RPC.

Si se aplica o no el enlace de servicio o aplicación especificado depende de la definición completa del objeto de ataque, así como de la configuración de la política de IDP:

  • Si especifica una aplicación en una definición de objeto de ataque, se omite el campo de servicio. El objeto de ataque se vincula a la aplicación en lugar del servicio especificado. Sin embargo, si especifica un servicio y ninguna aplicación en la definición de objeto de ataque, el objeto de ataque se vincula al servicio. En la tabla 1, se resume el comportamiento de los enlaces de aplicaciones y servicios con la identificación de la aplicación.

    Tabla 1: Aplicaciones y servicios con identificación de aplicaciones

    Campos de objeto de ataque

    Comportamiento de enlace

    Identificación de la aplicación

    :application (http)

    :service (smtp)

    • Se vincula a la aplicación HTTP.

    • El campo de servicio se ignora.

    Habilitado

    :service (http)

    Se vincula a la aplicación HTTP.

    Habilitado

    :service (tcp/80)

    Se vincula al puerto TCP 80.

    Deshabilitado

    Por ejemplo, en la siguiente definición de objeto de ataque, el objeto de ataque se vincula a la aplicación HTTP, la identificación de la aplicación está habilitada y el smtp del campo de servicio se omite.

  • Si un objeto de ataque se basa en contextos específicos del servicio (por ejemplo, http-url) y anomalías (por ejemplo, tftp_file_name_too_long), se omiten los campos de aplicación y servicio. Los contextos y anomalías del servicio implican aplicación; por lo tanto, cuando se especifican en el objeto de ataque, se aplica la identificación de la aplicación.

  • Si configura una aplicación específica en una política, sobrescribe el enlace de aplicación especificado en un objeto de ataque. La tabla 2 resume el enlace con la configuración de la aplicación en la política IDP.

    Tabla 2: Configuración de aplicación en una política de IDP

    Tipo de aplicación en la política

    Comportamiento de enlace

    Identificación de la aplicación

    Default

    Se vincula a la aplicación o servicio configurado en la definición del objeto de ataque.

    • Habilitado para objetos de ataque basados en aplicaciones

    • Deshabilitado para objetos de ataque basados en servicios

    Specific application

    Se vincula a la aplicación especificada en la definición del objeto de ataque.

    Deshabilitado

    Any

    Se vincula a todas las aplicaciones.

    Deshabilitado

  • Si especifica una aplicación en una política de IDP, el tipo de aplicación configurado en la definición del objeto de ataque y en la política de IDP debe coincidir. La regla de política no puede especificar dos aplicaciones diferentes (una en el objeto de ataque y otra en la política).

Nota:

La aplicación no puede ser any cuando los ataques basados en diferentes aplicaciones se especifican en la configuración de IDP y se produce un error en la confirmación. Utilice el valor predeterminado en su lugar.

Al configurar reglas IDS para la aplicación, la opción any está en desuso.

Sin embargo, cuando la aplicación está any y se utilizan grupos de ataque personalizados en la configuración de IDP, la confirmación se realiza correctamente. Por lo tanto, la comprobación de confirmación no detecta tales casos.

Descripción de la identificación de aplicaciones de IDP para aplicaciones anidadas

Con el mayor uso de la encapsulación de protocolos de aplicación, surge la necesidad de admitir la identificación de varias aplicaciones diferentes que se ejecutan en el mismo protocolo de capa 7. Por ejemplo, aplicaciones como Facebook y Yahoo Messenger pueden ejecutarse a través de HTTP, pero es necesario identificarlas como dos aplicaciones diferentes que se ejecutan en el mismo protocolo de capa 7. Para ello, la capa actual de identificación de aplicaciones se divide en dos capas: aplicaciones de capa 7 y protocolos de capa 7.

Las firmas de aplicación predefinidas incluidas se han creado para detectar las aplicaciones de capa 7, mientras que las firmas de protocolo de capa 7 existentes siguen funcionando de la misma manera. Estas firmas de aplicación predefinidas se pueden usar en objetos de ataque.

Ejemplo: Configurar políticas de IDP para la identificación de aplicaciones

En este ejemplo, se muestra cómo configurar las políticas de IDP para la identificación de aplicaciones.

Requisitos

Antes de empezar:

  • Configure interfaces de red.

  • Descargue el paquete de la aplicación.

Visión general

En este ejemplo, se crea un ABC de política de IDP y se define la regla 123 en la base de reglas de SPI. Se especifica el valor predeterminado como el tipo de aplicación en una regla de política de IDP. Si especifica una aplicación en lugar de una predeterminada, la función de identificación de la aplicación se deshabilitará para esta regla y el IDP coincidirá el tráfico con el tipo de aplicación especificado. Las aplicaciones definidas en la identificación de aplicaciones no se pueden hacer referencia directamente en este momento.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar políticas de IDP para la identificación de aplicaciones:

  1. Cree una política de IDP.

  2. Especifique el tipo de aplicación.

  3. Especifique una acción que se llevará a cabo cuando se cumpla la condición de coincidencia.

  4. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security idp comando.

Descripción de la configuración de límite de memoria para la identificación de aplicaciones IDP

Aunque no puede crear firmas de aplicación con la base de datos de firmas de IDP, puede configurar la configuración del sensor para limitar la cantidad de sesiones que ejecutan identificación de aplicación y también para limitar el uso de memoria para la identificación de aplicaciones.

