Ce qu’on peut mon pare-feu ? Des applications personnalisées et override app !

Selon votre environnement, vous pouvez avoir des applications personnalisées, propriétaires ou vous voulez simplement identifier sous un nom personnalisé le trafic. Vous pouvez exécuter un service web qui est normalement identifié par le pare-feu de Palo Alto Networks comme la navigation sur le web, rendant plus difficile pour vous de créer des rapports, ou vous pouvez appliquer la QoS à un ensemble spécifique de connexions qui utilisent un commun App-ID.

Pour contourner ces problèmes, vous pouvez créer personnalisé App-ID qui correspond à une certaine signature dans le trafic ou remplacement d’application permet de simplement forcer certaines séances d’être identifié comme une application que vous configurez.

Une application personnalisée basée sur les signatures s’appuie sur le moteur ID App pour identifier avec certitude une signature dans les paquets en passant à travers le pare-feu. Si vous essayez d’identifier une application propriétaire qui utilise des signatures prévisibles ou facilement identifiables, vous pouvez créer une application personnalisée utilisant regex pour aider à identifier la signature. 

Exemple: J'ai un service Web fonctionnant en interne sur l'URL www.example.com. Puisqu’il s’agit d’un site Web régulièrement, le pare-feu il identifiera avec la « navigation sur le web » App-ID.

App-ID personnalisé basé sur les signatures

Quand nous prenons regarder de plus près une capture des paquets de la position du trafic vers le serveur, une signature identifiable peut être le nom d’hôte.

Pour créer une application personnalisée, rendez-vous sur les applications et créez une nouvelle application. Définissez les propriétés de la demande et le cas échéant, définir l’application Parent : le Parent App est utilisé lorsque le trafic est actuellement déjà identifié en tant qu’application. Cela aidera à App-ID rapport correctement l’application personnalisée. Dans le cas d’une application propriétaire qui n’est actuellement pas identifiée par ID App, l’application Parent peut rester comme « aucun ».

Dans l’onglet Avancé, vous pouvez définir les ports ou protocole cette application utilisera et également si cette application peut être scannée pour menaces. Il y a, cependant, quelques restrictions qui sont importantes à considérer :

• Si l’application personnalisée a décoché options de numérisation, le moteur de menace s’arrête à inspecter le trafic dès que l’application personnalisée est identifiée.
• Si l’application personnalisée n’a pas un soft de parent qui peut être identifié par l’ID App ordinaire ou est utilisé dans une substitution de l’app (voir ci-dessous), il ne peut pas être analysé pour menaces.

Dans l’onglet signatures, vous pouvez ajouter toutes les signatures nécessaires à l’identification de la demande. Le moteur de l’App-ID pouvoir charger de chercher les signatures possibles dans une transaction unique (un seul paquet de client et serveur ou client) ou dans l’ensemble de la session (un ou signatures pourraient être répartis sur plusieurs paquets dans les deux sens). Il y a beaucoup d’options disponibles sur où chercher pour les signatures et dans quel contexte. Plusieurs jeux de signature peuvent être ajoutés dans un « et » ou « Ou » de condition.

Si tout cela semble un peu confus, ne vous inquiétez pas--j’ai ajouté plusieurs articles utiles à la fin qui vous expliquera plus en profondeur ce qui peut être réalisé avec des signatures personnalisées. Pour l’instant, nous allons garder les choses simples et recherchez une signature dans l’en-tête d’hôte http demande :

Ma signature sera tout simplement le nom d’hôte dans la regex format convivial. Autrement dit, il faut une barre oblique devant le point pour signifier la dot est un personnage et pas un caractère générique. Je vais aussi mettre le qualificatif à la méthode http GET pour indiquer que la signature se trouve dans la requête GET.

Une fois cette application personnalisée est engagée, le pare-feu va commencer à identifier toutes les connexions à mon serveur web comme la nouvelle application :

Nous pouvons maintenant créer des rapports basés sur l’application personnalisée et contrôler plus précisément quel type de trafic est de frapper notre site.

Les étapes ci-dessus fonctionneront parfaitement si l’application peut être facilement identifiée, mais parfois il ne peut pas être nécessaire ou même possible de regarder dans un flux de données et d’identifier une certaine signature.

Remplacement d’application

Override application de force permet de contourner le processus AppID et définit une session pour faire correspondre un nom d’Application configuré manuellement. Une session est traitée comme ceci n'est pas analysée par traitement parallèle et vont être déchargée à fastpath.

Pour la plupart cas d’utilisation, nous vous recommandons de créer une simple application personnalisée avec aussi peu que possibles, comme l’application d’attributs substituent déviera la détection d’analyse ou de la signature. Il sera simplement identifier une session comme l’application personnalisée et ne rien faire. Cela peut être un outil très simple mais puissant pour identifier les applications internes et améliorer le débit que la session est déchargée au matériel immédiatement, mais s’il vous plaît considérer les implications de sécurité.

Si vous vous demandez ce que vous pouvez faire avec les applications personnalisées ou détection basée sur les signatures, s’il vous plaît regardez les articles suivants qui vous montre plusieurs façons de tirer parti des signatures d’identifier les applications ou de bloquer des types de trafic.

Comment configurer un Custom App-ID

Conseils & astuces - vulnérabilité personnalisée

J’espère que vous avez aimé cet article ; n’hésitez pas à laisser un commentaire ci-dessous.

Si vous voulez voir plus de ces derniers, S'il vous plaît consulter la page de destination de la série Getting Started!

Jusqu'à la prochaine fois,

Tom