私たちは、' 未知の ' アプリケーションで何ができますか?

未知の-tcp または未知の-udp は、時にはトラフィックログに表示されますか?アプリ id に関しては、十分なデータがないか、既知のアプリケーションの動作と一致しないデータが転送され、アプリ id が既知のアプリケーションを識別できなかった接続です。良いがあるこのタイプのアプリケーションを組織内みる、これは、良性のトラフィックのチャンス: 多分自作バックアップまたはスクリプト化された保守タスク。これらは、外出時やインターネットからのセッションに現れる、懸念の理由をする必要があります彼ら。

経験則として、ベストプラクティスは、 これらがどのような種類のセッションであるかわからず、悪意がある可能性があるため、すべての未知の udp/未知の tcp をブロックすることです。

盲目的にすべての未知のトラフィックをブロックする、しかし、それのいくつかは合法的である可能性があり、運用上の目的のために必要となる可能性がありますように少し抜本的な可能性があります。最善の解決策は、カスタムアプリケーションを作成することによってトラフィックを特定し始めることであり、どのフローが許可されるか、ブロックする必要があるかをより適切に制御するためにセキュリティポリシーを作成できます。

簡単なカスタムアプリケーションを作成し、アプリのオーバーライドを設定するのが一番手っ取り早い方法です。これは、ソースとデスティネーションが内部および静的である場合に便利で、1つのサーバから制御された環境内の次のサーバーへのスクリプト接続のようになります。

1. 高度な属性やシグネチャを持たない簡略化されたカスタムアプリケーションを作成します。
   
   このメソッドは、さらに検査せずにセッションに AppID を適用しているので、私は5にリスクファクターを設定しました。
   
   
2. アプリケーションオーバーライドポリシーを生成して、意図したフローに正確に一致させます (アプリケーションのオーバーライドは、管理者に知られているフローを識別するためだけに使用します)。
   
3. これで、アプリケーションに基づいてセッションを制御するためにカスタムアプリケーションとセキュリティポリシーを作成できるようになり、セッションが識別されます。
   

アプリケーションを識別する最良の方法は、packetcapture を設定して、アプリケーションがファイアウォールにどのように見えるかをよく理解し、期待されるコンテンツに一致する ように署名を作成することです。この方法では、セッションが正当であることを確実に確認することができます。

1. 完全なセッションを収集した後、パケットキャプチャを設定し、pcap ファイルを収集します。パケットのキャプチャの詳細については、彼の記事をチェックアウトしてください:はじめに: パケットキャプチャ
   
2. 適切な署名のパケットキャプチャを分析します。次の例では、私の4f50 の「/info ・ txtAirPlay
   
   
   & txtRAOP」と同等のクリアテキストである「2f69 6e66 6f3f 7478 7441 6972 506c 6179 2674 7874 5241 packetcapture」の16進数の値を使用します。
   
   
3. 特定しようとしているセッションのパラメータに一致する新しいカスタムアプリケーションを作成します。私の例では、私はそれが組織内の安全とみなされるように1のリスクファクターを割り当てているカスタムエアプレイプロトコルを捕獲した。
   
   
   
   これは、クライアントからサーバーへの宛先ポートとして TCP ポート7000を使用します。
   
   
   署名では、この例で見られるように pcap から16進数の値を使用することができます: (16 進数のパターンについては、先頭と末尾の ' \x ' を追加することを確認エンジンは、それが16進数に一致する必要があることを知っていると
   
   
   しない彼の例: (平文の文字列については、スラッシュ ' \ ' を持つ任意の特殊文字をコメントすることを確認し、これが文字のリテラル一致であることを示すため、それ以外はワイルドカードとして識別できます)。
   さらに、文字列の場所を制限するために、私は、http の修飾子を設定しているメソッドを取得し、これは文字列を見つける必要がありますとして、さらに体の中で反対した。このシグネチャのコンテキストは http 要求パラメータで、カスタムエアプレイプロトコルは http コマンドを使用してサーバーと通信しますが、コンテキストオプションはクライアントとの間の通信で使用される適切なプロトコル (ある場合) に設定する必要があります。サーバー。
   
   その他の例については、ビデオチュートリアル: カスタムアプリケーションとスタートガイド: カスタムアプリケーションとアプリのオーバーライド をご覧ください。一般的なコンテキストには、' 不明-必須-tcp-ペイロード ' が含まれます。未知の--tcp-ペイロード '、' http-要求-ホストヘッダー ' といくつかの他の場所-必須-クライアントのリクエストの略で、-と-は、インターセプトと識別する側を選択することができますサーバーの応答です。
   
   
4. カスタムアプリケーションを作成し、構成をコミットした後、未知の tcp セッションをログ内の新しいカスタムアプリケーションに置き換える必要があります。
5. つまり、セキュリティポリシーを作成して、この特定のアプリケーションをより詳細に制御できるようになり、ビジネスクリティカルなアプリケーションに干渉することなく、未知のトラフィックをブロックできます。
   

私はあなたのコメントを残してお気軽に、この資料は、有益な発見願っています。

死神

カスタムアプリケーションの詳細なアイデアや例については、パロアルトネットワークカスタム署名ディスカッションボードをご覧ください。

また見なさい--

パケット キャプチャの開始:

ビデオチュートリアル: カスタムアプリケーション

スタート ガイド: カスタム アプリケーションとアプリケーションのオーバーライド