EN ESTA PÁGINA
Descripción de la identificación de aplicaciones de desplazados internos
Descripción de los enlaces de servicios y aplicaciones de IDP por objetos de ataque
Descripción de la identificación de aplicaciones IDP para aplicaciones anidadas
Ejemplo: configuración de directivas de IDP para la identificación de aplicaciones
Descripción de la configuración de límite de memoria para la identificación de aplicaciones IDP
Ejemplo: establecer límites de memoria para los servicios de identificación de aplicaciones de IDP
Identificación de la solicitud de IDP
Juniper Networks proporciona firmas de aplicaciones predefinidas que detectan aplicaciones del Protocolo de control de transmisión (TCP) y del Protocolo de datagramas de usuario (UDP) que se ejecutan en puertos no estándar.
Para obtener más información, consulte los temas siguientes:
Descripción de la identificación de aplicaciones de desplazados internos
Juniper Networks proporciona firmas de aplicaciones predefinidas que detectan aplicaciones del Protocolo de control de transmisión (TCP) y del Protocolo de datagramas de usuario (UDP) que se ejecutan en puertos no estándar. La identificación de estas aplicaciones permite a la detección y prevención de intrusiones (IDP) aplicar objetos de ataque apropiados a aplicaciones que se ejecutan en puertos no estándar. También mejora el rendimiento al reducir el alcance de las firmas de ataque para aplicaciones sin decodificadores.
El sensor IDP supervisa la red y detecta tráfico de red sospechoso y anómalo según reglas específicas definidas en las bases de reglas de IDP. Aplica objetos de ataque al tráfico basado en protocolos o aplicaciones. Las firmas de aplicación permiten al sensor identificar aplicaciones conocidas y desconocidas que se ejecutan en puertos no estándar y aplicar los objetos de ataque correctos.
Las firmas de aplicaciones están disponibles como parte del paquete de seguridad proporcionado por Juniper Networks. Las firmas de aplicaciones predefinidas se descargan junto con las actualizaciones del paquete de seguridad. No puede crear firmas de aplicación. Para obtener información sobre cómo descargar el paquete de seguridad, consulte Información general manual sobre la actualización manual de la base de firmas de IDP.
En todos los firewalls de la serie SRX de sucursal, el número máximo admitido de entradas en la tabla ASC es de 100.000 entradas. Dado que el búfer de tierras del usuario tiene un tamaño fijo de 1 MB como limitación, la tabla muestra un máximo de 38.837 entradas de caché.
El número máximo de sesiones IDP admitidas es de 16.384 en dispositivos SRX320 y 32 768 en dispositivos SRX345.
El número máximo de sesiones IDP admitidas es 8000 en el perfil predeterminado de dispositivos NFX150-C-S1 y 16.000 en el perfil SD-WAN de dispositivos NFX150-C-S1. El número máximo de sesiones IDP admitidas es 8000 en el perfil predeterminado de NFX150-S1 y 64.000 en el perfil SD-WAN de dispositivos NFX150-S1.
La identificación de aplicaciones solo se habilita de forma predeterminada si el servicio que solicita la identificación de la aplicación (como IDP, AppFW, AppTrack o AppQoS) está habilitado para invocar la identificación de la aplicación. Si no existe ninguna de estas políticas o configuraciones, la identificación de la aplicación no se activará automáticamente. Sin embargo, cuando se especifica una aplicación en la regla de directiva, IDP utiliza la aplicación especificada en lugar del resultado de la identificación de la aplicación. Para obtener instrucciones sobre cómo especificar aplicaciones en reglas de directiva, consulte Ejemplo: Configuración de aplicaciones y servicios de IDP.
La identificación de aplicaciones está habilitada de forma predeterminada. Para deshabilitar la identificación de aplicaciones con la CLI, consulte Deshabilitar y volver a habilitar la identificación de aplicaciones de Junos OS.
En todos los firewalls de la serie SRX de sucursal, IDP no permite comprobaciones de encabezado para contextos que no sean de paquetes.
El IDP implementado en clústeres de chasis activo/activo y activo/pasivo tiene las siguientes limitaciones:
No se inspeccionan las sesiones que conmutan por error o conmutan por error.
La tabla de acciones IP no está sincronizada entre los nodos.
Es posible que el motor de enrutamiento del nodo secundario no pueda llegar a las redes a las que solo se puede acceder a través de un motor de reenvío de paquetes.
