Identificación de la solicitud de IDP

Juniper Networks proporciona firmas de aplicaciones predefinidas que detectan aplicaciones del Protocolo de control de transmisión (TCP) y del Protocolo de datagramas de usuario (UDP) que se ejecutan en puertos no estándar. La identificación de estas aplicaciones permite a la detección y prevención de intrusiones (IDP) aplicar objetos de ataque apropiados a aplicaciones que se ejecutan en puertos no estándar. También mejora el rendimiento al reducir el alcance de las firmas de ataque para aplicaciones sin decodificadores.

El sensor IDP supervisa la red y detecta tráfico de red sospechoso y anómalo según reglas específicas definidas en las bases de reglas de IDP. Aplica objetos de ataque al tráfico basado en protocolos o aplicaciones. Las firmas de aplicación permiten al sensor identificar aplicaciones conocidas y desconocidas que se ejecutan en puertos no estándar y aplicar los objetos de ataque correctos.

Las firmas de aplicaciones están disponibles como parte del paquete de seguridad proporcionado por Juniper Networks. Las firmas de aplicaciones predefinidas se descargan junto con las actualizaciones del paquete de seguridad. No puede crear firmas de aplicación. Para obtener información sobre cómo descargar el paquete de seguridad, consulte Información general manual sobre la actualización manual de la base de firmas de IDP.

En todos los firewalls de la serie SRX de sucursal, el número máximo admitido de entradas en la tabla ASC es de 100.000 entradas. Dado que el búfer de tierras del usuario tiene un tamaño fijo de 1 MB como limitación, la tabla muestra un máximo de 38.837 entradas de caché.

El número máximo de sesiones IDP admitidas es de 16.384 en dispositivos SRX320 y 32 768 en dispositivos SRX345.

El número máximo de sesiones IDP admitidas es 8000 en el perfil predeterminado de dispositivos NFX150-C-S1 y 16.000 en el perfil SD-WAN de dispositivos NFX150-C-S1. El número máximo de sesiones IDP admitidas es 8000 en el perfil predeterminado de NFX150-S1 y 64.000 en el perfil SD-WAN de dispositivos NFX150-S1.

La identificación de aplicaciones solo se habilita de forma predeterminada si el servicio que solicita la identificación de la aplicación (como IDP, AppFW, AppTrack o AppQoS) está habilitado para invocar la identificación de la aplicación. Si no existe ninguna de estas políticas o configuraciones, la identificación de la aplicación no se activará automáticamente. Sin embargo, cuando se especifica una aplicación en la regla de directiva, IDP utiliza la aplicación especificada en lugar del resultado de la identificación de la aplicación. Para obtener instrucciones sobre cómo especificar aplicaciones en reglas de directiva, consulte Ejemplo: Configuración de aplicaciones y servicios de IDP.

Nota:

La identificación de aplicaciones está habilitada de forma predeterminada. Para deshabilitar la identificación de aplicaciones con la CLI, consulte Deshabilitar y volver a habilitar la identificación de aplicaciones de Junos OS.

En todos los firewalls de la serie SRX de sucursal, IDP no permite comprobaciones de encabezado para contextos que no sean de paquetes.

El IDP implementado en clústeres de chasis activo/activo y activo/pasivo tiene las siguientes limitaciones:

• No se inspeccionan las sesiones que conmutan por error o conmutan por error.

• La tabla de acciones IP no está sincronizada entre los nodos.

• Es posible que el motor de enrutamiento del nodo secundario no pueda llegar a las redes a las que solo se puede acceder a través de un motor de reenvío de paquetes.

• La caché de ID de sesión SSL no está sincronizada entre los nodos. Si una sesión SSL reutiliza un ID de sesión y se procesa en un nodo distinto de aquel en el que se almacena en caché el ID de sesión, la sesión SSL no se puede descifrar y se omitirá para la inspección de IDP.

El IDP desplegado en clústeres de chasis activo/activo tiene la limitación de que, para el tráfico de origen de ámbito enlazado en el tiempo, si los ataques desde un origen (con más de un destino) tienen sesiones activas distribuidas entre los nodos, es posible que el ataque no se detecte porque el recuento de enlaces de tiempo tiene una vista de solo nodo local. La detección de este tipo de ataque requiere una sincronización RTO del estado de enlace de tiempo que no se admite actualmente.

Los objetos de ataque se pueden enlazar a aplicaciones y servicios de diferentes maneras:

• Los objetos de ataque pueden enlazarse a una aplicación implícitamente y no tener una definición de servicio. Se enlazan a una aplicación en función del nombre de un contexto o anomalía.

• Los objetos de ataque se pueden enlazar a un servicio mediante un nombre de servicio.

• Los objetos de ataque se pueden enlazar a un servicio mediante puertos TCP o UDP, tipos o códigos ICMP o números de programa RPC.

Si la aplicación especificada o el enlace de servicio se aplica o no depende de la definición completa del objeto de ataque, así como de la configuración de la política del IDP:

• Si especifica una aplicación en una definición de objeto de ataque, el campo de servicio se omite. El objeto de ataque se enlaza a la aplicación en lugar del servicio especificado. Sin embargo, si especifica un servicio y ninguna aplicación en la definición del objeto de ataque, el objeto de ataque se enlaza al servicio. En la tabla 1 se resume el comportamiento de los enlaces de aplicaciones y servicios con la identificación de aplicaciones.

