Tipps & Tricks: wie man eine Applikations Überschreitung erstellt

Tipps & Tricks: wie man eine Applikations Überschreitung erstellt

435881
Created On 09/25/18 19:10 PM - Last Modified 03/19/24 09:00 AM


Resolution


Was ist eine Anwendung überFahren?

Application override ist der, wo die Palo Alto Networks Firewall so konfiguriert ist, dass Sie die normale Anwendungs Identifikation (app-ID) des spezifischen Datenverkehrs, der durch die Firewall geht, übertreibt.  Sobald die Bewerbungs Richtlinie in Kraft tritt, wird die weitere APP-ID-Inspektion des Verkehrs gestoppt und die Sitzung mit der benutzerdefinierten Anwendung identifiziert. 

 

Beispiel AnwendungsSzenario

Sie könnten sich Fragen, warum wir jemals den normalen Anwendungs-Identifikationsprozess überschreiben müssten. In einigen Fällen bauen Kunden ihre eigenen kundenspezifischen Anwendungen auf, um bestimmte Bedürfnisse zu adressieren, die für das Unternehmen einzig Für diese Anwendungen haben wir möglicherweise keine Unterschriften, um das erwartete Verhalten richtig zu identifizieren und den Verkehr mit einer bekannten Anwendung zu identifizieren. In solchen Fällen empfahlen wir, eine Bewerbungs Überschreitung zu erstellen, um eine einfachere Identifizierung und Berichterstattung zu ermöglichen und Verwechslungen zu vermeiden.

 

Schauen wir uns ein typisches Szenario an, in dem Sie eine Anwendungs-override-Richtlinie verwenden könnten. Wenn Sie zum Beispiel eine benutzerdefinierte Anwendung haben, die TCP-Port 23 verwendet, aber der Verkehr, der durch die Firewall geht, als Temenos-T24 identifiziert wird, und die misidentifikation Verwirrung über den Verkehr verursacht, dann kann eine überQuerung der Anwendung implementiert werden, um den Verkehr richtig identifizieren.  

 

Was Sie für die Einrichtung benötigen

Um eine Anwendung zu konfigurieren, gehen Sie zu den RichtLinien > Anwendung override in der WebGUI. Für die Einrichtung benötigen Sie Folgendes:

  • BenutzerDefinierte Anwendung, die in der Application-override-Richtlinie verwendet werden soll (empfohlen)
  • Anwendung überTreibt Politik
  • SicherheitsRichtlinien, die die neu erstellte KundenSpezifische Anwendung über die Firewall ermöglichen

Besonderer Hinweis zur inhaltlichen und Bedrohungs Kontrolle

Die Überprüfung der Anwendung auf eine benutzerdefinierte Anwendung zwingt die Firewall, die Inhalts-und Bedrohungs Kontrolle für den Verkehr, der der override-Regel entspricht, zu umgehen.  Die Ausnahme ist, wenn Sie zu einer vordefinierten Anwendung, die Bedrohungs Kontrolle unterstützt, überfahren.  

 

Schritte

Um eine neue BenutzerDefinierte Anwendung für Telnet zu konfigurieren, die TCP-Port 23 verwendet:

  1. Erstellen Sie eine neue kundenspezifische Anwendung für den betreffenden Verkehr.  Von der WebGUI, gehen Sie zu Objekten > Anwendungen, dann klicken Sie auf Hinzufügen in der unteren linken Seite.
    2015-10-05 TNT 1. jpg

  2. NAME die Anwendung (in diesem Fall etwas anderes als Telnet, das bereits verwendet wird). Das Beispiel verwendet Telnet_Override als Namen. Wählen Sie auch Werte für Kategorie, Unterkategorie und Technologie.
    2015-10-05 TNT 2. jpg

  3. Optionaler Schritt: Dies fügt nur eine weitere Ebene OT Details hinzu, die nicht immer benötigt wird.
    Gehen Sie zu Advanced > Default, und wählen Sie Port, um die Ports in der Anwendung aufzulisten.
    Das Beispiel zeigt die Ports, die in der Anwendung aufgelistet sind:
    2015-10-05 TNT 3. jpg
    nach der Auswahl von Port als Parameter klicken Sie auf Hinzufügen und Einfügen von Protokoll und Port, wie erforderlich. In diesem Beispiel brauchen wir keine Signatur, also gehen Sie weiter und klicken Sie auf OK, um diese individuelle Anwendung zu vervollständigen.

  4. Um eine Application-override-Richtlinie zu erstellen, gehen Sie zu Policies > Anwendung override, dann klicken Sie auf HinzuFügen
    2015-10-05 TNT 4. jpg

  5. Geben Sie unter der Registerkarte Allgemeines einen Namen für die Richtlinie ein. Das Beispiel verwendet Telnet_Override.
    2015-10-05 TNT 5. png

  6. Gehen Sie zur Quelle und fügen Sie die Quell Zone hinzu. Geben Sie eine QuellAdresse an (siehe Beispiel), wenn die Quelle eine statische Adresse ist; Ansonsten gehen Sie wie jede andere.
    2015-10-05 TNT 6. png

  7. Gehen Sie zum Ziel und fügen Sie die Zielzone hinzu. Geben Sie eine ZielAdresse an (siehe Beispiel), wenn das Ziel eine statische Adresse ist; Ansonsten gehen Sie wie jede andere.
    2015-10-05 TNT 7. png

  8. Gehen Sie zum Protokoll/Anwendung und wählen Sie das Protokoll, geben Sie die Port Nummer ein und wählen Sie die angepasste Anwendung aus.
    2015-10-05 TNT 8. png

Mit der Custom APP, verifizieren und testen

Erstellen Sie nun entweder eine SicherheitsRichtlinie, die diese neue Anwendung über die Firewall ermöglicht, oder ändern Sie eine bestehende Regel.

 

  1. Um eine neue Regel zu erstellen, gehen Sie zu Policies > Sicherheit und klicken Sie auf HinzuFügen in der unteren linken Seite. Erstellen Sie die SicherheitsRichtlinien für die Zonen, die der Verkehr mit der benutzerdefinierten Anwendung durchlaufen wird. Geben Sie die Ports an, die im Dienst verwendet werden. Alle neuen Sessions werden mit der neuen Custom-Anwendung erkannt. Den Verkehr zulassen.
    2015-10-05 TNT 9. jpg

  2. Jetzt begehen und testen. Der Verkehr sollte Telnet_Override als Anwendung anstelle von Telnet oder Temenos-T24 verwenden, wie zuvor besprochen.

  3. Nachdem Sie die Richtlinien verpflichtet haben, führen Sie den folgenden Befehl über das CLI aus , um Sitzungsdetails anzuzeigen.
    > Session alle Filteranwendungen Telnet_Override

Bitte teilen Sie uns mit, ob das hilft, oder ob Sie unten Kommentare haben. 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVLCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language