La caché de ID de sesión SSL no está sincronizada entre los nodos. Si una sesión SSL reutiliza un ID de sesión y se procesa en un nodo distinto de aquel en el que se almacena en caché el ID de sesión, la sesión SSL no se puede descifrar y se omitirá para la inspección de IDP.
El IDP desplegado en clústeres de chasis activo/activo tiene la limitación de que, para el tráfico de origen de ámbito enlazado en el tiempo, si los ataques desde un origen (con más de un destino) tienen sesiones activas distribuidas entre los nodos, es posible que el ataque no se detecte porque el recuento de enlaces de tiempo tiene una vista de solo nodo local. La detección de este tipo de ataque requiere una sincronización RTO del estado de enlace de tiempo que no se admite actualmente.
Ver también
Descripción de los enlaces de servicios y aplicaciones de IDP por objetos de ataque
Los objetos de ataque se pueden enlazar a aplicaciones y servicios de diferentes maneras:
Los objetos de ataque pueden enlazarse a una aplicación implícitamente y no tener una definición de servicio. Se enlazan a una aplicación en función del nombre de un contexto o anomalía.
Los objetos de ataque se pueden enlazar a un servicio mediante un nombre de servicio.
Los objetos de ataque se pueden enlazar a un servicio mediante puertos TCP o UDP, tipos o códigos ICMP o números de programa RPC.
Si la aplicación especificada o el enlace de servicio se aplica o no depende de la definición completa del objeto de ataque, así como de la configuración de la política del IDP:
Si especifica una aplicación en una definición de objeto de ataque, el campo de servicio se omite. El objeto de ataque se enlaza a la aplicación en lugar del servicio especificado. Sin embargo, si especifica un servicio y ninguna aplicación en la definición del objeto de ataque, el objeto de ataque se enlaza al servicio. En la tabla 1 se resume el comportamiento de los enlaces de aplicaciones y servicios con la identificación de aplicaciones.
Tabla 1: Aplicaciones y servicios con identificación de aplicaciones Campos de objetos de ataque
Comportamiento de enlace
Identificación de la aplicación
:application (http)
:service (smtp)
Se enlaza a la aplicación HTTP.
Se omite el campo de servicio.
Habilitado
:service (http)
Se enlaza a la aplicación HTTP.
Habilitado
:service (tcp/80)
Se enlaza al puerto TCP 80.
Deshabilitado
Por ejemplo, en la siguiente definición de objeto de ataque, el objeto de ataque se enlaza al HTTP de la aplicación, se habilita la identificación de la aplicación y se omite el campo de servicio SMTP .
: (“http-test” :application (“http”) :service (“smtp”) :rectype (signature) :signature ( :pattern (“.*TERM=xterm; export TERM=xterm; exec bash – i\x0a\x.*”) :type (stream) ) :type (attack-ip) )
Si un objeto de ataque se basa en contextos específicos del servicio (por ejemplo, http-url) y anomalías (por ejemplo, tftp_file_name_too_long), se omiten los campos de aplicación y servicio. Los contextos y anomalías del servicio implican aplicación; Por lo tanto, cuando se especifican en el objeto de ataque, se aplica la identificación de la aplicación.
Si configura una aplicación específica en una directiva, sobrescribirá el enlace de aplicación especificado en un objeto de ataque. En la tabla 2 se resume el enlace con la configuración de la aplicación en la directiva de IDP.
Tabla 2: Configuración de la aplicación en una política de IDP Tipo de aplicación en la directiva
Comportamiento de enlace
Identificación de la aplicación
Default
Se enlaza a la aplicación o servicio configurado en la definición del objeto de ataque.
Habilitado para objetos de ataque basados en aplicaciones
Deshabilitado para objetos de ataque basados en servicios
Specific application
Se enlaza a la aplicación especificada en la definición del objeto de ataque.
Deshabilitado
Any
Se vincula a todas las aplicaciones.
Deshabilitado
Si especifica una aplicación en una política de IDP, el tipo de aplicación configurado en la definición del objeto de ataque y en la política de IDP debe coincidir. La regla de directiva no puede especificar dos aplicaciones diferentes (una en el objeto de ataque y la otra en la política).
La aplicación no puede serlo any
cuando se especifican ataques basados en diferentes aplicaciones en la configuración de IDP y se produce un error de confirmación. Use predeterminado en su lugar.