Límite de memoria para una sesión: puede configurar la cantidad máxima de bytes de memoria que se pueden usar para guardar paquetes para la identificación de la aplicación para una sesión TCP o UDP. También puede configurar un límite para el uso de memoria global para la identificación de aplicaciones. La identificación de la aplicación está deshabilitada para una sesión después de que el sistema alcance el límite de memoria especificado para la sesión. Sin embargo, el IDP sigue igualando los patrones. La aplicación coincidente se guarda en la caché para que la siguiente sesión pueda usarla. Esto protege el sistema de los atacantes que intentan omitir la identificación de aplicaciones mediante el envío intencional de grandes paquetes de cliente a servidor.

  • Número de sesiones: puede configurar el número máximo de sesiones que pueden ejecutar la identificación de aplicaciones al mismo tiempo. La identificación de la aplicación se deshabilita después de que el sistema alcanza el número especificado de sesiones. Limita el número de sesiones para que pueda evitar un ataque de denegación de servicio (DOS), que se produce cuando demasiadas solicitudes de conexión agobian y agotan todos los recursos asignados en el sistema.

La Tabla 3 proporciona la capacidad de números de sesión de punto central (CP) para dispositivos SRX3400, SRX3600, SRX5600 y SRX5800.

Tabla 3: Números máximos de sesión de CP

Dispositivos serie SRX

Sesiones máximas

Punto central (CP)

SRX3400

2,25 millones

CP en modo combinado

SRX3600

2,25 millones

CP en modo combinado

SRX5600

9 millones

2,25 millones

Cp completo

CP en modo combinado

SRX5800

10 millones

2,25 millones

Cp completo

CP en modo combinado

Ejemplo: Establecer límites de memoria para los servicios de identificación de aplicaciones IDP

En este ejemplo, se muestra cómo configurar los límites de memoria para los servicios de identificación de aplicaciones IDP.

Requisitos

Antes de empezar:

Visión general

En este ejemplo, se configuran 5000 bytes de memoria como la cantidad máxima de memoria que se puede usar para guardar paquetes para la identificación de aplicaciones para una sesión TCP.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar los límites de memoria y sesión para los servicios de identificación de aplicaciones IDP:

  1. Especifique los límites de memoria para la identificación de la aplicación.

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security idp memory comando.

Verificar contadores de IDP para los procesos de identificación de aplicaciones

Propósito

Verifique los contadores de IDP para los procesos de identificación de aplicaciones.

Acción

Desde la CLI, escriba el show security idp counters application-identification comando.

Salida de muestra

nombre de comando

Significado

El resultado muestra un resumen de los contadores de identificación de aplicaciones. Compruebe la siguiente información:

  • Aciertos en la caché de IA: muestra el número de visitas en la caché de identificación de la aplicación

  • Errores de caché de IA: muestra el número de veces que la aplicación coincide, pero no se agrega la entrada de la caché de identificación de la aplicación.

  • Coincidencias de IA: muestra la cantidad de veces que coincide la aplicación y se agrega una entrada en la caché de identificación de la aplicación.

  • No coincide con la IA: muestra el número de veces que la aplicación no coincide.

  • Sesiones habilitadas para la IA: muestra el número de sesiones en las que se habilita la identificación de aplicaciones.

  • Sesiones deshabilitadas por IA: muestra el número de sesiones en las que la identificación de la aplicación está deshabilitada.

  • Sesiones deshabilitadas por IA debido al golpe en la caché: muestra el número de sesiones en las que la identificación de la aplicación está deshabilitada después de hacer coincidir una entrada en la caché. El proceso de identificación de la aplicación está descontinuado para esta sesión.

  • Sesiones deshabilitadas por IA debido a la configuración: muestra el número de sesiones en las que la identificación de la aplicación está deshabilitada debido a la configuración del sensor.

  • Sesiones deshabilitadas por IA debido a la reaplicación de protocolo: muestra el número de sesiones para las que la identificación de la aplicación está deshabilitada porque ha configurado un servicio específico en la definición de regla de política de IDP.

  • Sesiones deshabilitadas por IA debido a flujos que no son TCP/UDP: muestra el número de sesiones para las que la identificación de aplicación está deshabilitada porque la sesión no es una sesión TCP o UDP.

  • Sesiones deshabilitadas por IA debido a que no hay firmas de IA: muestra el número de sesiones en las que la identificación de la aplicación está deshabilitada porque no se encuentra ninguna coincidencia en las firmas de identificación de la aplicación.

  • Ia deshabilitada debido al límite de sesiones: muestra el número de sesiones para las que la identificación de la aplicación está deshabilitada porque las sesiones han alcanzado el límite máximo configurado. La identificación de la aplicación también está deshabilitada para futuras sesiones.

  • Ia deshabilitada debido al límite de memoria de paquetes de sesión: muestra las sesiones para las que la identificación de la aplicación está deshabilitada porque las sesiones han alcanzado el límite máximo de memoria en flujos TCP o UDP. La identificación de la aplicación también está deshabilitada para futuras sesiones.

  • La IA deshabilitada debido al límite global de memoria de paquetes: muestra las sesiones para las que la identificación de la aplicación está deshabilitada porque se alcanza el límite máximo de memoria. La identificación de la aplicación también está deshabilitada para futuras sesiones.