  Tabla 1: Aplicaciones y servicios con identificación de aplicaciones

  Campos de objetos de ataque	Comportamiento de enlace	Identificación de la aplicación
  :application (http) :service (smtp)	Se enlaza a la aplicación HTTP. Se omite el campo de servicio.	Habilitado
  :service (http)	Se enlaza a la aplicación HTTP.	Habilitado
  :service (tcp/80)	Se enlaza al puerto TCP 80.	Deshabilitado

  Por ejemplo, en la siguiente definición de objeto de ataque, el objeto de ataque se enlaza al HTTP de la aplicación, se habilita la identificación de la aplicación y se omite el campo de servicio SMTP .

• Si un objeto de ataque se basa en contextos específicos del servicio (por ejemplo, http-url) y anomalías (por ejemplo, tftp_file_name_too_long), se omiten los campos de aplicación y servicio. Los contextos y anomalías del servicio implican aplicación; Por lo tanto, cuando se especifican en el objeto de ataque, se aplica la identificación de la aplicación.

• Si configura una aplicación específica en una directiva, sobrescribirá el enlace de aplicación especificado en un objeto de ataque. En la tabla 2 se resume el enlace con la configuración de la aplicación en la directiva de IDP.

  Tabla 2: Configuración de la aplicación en una política de IDP

  Tipo de aplicación en la directiva	Comportamiento de enlace	Identificación de la aplicación
  Default	Se enlaza a la aplicación o servicio configurado en la definición del objeto de ataque.	Habilitado para objetos de ataque basados en aplicaciones Deshabilitado para objetos de ataque basados en servicios
  Specific application	Se enlaza a la aplicación especificada en la definición del objeto de ataque.	Deshabilitado
  Any	Se vincula a todas las aplicaciones.	Deshabilitado

• Si especifica una aplicación en una política de IDP, el tipo de aplicación configurado en la definición del objeto de ataque y en la política de IDP debe coincidir. La regla de directiva no puede especificar dos aplicaciones diferentes (una en el objeto de ataque y la otra en la política).

Nota:

La aplicación no puede serlo any cuando se especifican ataques basados en diferentes aplicaciones en la configuración de IDP y se produce un error de confirmación. Use predeterminado en su lugar.

Al configurar reglas IDS para la aplicación, la opción any queda obsoleta.

Sin embargo, cuando la aplicación es any y se usan grupos de ataques personalizados en la configuración de IDP, la confirmación se realiza correctamente. Por lo tanto, commit check no detecta tales casos.

Con el mayor uso de la encapsulación de protocolos de aplicación, surge la necesidad de admitir la identificación de múltiples aplicaciones diferentes que se ejecutan en los mismos protocolos de capa 7. Por ejemplo, aplicaciones como Facebook y Yahoo Messenger pueden ejecutarse a través de HTTP, pero es necesario identificarlas como dos aplicaciones diferentes que se ejecutan en el mismo protocolo de capa 7. Para ello, la capa de identificación de aplicaciones actual se divide en dos capas: aplicaciones de capa 7 y protocolos de capa 7.

Se han creado firmas de aplicación predefinidas incluidas para detectar las aplicaciones de capa 7, mientras que las firmas de protocolo de capa 7 existentes siguen funcionando de la misma manera. Estas firmas de aplicación predefinidas se pueden utilizar en objetos de ataque.

En este ejemplo se muestra cómo configurar las directivas de IDP para la identificación de aplicaciones.

Aunque no puede crear firmas de aplicación con la base de datos de firmas IDP, puede configurar las opciones del sensor para limitar el número de sesiones que ejecutan la identificación de aplicaciones y también limitar el uso de memoria para la identificación de aplicaciones.

Límite de memoria para una sesión: puede configurar la cantidad máxima de bytes de memoria que se pueden utilizar para guardar paquetes para la identificación de aplicaciones para una sesión TCP o UDP. También puede configurar un límite para el uso global de memoria para la identificación de aplicaciones. La identificación de aplicaciones se deshabilita para una sesión después de que el sistema alcanza el límite de memoria especificado para la sesión. Sin embargo, los desplazados internos siguen coincidiendo. La aplicación coincidente se guarda en caché para que la próxima sesión pueda utilizarla. Esto protege al sistema de los atacantes que intentan eludir la identificación de la aplicación mediante el envío intencional de grandes paquetes de cliente a servidor.

• Número de sesiones: puede configurar el número máximo de sesiones que pueden ejecutar la identificación de la aplicación al mismo tiempo. La identificación de aplicaciones se desactiva después de que el sistema alcanza el número especificado de sesiones. Limite el número de sesiones para evitar un ataque de denegación de servicio (DOS), que se produce cuando demasiadas solicitudes de conexión abruman y agotan todos los recursos asignados en el sistema.

La Tabla 3 proporciona la capacidad de los números de sesión de punto central (CP) para dispositivos SRX3400, SRX3600, SRX5600 y SRX5800.

Tabla 3: Número máximo de sesiones de PC

Dispositivos de la serie SRX	Sesiones máximas	Punto Central (CP)
SRX3400	2,25 millones	CP en modo combinado
SRX3600	2,25 millones	CP en modo combinado
SRX5600	9 millones 2,25 millones	CP completo CP en modo combinado
SRX5800	10 millones 2,25 millones	CP completo CP en modo combinado

En este ejemplo se muestra cómo configurar los límites de memoria para los servicios de identificación de aplicaciones IDP.

• Propósito
• Acción
• Significado