Al configurar reglas IDS para la aplicación, la opción any
queda obsoleta.
Sin embargo, cuando la aplicación es any
y se usan grupos de ataques personalizados en la configuración de IDP, la confirmación se realiza correctamente. Por lo tanto, commit check no detecta tales casos.
Ver también
Descripción de la identificación de aplicaciones IDP para aplicaciones anidadas
Con el mayor uso de la encapsulación de protocolos de aplicación, surge la necesidad de admitir la identificación de múltiples aplicaciones diferentes que se ejecutan en los mismos protocolos de capa 7. Por ejemplo, aplicaciones como Facebook y Yahoo Messenger pueden ejecutarse a través de HTTP, pero es necesario identificarlas como dos aplicaciones diferentes que se ejecutan en el mismo protocolo de capa 7. Para ello, la capa de identificación de aplicaciones actual se divide en dos capas: aplicaciones de capa 7 y protocolos de capa 7.
Se han creado firmas de aplicación predefinidas incluidas para detectar las aplicaciones de capa 7, mientras que las firmas de protocolo de capa 7 existentes siguen funcionando de la misma manera. Estas firmas de aplicación predefinidas se pueden utilizar en objetos de ataque.
Ver también
Ejemplo: configuración de directivas de IDP para la identificación de aplicaciones
En este ejemplo se muestra cómo configurar las directivas de IDP para la identificación de aplicaciones.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Descargue el paquete de aplicación.
Visión general
En este ejemplo, se crea una política de IDP ABC y se define la regla 123 en la base de reglas IPS. El valor predeterminado se especifica como tipo de aplicación en una regla de política de IDP. Si especifica una aplicación en lugar de la predeterminada, la característica de identificación de aplicaciones se deshabilitará para esta regla y el IDP hará coincidir el tráfico con el tipo de aplicación especificado. No se puede hacer referencia directamente a las aplicaciones definidas en la identificación de la aplicación en este momento.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar directivas de desplazados internos para la identificación de aplicaciones:
Cree una política de desplazados internos.
[edit] user@host# set security idp idp-policy ABC
Especifique el tipo de aplicación.
[edit] user@host# set security idp idp-policy ABC rulebase-ips rule 123 match application default
Especifique una acción que se realizará cuando se cumpla la condición de coincidencia.
[edit] user@host# set security idp idp-policy ABC rulebase-ips rule 123 then action no-action
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security idp
comando.
Descripción de la configuración de límite de memoria para la identificación de aplicaciones IDP
Aunque no puede crear firmas de aplicación con la base de datos de firmas IDP, puede configurar las opciones del sensor para limitar el número de sesiones que ejecutan la identificación de aplicaciones y también limitar el uso de memoria para la identificación de aplicaciones.
Límite de memoria para una sesión: puede configurar la cantidad máxima de bytes de memoria que se pueden utilizar para guardar paquetes para la identificación de aplicaciones para una sesión TCP o UDP. También puede configurar un límite para el uso global de memoria para la identificación de aplicaciones. La identificación de aplicaciones se deshabilita para una sesión después de que el sistema alcanza el límite de memoria especificado para la sesión. Sin embargo, los desplazados internos siguen coincidiendo. La aplicación coincidente se guarda en caché para que la próxima sesión pueda utilizarla. Esto protege al sistema de los atacantes que intentan eludir la identificación de la aplicación mediante el envío intencional de grandes paquetes de cliente a servidor.
Número de sesiones: puede configurar el número máximo de sesiones que pueden ejecutar la identificación de la aplicación al mismo tiempo. La identificación de aplicaciones se desactiva después de que el sistema alcanza el número especificado de sesiones. Limite el número de sesiones para evitar un ataque de denegación de servicio (DOS), que se produce cuando demasiadas solicitudes de conexión abruman y agotan todos los recursos asignados en el sistema.
La Tabla 3 proporciona la capacidad de los números de sesión de punto central (CP) para dispositivos SRX3400, SRX3600, SRX5600 y SRX5800.
