Was kann meine Firewall zu tun? Kundenspezifische Anwendungen und app überschreiben!

Je nach Ihrer Umgebung müssen Sie benutzerdefinierten, proprietäre Anwendungen oder Verkehr, die Sie einfach durch einen benutzerdefinierten Namen identifizieren möchten. Sie führen einen Webdienst, der normalerweise von Palo Alto Networks Firewall identifiziert wird als Web-browsing, so dass es schwieriger für Sie zu erstellen, melden, oder vielleicht möchten einen bestimmten Satz von Verbindungen QoS zuweisen, die eine gemeinsame App-ID verwenden.

Um diese Probleme zu umgehen, können Sie benutzerdefinierte App-IDs erstellen, entspricht eine bestimmte Signatur im Verkehr oder Anwendung überschreiben verwenden, um einfach erzwingen bestimmte Sitzungen als Anwendung identifiziert werden, die Sie konfigurieren.

Eine Signatur-basierten benutzerdefinierte Anwendung stützt sich auf die App-ID-Engine eine Signatur in den Paketen, die durch die Firewall identifizieren. Wenn Sie versuchen, eine proprietäre Anwendung zu identifizieren, die vorhersehbare oder leicht identifizierbare Signaturen verwendet, können Sie eine benutzerdefinierte Anwendung mit Regex zur Identifizierung die Signatur erstellen. 

Beispiel: Ich habe einen Web-Dienst, der intern auf der URL www.example.com läuft. Da es sich um eine normale Webseite handelt, wird die Firewall es mit der "Web-browsing" App-ID identifizieren

Signatur-basierte benutzerdefinierten App-ID

Wenn wir einen genaueren Blick auf ein Paketerfassung aus der Rubrik Verkehr an den Server nehmen, kann eine erkennbare Signatur der Hostname sein.

Erstellen Sie eine benutzerdefinierte Anwendung, den Kopf über die Anwendungen und erstellen Sie eine neue Anwendung. Die Anwendungseigenschaften und ggf. der Eltern-App: die Eltern-App wird verwendet, wenn der Verkehr derzeit bereits als eine Anwendung identifiziert wird. Dies hilft die App-ID richtig die benutzerdefinierten app melden. Im Falle einer proprietären Anwendung, die derzeit nicht von App-ID identifiziert wird, können die Eltern-App als "keine" gelassen werden

In der Registerkarte "erweitert" können Sie einstellen der Häfen oder das Protokoll dieser Anwendung und auch wenn diese Anwendung auf Bedrohungen gescannt werden kann. Es gibt jedoch ein paar Einschränkungen, die wichtig zu betrachten sind:

• Wenn die benutzerdefinierte Anwendung Scan-Optionen deaktiviert hat, stoppt der Bedrohung Motor Inspektion des Verkehrs, sobald die benutzerdefinierte Anwendung identifiziert wird.
• Wenn die benutzerdefinierte Anwendung keine übergeordnete app, die durch regelmäßige App-ID identifiziert werden können oder in einer app Außerkraftsetzung (siehe unten) verwendet haben, kann nicht es auf Bedrohungen gescannt werden.

Sie können in der Registerkarte "Unterschriften" alle Unterschriften erforderlich, um die Anwendung zu identifizieren. Die App-ID-Engine kann angewiesen werden, suchen Sie nach möglichen Unterschriften in einer einzigen Transaktion (ein einziges Paket vom Client zum Server oder Client-Server) oder in der gesamten Sitzung (eine Unterschrift oder Signatur konnte auf mehrere Pakete in beide Richtungen verteilt werden). Gibt es viele Möglichkeiten auf, wo man für Signaturen und in welchem Zusammenhang zu sehen. Mehreren Signatur Sets können auch hinzugefügt werden, in eine 'und' oder 'OR' Zustand.

Wenn all dies scheint ein wenig verwirrend, mach dir keine Sorgen - habe ich einige hilfreiche Artikel am Ende hinzugefügt, die tiefer gehende erklären wird, was mit benutzerdefinierte Signaturen erreicht werden kann. Denn jetzt wir halten es einfach und suchen nach einer Signatur in der HTTP-Anfrage Host-Header:

Meine Unterschrift werden einfach den Hostnamen in Regex-freundlichen Format. Das bedeutet, es braucht, ist ein umgekehrter Schrägstrich vor den Punkt, um den Punkt bedeuten ein Zeichen und kein Platzhalter. Ich werde auch den Qualifier eingerichtet, um http-Methode GET um anzugeben, dass die Signatur in der GET-Anforderung zu finden.

Sobald diese benutzerdefinierten Anwendung Commit ausgeführt wird, startet die Firewall alle Verbindungen zu meiner Web-Server als die neue Anwendung zu identifizieren:

Wir können jetzt Berichte basierend auf die benutzerdefinierte Anwendung erstellen und überwachen, insbesondere welche Art von Datenverkehr unserer Website trifft.

Die oben genannten Schritte funktioniert perfekt, wenn die Anwendung leicht identifiziert werden kann, aber manchmal es möglicherweise nicht notwendig oder sogar möglich, schauen Sie in einen Datenstrom und eine bestimmte Signatur identifizieren.

Anwendung überschreiben

Anwendung überschreiben gewaltsam umgeht die AppID-Prozess und setzt eine Sitzung mit einen manuell konfigurierten Anwendungsnamen übereinstimmen. Alle Sitzungen verarbeitet wie diese nicht durch Parallelverarbeitung gescannt werden und werden auf Fastpath abgeladen werden.

Für die meisten Anwendungsfälle empfehlen wir eine einfache benutzerdefinierte Anwendung mit zu schaffen, wie möglich, wie die app einige Attribute überschreiben scannen oder Signatur-Erkennung umgehen wird. Es wird einfach eine Sitzung als die benutzerdefinierte Anwendung zu identifizieren und keine weiteren Maßnahmen ergreifen. Dies kann eine sehr einfache, aber leistungsstarke Tool zur internen Anwendungen zu identifizieren und Durchsatz verbessern, da die Sitzung sofort Hardware ausgelagert ist, aber bitte beachten Sie die Auswirkungen auf die Sicherheit.

Wenn Sie wissen möchten, was Sie mit benutzerdefinierten Anwendungen oder signaturbasierte Erkennung zu tun, bitte schauen Sie sich die folgenden Artikel, die Ihnen weitere Nutzungsmöglichkeiten zeigen von Unterschriften, um Anwendungen zu identifizieren oder Arten von Datenverkehr zu blockieren.

Gewusst wie: konfigurieren eine benutzerdefinierten App-ID

Tipps & Tricks - benutzerdefinierte Anfälligkeit

Ich hoffe, dass Ihnen dieser Artikel gefallen; Zögern Sie nicht, unten einen Kommentar hinterlassen.

Wenn Sie mehr davon sehen wollen, schauen Sie sich bitte die Landing Page der Getting Started Serie an!

Bis zum nächsten Mal,

Tom