App-IDS, PCAPs y firmas personalizadas
Resolution
¿Qué es app-id?
La identificación de la aplicación o app-id es un componente principal de los dispositivos de Palo Alto Networks. Es un mecanismo patentado que se presenta sólo en un dispositivo Palo Alto Networks y es responsable de identificar las aplicaciones que atraviesan los firewalls independientemente de su puerto, protocolo y encriptación (SSL o SSH). Esta identificación de aplicaciones garantiza el éxito de las inspecciones de la capa 7 adecuadas en el nivel de carga de paquetes, en comparación con las firmas de aplicaciones de Palo Alto Networks (hoy más de 2.000 individuales App-IDS), decodificadores de protocolos de aplicación y heurística. Estos elementos son responsables de la visibilidad de este tráfico de la capa 7 (L7) que atraviesa los cortafuegos de Palo Alto Networks.
El motor detrás del componente app-id está impulsado por una serie de contextos predeterminados. Estos contextos utilizan decodificadores para ayudar a identificar las aplicaciones que se han tunelizado dentro de la aplicación principal, (por ejemplo, Google Talk dentro de Gmail). Las aplicaciones son categorizadas y clasificadas por el motor de la aplicación pan-os app-id, permitiendo la identificación y el uso apropiados de los grupos de aplicaciones en el nivel de la política de seguridad.
Durante este proceso de clasificación, Palo Alto Networks define las aplicaciones principales (APP para padres) y algunas directamente dependientes (o aplicaciones secundarias), que son parte de estas aplicaciones principales. Por ejemplo, al clasificar una aplicación, como "Uploading", como la aplicación principal de una app-id recién creada que usará la transferencia de archivos desde la web (uso compartido de archivos basado en navegador). Esto permite que la aplicación Child sea identificada correctamente como parte de la aplicación principal "Uploading", y proporciona visibilidad a la aplicación apropiada bajo la categorización correcta.
Aunque clasificamos, categorizamos y creamos varias aplicaciones conocidas dentro de pan-os todavía hay varias aplicaciones que no están en la base de datos de dispositivos de Palo Alto Networks. Estas aplicaciones son llamadas "desconocidas", lo que significa desconocido para pan-os en ese momento, pero no se sabe que pan-os. En estos casos, se pueden crear firmas de ID de aplicación personalizadas para identificarlas y clasificarlas correctamente.
¿Cómo funciona app-id?
Mientras el tráfico está atravesando los firewalls de Palo Alto Networks, el motor de app-id siempre está proporcionando una visibilidad constante de los logs (monitor Tab) en pan-os, pero la secuencia anterior a esa visibilidad se parece a la siguiente:
El tráfico debe coincidir con una directiva de seguridad y permitir firmas. Estas firmas se aplican al tráfico para identificar la aplicación/aplicaciones basadas en las características únicas de las aplicaciones. Si la aplicación utiliza sus puertos de servicio estándar, se debe utilizar "default de aplicación" en el campo servicios. Si se utilizan puertos no estándar, los puertos TCP o UDP deberán especificarse en la columna servicios de la regla de tráfico.
Si el motor de app-id determina que el tráfico está siendo encriptado (SSL o SSH), una política de desencriptación debe estar en su lugar que permita al motor app-id inspeccionar el tráfico.
PAN-os es un motor basado en el contexto. Los decodificadores, para algunos protocolos conocidos, también se aplican y serán responsables de identificar otras aplicaciones "incrustadas" que tal vez tunelizadas dentro del Protocolo (por ejemplo, Gmail Google Chat utilizado a través del http). Algunas aplicaciones todavía pueden intentar evadir y no pueden ser identificadas a través de las firmas y decodificadores. Se puede utilizar una heurística o un análisis conductual para identificar la aplicación. Si después de todos estos pasos la aplicación no se identifica correctamente, se clasificará como "desconocida" para un análisis ulterior y una identificación adecuada del equipo de operaciones de seguridad. Si sigue siendo una aplicación desconocida, puede bloquearse o no ser parte de una lista de aplicaciones aprobadas que se encuentra en la Directiva de seguridad.
