Identificación de aplicaciones DPI

Juniper Networks proporciona firmas de aplicación predefinidas que detectan aplicaciones del Protocolo de control de transmisión (TCP) y del Protocolo de datagramas de usuario (UDP) que se ejecutan en puertos no estándar. La identificación de estas aplicaciones permite a la detección y prevención de intrusiones (DPI) aplicar objetos de ataque apropiados a aplicaciones que se ejecutan en puertos no estándar. También mejora el rendimiento al reducir el alcance de las firmas de ataque para aplicaciones sin decodificadores.

El sensor DPI monitorea la red y detecta tráfico de red sospechoso y anómalo según reglas específicas definidas en bases de reglas DPI. Aplica objetos de ataque al tráfico en función de protocolos o aplicaciones. Las firmas de aplicaciones permiten que el sensor identifique aplicaciones conocidas y desconocidas que se ejecutan en puertos no estándar y que aplique los objetos de ataque correctos.

Las firmas de aplicaciones están disponibles como parte del paquete de seguridad proporcionado por Juniper Networks. Las firmas de aplicación predefinidas se descargan junto con las actualizaciones del paquete de seguridad. No puede crear firmas de aplicación. Para obtener más información acerca de cómo descargar el paquete de seguridad, consulte Actualizar manualmente la base de datos de firmas de DPI.

AppID está habilitado de forma predeterminada solo si el servicio solicitante, como DPI, AppFW, AppTrack o AppQoS, está configurado para invocarlo. AppID no se activa automáticamente si no existen políticas o configuraciones. Sin embargo, cuando se especifica una aplicación en la regla de directiva, el DPI utiliza la aplicación especificada en lugar del resultado de la identificación de la aplicación. Para obtener instrucciones sobre cómo especificar aplicaciones en reglas de política, consulte Ejemplo: Configuración de aplicaciones y servicios DPI.

La identificación de aplicaciones está habilitada de forma predeterminada. Para deshabilitar la identificación de aplicaciones con la CLI, consulte Deshabilitar y volver a activar la identificación de aplicaciones en Junos OS.

En todos los dispositivos de sucursal, el DPI no permite comprobaciones de encabezado para contextos que no sean de paquetes.

El DPI implementado en clústeres de chasis activo/activo y activo/pasivo tiene las siguientes limitaciones:

• No se inspeccionan las sesiones que conmutan por error o conmutan por recuperación.

• La tabla de acciones IP no se sincroniza en todos los nodos.

• Es posible que el motor de enrutamiento del nodo secundario no pueda llegar a redes a las que solo se puede acceder a través de un motor de reenvío de paquetes.

• La caché de ID de sesión SSL no se sincroniza en todos los nodos. Si una sesión SSL reutiliza un ID de sesión y se procesa en un nodo distinto de aquel en el que el ID de sesión está almacenado en caché, la sesión SSL no se puede descifrar y se omitirá para la inspección de DPI.

El DPI en clústeres de chasis activo/activo tiene una limitación. Para el tráfico de origen del ámbito de enlace de tiempo, es posible que no se detecten ataques desde una fuente con varios destinos. Las sesiones activas distribuidas en los nodos causan este problema porque el recuento de la vinculación de tiempo tiene una vista de solo nodo local. La detección de este tipo de ataque requiere una sincronización RTO del estado de enlace de tiempo que no se admite actualmente.

Los objetos de ataque pueden vincularse a aplicaciones y servicios de diferentes maneras:

• Los objetos de ataque pueden enlazarse a una aplicación implícitamente y no tener una definición de servicio. Se enlazan a una aplicación según el nombre de un contexto o anomalía.

• Los objetos de ataque se pueden enlazar a un servicio mediante un nombre de servicio.

• Los objetos de ataque pueden vincularse a un servicio mediante puertos TCP o UDP, tipos o códigos ICMP o números de programas RPC.

Si el enlace de aplicación o servicio especificado se aplica o no depende de la definición completa del objeto de ataque, así como de la configuración de la política de DPI:

• Si especifica una aplicación en una definición de objeto de ataque, se omite el campo de servicio. El objeto de ataque se enlaza a la aplicación en lugar del servicio especificado. Sin embargo, si especifica un servicio y ninguna aplicación en la definición del objeto de ataque, el objeto de ataque se enlaza al servicio. En la tabla 1 se resume el comportamiento de los enlaces de aplicaciones y servicios con identificación de aplicaciones.