Dispositivos de la serie SRX |
Sesiones máximas |
Punto Central (CP) |
---|---|---|
SRX3400 |
2,25 millones |
CP en modo combinado |
SRX3600 |
2,25 millones |
CP en modo combinado |
SRX5600 |
9 millones 2,25 millones |
CP completo CP en modo combinado |
SRX5800 |
10 millones 2,25 millones |
CP completo CP en modo combinado |
Ejemplo: establecer límites de memoria para los servicios de identificación de aplicaciones de IDP
En este ejemplo se muestra cómo configurar los límites de memoria para los servicios de identificación de aplicaciones IDP.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Descargue la base de datos de firmas. Consulte Ejemplo: actualización manual de la base de datos de firmas de IDP.
Visión general
En este ejemplo, se configuran 5000 bytes de memoria como la cantidad máxima de memoria que se puede utilizar para guardar paquetes para la identificación de aplicaciones para una sesión TCP.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar los límites de memoria y sesión para los servicios de identificación de aplicaciones IDP:
Especifique los límites de memoria para la identificación de aplicaciones.
[edit] user@host# set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security idp memory
comando.
Verificación de los contadores de desplazados internos para los procesos de identificación de aplicaciones
Propósito
Verifique los contadores de IDP para los procesos de identificación de la aplicación.
Acción
Desde la CLI, escriba el show security idp counters application-identification
comando.
Salida de muestra
nombre-comando
user@host> show security idp counters application-identification IDP counters: IDP counter type Value AI cache hits 2682 AI cache misses 3804 AI matches 74 AI no-matches 27 AI-enabled sessions 3804 AI-disabled sessions 2834 AI-disabled sessions due to cache hit 2682 AI-disabled sessions due to configuration 0 AI-disabled sessions due to protocol remapping 0 AI-disabled sessions due to non-TCP/UDP flows 118 AI-disabled sessions due to no AI signatures 0 AI-disabled sessions due to session limit 0 AI-disabled sessions due to session packet memory limit 34 AI-disabled sessions due to global packet memory limit 0
Significado
El resultado muestra un resumen de los contadores de identificación de la aplicación. Verifique la siguiente información:
Aciertos de caché de IA: muestra el número de aciertos en la caché de identificación de la aplicación
Errores de caché de IA: muestra el número de veces que la aplicación coincide, pero no se agrega la entrada de caché de identificación de la aplicación.
Coincidencias de IA: muestra el número de veces que la aplicación coincide y se agrega una entrada de caché de identificación de aplicación.
AI no-matches: muestra el número de veces que la aplicación no coincide.
Sesiones habilitadas para la IA: muestra el número de sesiones en las que está habilitada la identificación de aplicaciones.
Sesiones deshabilitadas por IA: muestra el número de sesiones en las que la identificación de aplicaciones está deshabilitada.
Sesiones deshabilitadas por IA debido a un golpe de caché: muestra el número de sesiones en las que se deshabilita la identificación de la aplicación después de hacer coincidir una entrada de caché. El proceso de identificación de solicitudes se suspende para esta sesión.
Sesiones deshabilitadas por IA debido a la configuración: muestra el número de sesiones en las que la identificación de la aplicación está deshabilitada debido a la configuración del sensor.
Sesiones deshabilitadas por IA debido a la reasignación de protocolos: muestra el número de sesiones para las que la identificación de aplicaciones está deshabilitada porque ha configurado un servicio específico en la definición de regla de directiva de IDP.
Sesiones deshabilitadas por IA debido a flujos que no son TCP/UDP: muestra el número de sesiones para las que la identificación de la aplicación está deshabilitada porque la sesión no es una sesión TCP o UDP.
Sesiones deshabilitadas por IA debido a que no hay firmas de IA: muestra el número de sesiones para las que la identificación de aplicaciones está deshabilitada porque no se encuentra ninguna coincidencia en las firmas de identificación de la aplicación.
Desactivado por IA debido al límite de sesión: muestra el número de sesiones para las que la identificación de la aplicación está deshabilitada porque las sesiones han alcanzado el límite máximo configurado. La identificación de aplicaciones también está deshabilitada para futuras sesiones.
Deshabilitado por IA debido al límite de memoria de paquetes de sesión: muestra las sesiones para las que la identificación de aplicaciones está deshabilitada porque las sesiones han alcanzado el límite máximo de memoria en los flujos TCP o UDP. La identificación de aplicaciones también está deshabilitada para futuras sesiones.
Deshabilitado por IA debido al límite global de memoria de paquetes: muestra las sesiones para las que la identificación de aplicaciones está deshabilitada porque se ha alcanzado el límite máximo de memoria. La identificación de aplicaciones también está deshabilitada para futuras sesiones.