Consejos y trucos: Cómo crear un reemplazo de aplicaciones

Consejos y trucos: Cómo crear un reemplazo de aplicaciones

435877
Created On 09/25/18 19:10 PM - Last Modified 03/19/24 09:00 AM


Resolution


¿Qué es un reemplazo de aplicaciones?

La anulación de la aplicación es donde el cortafuegos de Palo Alto Networks está configurado para reemplazar la identificación de aplicación normal (App-ID) de tráfico específico que pasa a través del firewall.  En cuanto la política de anulación de la aplicación tiene efecto, se detiene toda la inspección de app-id del tráfico y se identifica la sesión con la aplicación personalizada. 

 

Ejemplo de uso del escenario

Puede preguntarse por qué necesitamos anular el proceso de identificación de la aplicación normal. En algunos casos, los clientes construyen sus propias aplicaciones personalizadas para satisfacer necesidades específicas exclusivas de la empresa. Para estas aplicaciones, es posible que no tengamos firmas para identificar correctamente el comportamiento esperado e identificar el tráfico con una aplicación conocida. En tales casos, recomendamos crear un rebase de la aplicación para facilitar la identificación y el reporting, y para prevenir la confusión.

 

Echemos un vistazo a un escenario típico en el que puede utilizar una directiva de reemplazo de aplicaciones. Si, por ejemplo, tiene una aplicación personalizada que utiliza el puerto TCP 23, pero el tráfico que pasa a través del cortafuegos se identifica como TEMENOS-T24, y la identificación errónea causa confusión sobre el tráfico, entonces se puede implementar un reemplazo de la aplicación para Identifique correctamente el tráfico.  

 

Lo que necesitará para la configuración

Para configurar un reemplazo de la aplicación, vaya a directivas > inValidación de la aplicación en el WebGUI. Para la configuración, necesitará lo siguiente:

  • Aplicación personalizada que se utilizará en la Directiva de anulación de la aplicación (recomendada)
  • Política de anulación de aplicaciones
  • Directiva de seguridad que permite la aplicación personalizada recién creada a través del cortafuegos

Nota especial sobre el contenido y la inspección de amenazas

La anulación de la aplicación a una aplicación personalizada obligará al Firewall a omitir el contenido y la inspección de amenazas para el tráfico que coincida con la regla de anulación.  La excepción a esto es cuando se reemplaza a una aplicación preDefinida que admite la inspección de amenazas.  

 

Pasos

Para configurar una nueva aplicación personalizada para telnet, que utiliza el puerto TCP 23:

  1. Cree una nueva aplicación personalizada para el tráfico en cuestión.  Desde el WebGUI, vaya a objetos > aplicaciones, a continuación, haga clic en agregar en la parte inferior izquierda.
    2015-10-05 TNT 1. jpg

  2. Name la aplicación (en este caso, algo que no sea Telnet, que ya se utiliza). El ejemplo utiliza Telnet_Override como nombre. Además, seleccione valores para categoría, subcategoría y tecnología.
    2015-10-05 TNT 2. jpg

  3. Paso opcional: esto apenas agrega otro detalle del OT de la capa que no es siempre necesario.
    Vaya a avanzadas > valores predeterminadosy seleccione puerto para listar los puertos de la aplicación.
    En el ejemplo se muestran los puertos que se enumeran en la aplicación:
    2015-10-05 TNT 3. jpg
    después de seleccionar Port como parámetro, haga clic en Agregar e insertar protocolo y puerto, según sea necesario. En este ejemplo, no necesitamos una firma, así que siga adelante y haga clic en Aceptar para completar esta aplicación personalizada.

  4. Para crear una directiva de anulación de la aplicación, vaya a directivas > anulación de la aplicación y, a continuación, haga clic en agregar:
    2015-10-05 TNT 4. jpg

  5. En la ficha General, escriba un nombre para la Directiva. El ejemplo utiliza Telnet_Override.
    2015-10-05 TNT 5. png

  6. Vaya a Source y añada la zona de origen. Especifique una dirección de origen (vea ejemplo) si el origen es una dirección estática; Si no, váyase como cualquiera.
    2015-10-05 TNT 6. png

  7. Vaya a destino y añada la zona de destino. Especifique una dirección de destino (vea ejemplo) si el destino es una dirección estática; Si no, váyase como cualquiera.
    2015-10-05 TNT 7. png

  8. Vaya a protocolo/aplicación y seleccione el protocolo, introduzca el número de puerto y seleccione la aplicación personalizada creada.
    2015-10-05 TNT 8. png

Uso de la aplicación personalizada, comprobar y probar

Ahora cree una directiva de seguridad para permitir esta nueva aplicación a través del cortafuegos o modifique una regla existente.

 

  1. Para crear una nueva regla, vaya a directivas > seguridad y haga clic en agregar en la parte inferior izquierda. Cree la Directiva de seguridad para las zonas que el tráfico pasará mediante la aplicación personalizada. Especifique los puertos que se usarán en el servicio. Todas las nuevas sesiones se detectarán con la nueva aplicación personalizada. Permitir el tráfico.
    2015-10-05 TNT 9. jpg

  2. Ahora comprométete y prueba. El tráfico debe usar Telnet_Override como la aplicación en lugar de telnet o TEMENOS-T24 como se ha comentado anteriormente.

  3. Después de cometer la Directiva, ejecute el siguiente comando a través de CLI para ver los detalles de la sesión.
    > Mostrar sesión toda la aplicación de filtro Telnet_Override

Por favor, déjenos saber si esto ayuda, o si tiene algún comentario a continuación. 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVLCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language