Introducción: Aplicaciones de medida y anulación de la aplicación
Resolution
¿Qué más puede mi firewall hacer? ¡Aplicaciones personalizadas y anulación de la aplicación!
Dependiendo de su entorno, pueden tener aplicaciones propiedad medida o tráfico que simplemente desea identificar por un nombre personalizado. Usted puede ejecutar un servicio web que normalmente se identifica por el firewall de Palo Alto Networks como navegación por la web, haciendo más difícil para usted crear informes, o puede que desee aplicar QoS a un conjunto específico de conexiones que utilice un ID de aplicación común
Para evitar estos problemas, puede crear App-ID personalizado que coincida con una cierta firma en el tráfico o uso solicitud anulación simplemente forzar determinadas sesiones para identificarse como una aplicación que configura.
Una aplicación personalizada basada en la firma se basa en el motor de la App-ID para identificar positivamente a una firma en los paquetes que pasan a través del cortafuegos. Si están tratando de identificar una aplicación propietaria que utiliza firmas predecibles o fácilmente identificables, puede crear una aplicación personalizada usando regex para ayudar a identificar la firma.
Ejemplo: tengo un servicio Web que se ejecuta internamente en la URL www.example.com . Ya que este es un sitio regular, el firewall identifican con el 'navegación por la web' App-ID.
App-ID personalizado basado en firmas
Cuando tomamos un vistazo a una captura de paquetes de la dirección de tráfico en el servidor, una firma identificable puede ser el nombre de host.
Para crear una aplicación personalizada, cabeza encima a las aplicaciones y crear una nueva aplicación. Las propiedades de aplicación y en su caso, el padre de la aplicación: la aplicación de la matriz se utiliza cuando el tráfico actualmente ya que se identifica como una aplicación. Esto ayudará a que App-ID correctamente informe personalizado de la aplicación. En caso de una aplicación propietaria actualmente no identificado mediante el ID de App, la aplicación de la matriz puede dejarse como 'none'.
En la ficha avanzadas, puede configurar los puertos o protocolo que se va a utilizar esta aplicación y también si esta aplicación se puede explorar para las amenazas. Sin embargo, hay algunas advertencias que son importantes a considerar:
- Si la aplicación personalizada tiene opciones de exploración, el motor de la amenaza dejará de inspeccionar el tráfico tan pronto como se identifica la aplicación personalizada.
- Si la aplicación personalizada no tiene una aplicación de matriz que puede ser identificada por el ID de aplicación regular o se utiliza en una anulación de la aplicación (véase abajo), no pueden ser escaneado de las amenazas.
En la ficha firmas, puede agregar todas las firmas requeridas para identificar la aplicación. El motor App-ID puede ser instruido para buscar potenciales firmas en una sola transacción (un solo paquete de cliente a servidor o servidor a cliente) o en toda la sesión (una firma o firmas se podrían extenderse sobre varios paquetes en cualquier dirección). Hay un montón de opciones disponibles en donde buscar para las firmas y en qué contexto. También se pueden añadir varios conjuntos de la firma en un 'y' o 'O' condición.
Si todo esto parece un poco confuso, no te preocupes, he añadido varios artículos útiles en el extremo que se explica más a fondo lo que puede lograrse con las firmas personalizadas. Por ahora, a mantenerlo simple y buscar una firma en el encabezado de host de solicitud http:
Mi firma será simplemente el nombre de host en formato amigable regex. Esto significa que es necesario que haya una barra inclinada hacia atrás delante del punto para indicar el punto es un personaje y no un comodín. También podrá configurar el calificador para método http GET para indicar que la firma puede encontrarse en la solicitud GET.
Una vez que esta aplicación personalizada está comprometida, el firewall comenzará a identificar todas las conexiones a mi servidor de web como la nueva aplicación:
Ahora podemos crear informes basados en la aplicación personalizada y monitorear específicamente qué tipo de tráfico es golpear a nuestro sitio.
Los pasos anteriores funciona perfectamente si la aplicación puede ser fácilmente identificada, pero a veces puede no ser necesario o incluso posible a ver a un flujo de datos e identificar una cierta firma.
Anulación de la aplicación
Solicitud anulación a la fuerza pasa por alto el proceso de AppID y establece una sesión con un nombre de aplicación configurado manualmente. Cualquier procesado como esta no serán analizados por el procesamiento en paralelo y se descargan a fastpath.
Para la mayoría de los casos de uso, le recomendamos crear una simple aplicación personalizada con como pocos atributos como sea posibles, como la aplicación reemplazar será desviar la detección de escaneo o firma. Simplemente identificar una sesión de la aplicación personalizada y no tomar ninguna medida adicional. Esto puede ser una herramienta muy simple pero poderosa para ayudar a identificar aplicaciones internas y mejorar el rendimiento como la sesión se descarga inmediatamente al hardware, pero considere las implicaciones de seguridad.
Si te estás preguntando qué más puede hacer con aplicaciones personalizadas o detección basada en firmas, por favor tome un vistazo a los siguientes artículos que muestran más maneras de aprovechar las firmas para identificar aplicaciones o bloquear tipos de tráfico.
Cómo configurar un ID de aplicación personalizado
Consejos y trucos - medida de la vulnerabilidad
Espero que les haya gustado este artículo; no dude en dejar un comentario abajo.
Si desea ver más de estos, por favor revise la Página de inicio de la serie Getting Started!
Hasta la próxima vez,
Tom