¿Cómo maneja pan-os las aplicaciones desconocidas?
Cuando se trabaja con cualquier proceso de adopción de app-id, ya sea a través de una herramienta de migración o manualmente mediante el análisis de logs, el primer paso en la adopción de App-IDS es separar desconocido para el tráfico conocido. El tráfico conocido son las aplicaciones ya identificadas en los logs de Firewall de Palo Alto Networks. Lo desconocido están sujetos a análisis y deben ser identificados adecuadamente. Debe tener una regla de anulación de aplicación creada que se conocerá como "ruta rápida" si sólo contiene los puertos de servicio y sólo utilizará la inspección de capa 3 y 4 que no va a la capa 7.
Estas reglas pueden utilizarse para proporcionar visibilidad durante el proceso de investigación del tráfico desconocido. Una vez que se inserta la información de paquetes adecuada y se lleva a cabo un análisis adicional a la secuencia TCP, se puede crear una firma de ID de aplicación de capa completa de 7 y proporcionará visibilidad y la inspección de la capa 7 sin necesidad de una regla de anulación de la aplicación. Para el tráfico que no se pudo identificar, se requiere más análisis. Los logs de Palo Alto Networks pueden proporcionar información válida durante este proceso.
Sabiendo la razón por la cual una aplicación se marcó como desconocido-el tráfico es clave y en pan-os hay dos tipos principales de clasificación para incógnitas:
- Datos incompletos, que suceden después de que un apretón de mano fue ejecutado pero ningunos datos vinieron antes del tiempo de espera.
- Los datos insuficientes, que suceden cuando se completa un apretón de mano, se envían algunos datos, pero no se envían suficientes paquetes para identificar la aplicación.
Estos casos suelen estar relacionados con la red o algunas aplicaciones no convencionales que se comunican de manera singular. En este punto sabemos lo suficiente acerca de la aplicación desconocida, pero necesitamos una captura de paquetes (PCAP) para identificar correctamente un patrón dentro de una secuencia TCP hasta que esta sesión esté cerrada.
Con el PCAP en la mano, y después del análisis apropiado, utilice la aplicación dentro de la red para replicar el tráfico. Cree un pcap desde el firewall para tener suficiente detalle y, a continuación, establecer un patrón adecuado que se utilizará mediante la creación de una firma de ID de aplicación personalizada o puede ser enviado a Palo Alto Networks support y se creará para usted.
Nota: se necesitará más de una sola secuencia de paquetes.
Es necesario crear un ID de aplicación personalizado con los mismos criterios, todas las demás aplicaciones se insertan en el repositorio de ID de aplicación de pan-os. También necesita las características apropiadas, clasificación, categoría y subcategoría, así como el nivel de riesgo y el puerto de servicio y los tiempos de espera.
Cómo crear un pcap
Realizar un pcap para ayudar a identificar el tráfico desconocido.
Consulte el siguiente documento y vídeo para obtener más información sobre cómo crear una captura de paquetes:
El vídeo mencionado anteriormente muestra cómo:
- Configurar y ejecutar un pcap básico desde la interfaz de usuario de pan-os
- Descargue los archivos pcap producidos
- Abrir los archivos pcap para su análisis
Crear un ID de aplicación personalizado
Después de haber analizado la secuencia TCP y se ha encontrado un patrón, que es constante y no está relacionado con la infraestructura alrededor de la carga útil (direcciones MAC, datos de fabricación de hardware, información de NIC), ahora podemos utilizar este fragmento de datos en nuestra nueva firma de ID de aplicación personalizada .
Nota: Utilice el formato hexadecimal en su REGEX.
Ver también
Firmas de aplicación personalizada
Propietario: efurtado