  Tabla 1: Aplicaciones y servicios con identificación de aplicaciones

  Campos de objetos de ataque	Comportamiento de enlace	Identificación de la aplicación
  :application (http) :service (smtp)	Se enlaza a la aplicación HTTP. Se ignora el campo de servicio.	Habilitado
  :service (http)	Se enlaza a la aplicación HTTP.	Habilitado
  :service (tcp/80)	Se enlaza al puerto TCP 80.	Deshabilitado

  Por ejemplo, en la siguiente definición de objeto de ataque, el objeto de ataque se enlaza a la aplicación HTTP, se habilita la identificación de la aplicación y se omite el SMTP del campo de servicio.

• Si un objeto de ataque se basa en contextos específicos del servicio (por ejemplo, http-url) y anomalías (por ejemplo, tftp_file_name_too_long), se ignoran los campos de aplicación y servicio. Los contextos y las anomalías del servicio implican aplicación; Por lo tanto, cuando se especifican en el objeto de ataque, se aplica la identificación de la aplicación.

• Si configura una aplicación específica en una política, sobrescribe el enlace de aplicación especificado en un objeto de ataque. En la tabla 2 se resume el enlace con la configuración de la aplicación en la política de DPI.

  Tabla 2: Configuración de aplicaciones en una política de DPI

  Tipo de aplicación en la póliza	Comportamiento de enlace	Identificación de la aplicación
  Default	Enlaza a la aplicación o servicio configurado en la definición del objeto de ataque.	Habilitado para objetos de ataque basados en aplicaciones Deshabilitado para objetos de ataque basados en servicios
  Specific application	Se enlaza a la aplicación especificada en la definición del objeto de ataque.	Deshabilitado
  Any	Se vincula a todas las aplicaciones.	Deshabilitado

• Si especifica una aplicación en una política de DPI, el tipo de aplicación configurado en la definición de objeto de ataque y en la política de DPI debe coincidir. La regla de política no puede especificar dos aplicaciones diferentes (una en el objeto de ataque y la otra en la política).

No se puede aplicar any cuando se especifican ataques basados en diferentes aplicaciones en la configuración de DPI y se produce un error en la confirmación. En su lugar, use default.

Al configurar reglas de IDS para la aplicación, la opción any está obsoleta.

Sin embargo, cuando se utilizan grupos de aplicación any y ataques personalizados en la configuración de DPI, la confirmación se realiza correctamente. Por lo tanto, commit check no detecta tales casos.

Con el mayor uso de la encapsulación de protocolos de aplicación, surge la necesidad de admitir la identificación de múltiples aplicaciones diferentes que se ejecutan en los mismos protocolos de capa 7. Por ejemplo, aplicaciones como Facebook y Yahoo Messenger pueden ejecutarse a través de HTTP, pero es necesario identificarlas como dos aplicaciones diferentes que se ejecutan en el mismo protocolo de capa 7. Para hacer esto, la capa de identificación de aplicaciones actual se divide en dos capas: aplicaciones de capa 7 y protocolos de capa 7.

Se han creado firmas de aplicaciones predefinidas incluidas para detectar las aplicaciones de la capa 7, mientras que las firmas del protocolo de capa 7 existentes siguen funcionando de la misma manera. Estas firmas de aplicación predefinidas se pueden utilizar en objetos de ataque.

En este ejemplo, se muestra cómo configurar las políticas de DPI para la identificación de aplicaciones.

Aunque no puede crear firmas de aplicación con la base de datos de firmas de DPI, puede configurar las opciones del sensor para limitar el número de sesiones que ejecutan AppID y también limitar el uso de memoria para AppID.

Límite de memoria para una sesión: puede configurar la cantidad máxima de bytes de memoria que se pueden usar para guardar paquetes para AppID para una sesión TCP o UDP. También puede configurar un límite para el uso de memoria global para la identificación de aplicaciones. AppID se deshabilita para una sesión después de que el sistema alcance el límite de memoria especificado para la sesión. Sin embargo, el DPI sigue coincidiendo con patrones. La aplicación coincidente se guarda en caché para que la siguiente sesión pueda usarla. Esto protege el sistema de los atacantes que intentan eludir AppID mediante el envío deliberado de grandes paquetes del cliente al servidor.

• Número de sesiones: puede configurar el número máximo de sesiones que pueden ejecutar AppID al mismo tiempo. AppID se deshabilita después de que el sistema alcanza el número especificado de sesiones. Puede limitar el número de sesiones para evitar un ataque de denegación de servicio (DOS), que se produce cuando demasiadas solicitudes de conexión abruman y agotan todos los recursos asignados en el sistema.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales.

Consulte la sección Información adicional de la plataforma para obtener más información sobre la capacidad de los números de sesión de punto central (CP).

En este ejemplo, se muestra cómo configurar los límites de memoria para los servicios AppID de DPI.

• Propósito
• Acción
• Significado

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales.

Utilice la siguiente tabla para revisar la información adicional de la plataforma.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.

Utilice la siguiente tabla para revisar los comportamientos específicos de la plataforma para su plataforma.