¿Qué podemos hacer con las aplicaciones ' desconocidas '?

¿Qué es lo desconocido-TCP o desconocido-UDP que a veces aparece en los registros de tráfico? En términos de app-id, estas son conexiones donde no hay suficientes datos, o datos que no coinciden con el comportamiento de cualquier aplicación conocida, fueron transferidos y app-id no pudo identificar una aplicación conocida. Cuando este tipo de aplicación es visto dentro de la organización, hay una buena oportunidad es tráfico benigno: tal vez una copia de seguridad de homebrew o una tarea de mantenimiento mediante scripts. Si estos aparecen en las sesiones ir a, o desde internet, deben ser un motivo de preocupación.

Como regla general, la mejor práctica es bloquear todo lo desconocido-UDP/desconocido-TCP, ya que no está seguro de qué tipo de sesiones son y podrían ser maliciosos.

Bloquear ciegamente todo tráfico desconocido, sin embargo, puede ser un poco drástico ya que algunos de ellos pueden ser legítimos y pueden ser requeridos para propósitos operacionales. La mejor solución es iniciar la identificación del tráfico mediante la creación de aplicaciones personalizadas, de modo que se puedan crear políticas de seguridad para controlar mejor los flujos y cuáles deben bloquearse.

La manera más rápida de hacer esto es crear una aplicación personalizada simple y establecer un reemplazo de la aplicación. Esto es útil cuando el origen y el destino son internos y estáticos, como una conexión con secuencias de comandos de un servidor al siguiente dentro de un entorno controlado:

1. Cree una aplicación personalizada simplificada sin atributos ni firmas avanzados. He
   
   establecido el factor de riesgo a 5 porque este método está aplicando un AppID a las sesiones sin más inspección.
   
   
2. Creat una política de anulación de la aplicación para que coincida con el flujo previsto exactamente (la anulación de la aplicación sólo debe utilizarse para identificar los flujos conocidos por el administrador).
   
3. Ahora se identificarán las sesiones, ya que la aplicación y la política de seguridad personalizadas se pueden crear para controlar la sesión basándose en la aplicación.
   

La mejor manera de identificar la aplicación es mediante la configuración de un packetcapture para obtener una buena comprensión de lo que la aplicación se ve como el cortafuegos y, a continuación, crear una firma para que coincida con el contenido esperado. De esta manera usted puede hacer absolutamente seguro que la sesión es legítima.

1. Configure la captura de paquetes y recopile los archivos PCaP después de haber recopilado una sesión completa. Para obtener más información sobre las capturas de paquetes, por favor revise su artículo: Cómo empezar
   : captura de paquetes
2. Analice la captura de paquetes para obtener una firma apropiada.
   
   
   Para el ejemplo siguiente, utilizaré el valor hexadecimal de "2f69 6e66 6f3f 7478 7441 6972 506c 6179 2674 7874 5241 4f50", que es el equivalente de texto claro de "/info? txtAirPlay & txtRAOP" en mi packetcapture.
   
   
3. Crear una nueva aplicación personalizada que coincida con los parámetros de la sesión que va a identificar: en mi ejemplo he capturado un protocolo de AirPlay personalizado que he asignado un factor de riesgo de 1, ya que se considera seguro dentro de la organización.
   
   
   
   Usará el puerto TCP 7000 como puerto de destino del cliente al servidor.
   
   
   En la firma, puede utilizar el valor hexadecimal del pcap como se ve en este ejemplo: (para patrones hexadecimales, asegúrese de agregar un ' \x ' principal y posteriorpara que el motor sepa que tiene que coincidir con el hex y no para texto traducido)
   
   
   o una cadena regex como se ve en t su ejemplo: (para cadenas de texto, asegúrese de comentar cualquier carácter especial con una barra diagonal ' \ ' para indicar que se trata de una coincidencia literal para el carácter, de lo contrario podría ser identificado como un comodín).
   Para limitar aún más la ubicación de la cadena, he establecido un calificador para el método HTTP GET, ya que es donde la cadena debe ser encontrado en lugar de más lejos en el cuerpo. El contexto de esta firma es el parámetro de solicitud HTTP, ya que el protocolo Custom Airplay utiliza comandos http para comunicarse con el servidor, la opción de contexto deberá establecerse en el protocolo apropiado, si lo hubiere, utilizado en la comunicación entre el cliente y Servidor.
   
   Para obtener más ejemplos, consulte el tutorial de vídeo: aplicación personalizada y Introducción: aplicaciones personalizadas y reemplazo de la aplicación. Los contextos comunes incluyen ' desconocidos-req-TCP-carga útil ', ' Unknown-RSP-TCP-carga útil ', ' http-req-host-headers ' y varios otros donde-req-stands para peticiones de clientes, y-RSP-son respuestas del servidor, permitiéndole elegir qué lado para interceptar e identificar.
   
   
4. Una vez creada la aplicación personalizada y la configuración confirmada, las sesiones Unknown-TCP deben reemplazarse por la nueva aplicación personalizada de los registros:
5. Lo que significa que ahora se puede crear una política de seguridad para tener más control sobre esta aplicación específica, lo que le permite bloquear el tráfico desconocido sin interferir con las aplicaciones críticas para el negocio:
   

Espero que haya encontrado este artículo informativo, por favor siéntase libre de dejar un comentario.

Reaper

Para más ideas y ejemplos de aplicaciones personalizadas, visite el foro de discusión de firmas personalizadas de palo alto Networks.

Vea también--

Primeros pasos: Captura de paquetes

Video Tutorial: aplicación personalizada

Introducción: Aplicaciones de medida y anulación de la aplicación