App-IDs, pcaps und kundenspezifische Signaturen
Resolution
Was ist APP-ID?
Application Identification oder APP-ID ist ein Hauptbestandteil von Palo Alto Networks-Geräten. Es handelt sich um einen patentierten Mechanismus, der nur auf einem Gerät von Palo Alto Networks präsentiert wird und für die Identifizierung von Anwendungen verantwortlich ist, die die Firewalls unabhängig von Ihrem Port, Protokoll und Verschlüsselung (SSL oder SSH) durchqueren. Diese Identifizierung der Anwendungen sichert den Erfolg der richtigen Schicht-7-Inspektionen auf der Paket Belastungs Ebene, im Vergleich zu Palo Alto Networks-Anwendungs Unterschriften (heute über 2.000 einzelne APP-IDs), Anwendungsprotokoll-Decodern und Heuristik. Diese Elemente sind für die Sichtbarkeit dieser Schicht 7 (L7) Verkehr durch die Palo Alto Networks Firewalls durchquert verantwortlich.
Der Motor hinter der APP-ID-Komponente wird von einer Reihe von vorgegebenen Kontexten angetrieben. Diese Kontexte verwenden Decoder, um Anwendungen zu identifizieren, die innerhalb der Hauptanwendung getunnelt wurden (zum Beispiel Google Talk innerhalb von Gmail). Die Anwendungen werden von der Pan-OS App-ID-Engine kategorisiert und klassifiziert, was eine korrekte Identifizierung und Nutzung von Anwendungs Gruppen auf sicherheitspolitischer Ebene ermöglicht.
Während dieses Klassifizierungs Prozesses definiert Palo Alto Networks Hauptanwendungen (Eltern-APP) und einige direkt abhängige (oder Kinder-APP), die Teil dieser Hauptanwendungen sind. Zum Beispiel, indem man eine APP wie "Upload" als Eltern-app in einer neu erstellten APP-ID einstuft, die die Dateiübertragung aus dem Web (browserbasiertes File-Sharing) nutzt. Damit kann die Kinder-App als Teil der Eltern-app "Upload" richtig identifiziert werden und bietet die passende Anwendung unter der richtigen Kategorisierung.
Auch wenn wir mehrere bekannte Anwendungen innerhalb von Pan-OS klassifizieren, kategorisieren und erstellen, gibt es immer noch mehrere Anwendungen, die nicht auf der Datenbank von Palo Alto Networks-Geräten stehen. Diese Anwendungen werden als "unbekannt" bezeichnet, was zu dieser Zeit für Pan-OS unbekannt ist, aber Pan-OS nicht bekannt ist. In diesen Fällen können benutzerdefinierte APP-ID-Signaturen erstellt werden, um Sie richtig zu identifizieren und zu klassifizieren.
Wie funktioniert APP-ID?
Während der Verkehr die Palo Alto Networks Firewalls durchquert, bietet die APP-ID-Engine immer eine Konstante Sichtbarkeit der Protokolle (Monitor-Tab) in Pan-OS, aber die Sequenz vor dieser Sichtbarkeit sieht wie folgt aus:
Der Verkehr muss einer Sicherheitspolitik entsprechen und Unterschriften zulassen. Diese Signaturen werden auf den Verkehr angewendet, um die Anwendung/Anwendungen auf der Grundlage der Anwendungen einzigartige Eigenschaften zu identifizieren. Wenn die Anwendung Ihre Standard-Service-Ports nutzt, sollte "Application default" im Dienstleistungsbereich verwendet werden. Wenn nicht-Standard-Ports verwendet werden, müssen diese TCP oder UDP-Ports in der Services-Spalte der Traffic-Regel angegeben werden.
Wenn die APP-ID-Engine festlegt, dass der Traffic verschlüsselt wird (SSL oder SSH), muss eine Entschlüsselungs Richtlinie vorhanden sein, die es der APP-ID-Engine ermöglicht, den Verkehr zu überprüfen.
Pan-OS ist ein Kontext basierter Motor. Decoder, für einige bekannte Protokolle, werden ebenfalls angewendet und werden dafür verantwortlich sein, andere "eingebettete" Anwendungen zu identifizieren, die möglicherweise innerhalb des Protokolls getunnelt werden (zum Beispiel gmail Google Chat, der über das HTTP verwendet wird). Einige Anwendungen können immer noch versuchen zu umgehen und können nicht durch die Signaturen und Decoder identifiziert werden. Zur Identifizierung der Anwendung kann eine Heuristik oder Verhaltensanalyse verwendet werden. Wenn die Anwendung nach all diesen Schritten nicht ordnungsgemäß identifiziert wird, wird Sie als "unbekannt" für die weitere Analyse und ordnungsgemäße Identifizierung durch das Sicherheits-Operations-Team eingestuft. Wenn es sich noch um eine unbekannte Anwendung handelt, kann Sie gesperrt werden oder nicht Teil einer zugelassenen Anwendungsliste sein, die in der Sicherheitsrichtlinie platziert ist.
