App-IDS, PCAPs et signatures personnalisées
Resolution
Qu'est-ce que app-ID?
L'identification d'application ou l'app-ID est un composant principal des dispositifs de réseaux de Palo Alto. Il s'agit d'un mécanisme breveté présenté uniquement sur un appareil de Palo Alto Networks et est responsable de l'identification des applications traversant les pare-feu indépendamment de son port, le protocole et le cryptage (SSL ou SSH). Cette identification des applications assure le succès de la bonne couche 7 inspections au niveau de la charge de paquets, par rapport à Palo Alto Networks signatures d'application (aujourd'hui plus de 2 000 individuels App-IDS), les décodeurs de protocole d'application, et heuristiques. Ces éléments sont responsables de la visibilité de ce trafic de la couche 7 (L7) traversant les pare-feu de Palo Alto Networks.
Le moteur derrière le composant App-ID est piloté par une série de contextes pré-déterminés. Ces contextes utilisent des décodeurs pour aider à identifier les applications qui ont été tunnelées dans l'application principale (par exemple, Google Talk dans Gmail). Les applications sont catégorisées et classées par le moteur de l'app-ID de Pan-OS, ce qui permet une identification et une utilisation appropriées des groupes d'applications au niveau de la stratégie de sécurité.
Au cours de ce processus de classification, Palo Alto Networks définit les applications principales (parent App) et certains directement dépendant (ou App enfant), qui font partie de ces applications principales. Par exemple, en classant une application, telle que «Uploading», comme l'application parente dans un nouvel App-ID qui utilisera le transfert de fichiers à partir du Web (partage de fichiers basé sur le navigateur). Cela permet à l'application enfant d'être correctement identifiée dans le cadre de l'application «Uploading» parent, et fournit une visibilité à l'application appropriée sous la catégorisation correcte.
Même si nous classifions, classons et créons plusieurs applications connues dans Pan-OS, il existe encore plusieurs applications qui ne figurent pas sur la base de données des périphériques de Palo Alto Networks. Ces applications sont appelées «inconnu», ce qui signifie inconnu de Pan-os à ce moment-là, mais pas connu de Pan-OS. Dans ces cas, des signatures d'App-ID personnalisées peuvent être créées pour les identifier et les classer correctement.
Comment fonctionne App-ID?
Alors que le trafic traverse les pare-feu de Palo Alto Networks, le moteur App-ID fournit toujours une visibilité constante des journaux (onglet moniteur) dans Pan-OS, mais la séquence avant que la visibilité ressemble à ce qui suit:
Le trafic doit correspondre à une stratégie de sécurité et autoriser les signatures. Ces signatures sont appliquées au trafic pour identifier l'application/les applications basées sur les caractéristiques uniques des applications. Si l'application utilise ses ports de service standard, alors "application default" doit être utilisée dans le champ services. Si des ports non standard sont utilisés, ces ports TCP ou UDP devront être spécifiés dans la colonne services de la règle de trafic.
Si le moteur App-ID détermine que le trafic est crypté (SSL ou SSH), une stratégie de décryptage doit être en place pour permettre au moteur App-ID d'inspecter le trafic.
Pan-OS est un moteur basé sur le contexte. Les décodeurs, pour certains protocoles connus, sont également appliqués et seront responsables d'identifier d'autres applications «embarquées» qui peuvent être tunnelées dans le protocole (par exemple, Gmail Google Chat utilisé sur le http). Certaines applications peuvent encore essayer de se soustraire et peuvent ne pas être identifiés par les signatures et les décodeurs. Une analyse heuristique ou comportementale peut être utilisée pour identifier l'application. Si, après toutes ces étapes, la demande n'est pas correctement identifiée, elle sera classée comme «inconnue» pour une analyse plus approfondie et une identification appropriée de l'équipe des opérations de sécurité. S'il s'agit toujours d'une application inconnue, elle peut être bloquée ou ne pas faire partie d'une liste d'applications approuvées placée dans la stratégie de sécurité.