Wie geht Pan-OS mit unbekannten Anwendungen um?
Bei der Arbeit mit einem APP-ID-Adoptionsprozess, sei es durch ein Migrationswerkzeug oder manuell durch die Analyse von Protokollen, ist der erste Schritt bei der Annahme von App-IDs, unbekannte von bekannten Datenverkehr zu trennen. Der bekannte Traffic sind die Anwendungen, die bereits auf Palo Alto Networks Firewall-Protokollen identifiziert wurden. Die unbekannten sind zur Analyse untergestellt und müssen ordnungsgemäß identifiziert werden. Es muss eine APP-override-Regel erstellt haben, die als "schneller Pfad" bekannt ist, wenn Sie nur die Service-Ports enthält und nur die Ebene 3 und 4-Inspektion verwenden wird, die nicht zur Ebene 7 geht.
Diese Regeln können genutzt werden, um während des Ermittlungsverfahrens den unbekannten Verkehr sichtbar zu machen. Sobald die richtigen Paketinformationen eingefügt sind und weitere Analysen an den TCP-Stream weitergeführt werden, kann eine vollständige Layer 7 APP-ID-Signatur erstellt werden, die für Sichtbarkeit und Schicht-7-Inspektion sorgt, ohne dass eine APP-override-Regel benötigt wird. Für den Verkehr, der nicht identifiziert werden konnte, ist eine weitere Analyse erforderlich. Palo Alto Networks-Protokolle können während dieses Prozesses gültige Informationen liefern.
In Kenntnis des Grundes, warum eine Anwendung als unbekannt markiert wurde-der Verkehr ist der Schlüssel und in Pan-OS gibt es zwei Haupttypen der Klassifizierung für unbekannte:
- Unvollständige Daten, die nach der Ausführung eines Handschlags geschehen, aber vor dem Timeout keine Daten durchkamen.
- Unzureichende Daten, die passieren, wenn nach Abschluss eines Handschlags einige Daten durch gesendet werden, aber nicht genügend Pakete gesendet wurden, um die Anwendung zu identifizieren.
In diesen Fällen handelt es sich in der Regel um netzwerkbezogene oder unkonventionelle Anwendungen, die auf einzigartige Weise kommunizieren. An dieser Stelle wissen wir genug über die unbekannte Anwendung, aber wir brauchen eine Paket Aufnahme (pcap), um ein Muster innerhalb eines TCP-Streams richtig zu identifizieren, bis diese Sitzung geschlossen ist.
Mit der pcap auf der Hand, und nach der richtigen Analyse, verwenden Sie die Anwendung innerhalb des Netzwerks, um den Verkehr zu replizieren. Erstellen Sie eine pcap aus der Firewall, um genug Details zu haben und dann ein richtiges Muster zu etablieren, das durch die Erstellung einer benutzerdefinierten APP-ID-Signatur verwendet wird, oder es könnte an Palo Alto Networks Unterstützung gesendet werden und es wird für Sie erstellt.
Hinweis: es wird mehr als ein einziger Paketstrom benötigt.
Es muss eine eigene APP-ID mit den gleichen Kriterien erstellt werden, alle anderen Anwendungen werden in das Pan-OS App-ID-Repository eingefügt. Es braucht auch die richtigen Eigenschaften, Klassifizierung, Kategorie und Unterkategorie, sowie Risikoniveau und Service-Port und Timeouts.
Wie man eine pcap erstellt
Führen Sie eine pcap durch, um den unbekannten Verkehr zu identifizieren.
Bitte lesen Sie das folgende Dokument und Video, um mehr über die Erstellung einer Paket Aufnahme zu erfahren:
Das oben erwähnte Video zeigt, wie man:
- Konfigurieren und ausführen Sie eine grundlegende pcap aus dem Pan-OS UI
- Laden Sie die produzierten pcap-Dateien herunter
- Öffnen Sie die pcap-Dateien für die Analyse
Erstellen Sie eine eigene APP-ID
Nachdem Sie Ihren TCP-Stream analysiert haben und ein Muster gefunden wurde, das konstant ist und nicht mit der Infrastruktur rund um die Nutzlast (Mac-Adressen, Hardware-Herstellungsdaten, NIC-Informationen) in Zusammenhang steht, können wir diesen Teil der Daten nun in unsere neue benutzerdefinierte APP-ID-Signatur verwenden. .
Hinweis: Verwenden Sie das hexadezimale Format in Ihrem Regex.
Siehe auch
Benutzerdefinierte Anwendung Unterschriften
Besitzer: efurtado