Comment Pan-OS gère-t-il les applications inconnues?
Lorsque vous travaillez avec un processus d'adoption App-ID, que ce soit par un outil de migration ou manuellement en analysant les journaux, la première étape sur l'adoption d'App-IDS est de séparer inconnu du trafic connu. Le trafic connu sont les applications déjà identifiées sur les journaux de pare-feu de Palo Alto Networks. L'inconnu est soumis à l'analyse et doit être correctement identifié. Il doit avoir une règle de substitution de $ $ etAPP créée qui sera connue sous le nom de «chemin rapide» si elle contient seulement les ports de service et utilisera seulement la couche 3 et 4 l'inspection ne va pas à la couche 7.
Ces règles peuvent être utilisées pour assurer la visibilité pendant le processus d'investigation du trafic inconnu. Une fois que les informations de paquets appropriées sont insérées et que d'autres analyses sont effectuées sur le flux TCP, une signature d'App-ID complète de la couche 7 peut être créée et fournira une visibilité et une inspection de la couche 7 sans avoir besoin d'une règle de remplacement de l'application. Pour le trafic qui n'a pas pu être identifié, une analyse plus poussée est nécessaire. Les journaux de Palo Alto Networks peuvent fournir des informations valables pendant ce processus.
Connaissant la raison pour laquelle une application a été marquée comme inconnu-le trafic est la clé et dans Pan-OS il ya deux principaux types de classification pour les inconnus:
- Données incomplètes, qui se produit après une poignée de main a été exécutée, mais aucune donnée n'est passé avant le délai d'attente.
- Données insuffisantes, ce qui se produit lorsqu'une poignée de main est terminée, certaines données sont envoyées, mais pas assez de paquets ont été envoyés pour identifier l'application.
Ces cas sont généralement liés au réseau ou certaines applications non conventionnelles qui communique d'une manière singulière. À ce stade, nous en savons assez sur l'application inconnue, mais nous avons besoin d'une capture de paquets (PCAP) pour identifier correctement un modèle dans un flux TCP jusqu'à ce que cette session est fermée.
Avec le PCAP en main, et après une bonne analyse, utilisez l'application dans le réseau pour reproduire le trafic. Créer un PCAP à partir du pare-feu pour avoir suffisamment de détails et ensuite établir un modèle approprié qui sera utilisé par la création d'une signature App-ID personnalisé ou il pourrait être envoyé à Palo Alto Networks de soutien et il sera créé pour vous.
Remarque: plus d'un seul flux de paquets sera nécessaire.
Un app-ID personnalisé doit être créé avec les mêmes critères, toutes les autres applications sont insérées dans le référentiel Pan-OS App-ID. Il a également besoin de caractéristiques appropriées, de classification, de catégorie et de sous-catégorie, ainsi que du niveau de risque et du port de service et des délais d'attente.
Comment créer un PCAP
Effectuer un PCAP afin d'aider à identifier le trafic inconnu.
Veuillez consulter le document et la vidéo suivants pour en savoir plus sur la création d'une capture de paquets:
La vidéo mentionnée ci-dessus montre comment:
- Configurer et exécuter un PCAP de base à partir de l'interface utilisateur Pan-OS
- Télécharger les fichiers PCAP produits
- Ouvrir les fichiers PCAP pour analyse
Créer un app-ID personnalisé
Une fois que vous avez analysé votre flux TCP et un modèle est trouvé, qui est constant et non lié à l'infrastructure autour de la charge utile (adresses Mac, données de fabrication matérielle, informations NIC), nous pouvons maintenant utiliser ce segment de données dans notre nouvelle Custom App-ID signature .
Remarque: utilisez le format hexadécimal dans votre Regex.
Voir aussi
Signatures d’Application personnalisée
propriétaire: efurtado