应用程序 id、PCAPs 和自定义签名

应用程序 id、PCAPs 和自定义签名

81872
Created On 09/26/18 13:47 PM - Last Modified 02/01/24 19:19 PM


Resolution


什么是应用程序 ID?

应用程序标识或应用程序 ID 是帕洛阿尔托网络设备的主要组成部分。它是仅在帕洛阿尔托网络设备上提供的专利机制, 负责识别通过防火墙独立于其端口、协议和加密 (SSL 或 SSH) 的应用程序。这种应用程序的识别确保了在数据包负载级别进行适当的7层检查的成功, 与帕洛阿尔托网络应用程序签名 (今天超过2000个单独的应用程序 id)、应用程序协议解码器和启发式技术相比较。这些元素负责通过帕洛阿尔托网络防火墙的这层 7 (L7) 通信的可见性。

 

应用程序 ID 组件后面的引擎由一系列预先确定的上下文驱动。这些上下文使用解码器来帮助识别在主应用程序中被隧道的应用程序 (例如, Google 在 Gmail 中的对话)。应用程序由 PAN OS 应用程序 ID 引擎进行分类和分类, 允许在安全策略级别正确识别和使用应用程序组。

 

在此分类过程中, 帕洛阿尔托网络定义了主要应用程序 (父应用程序) 和一些直接依赖 (或子应用程序), 这些是这些主要应用程序的一部分。例如, 通过对应用程序进行分类, 例如 "上载", 作为新创建的应用程序 ID 中的父应用程序 (将使用来自 web 的文件传输) (基于浏览器的文件共享)。这使得子应用程序能够被正确地识别为父 "上载" 应用程序的一部分, 并在正确的分类中为适当的应用程序提供可见性。

 

尽管我们在 PAN OS 中分类、分类和创建几个已知的应用程序, 但仍有一些应用程序不在帕洛阿尔托网络设备数据库中。这些应用程序被称为 "未知", 这意味着当时的泛 os 未知, 但不知道泛 os。在这些情况下, 可以创建自定义应用程序 ID 签名, 以便正确地识别和分类它们。

 

应用程序 ID 是如何工作的?

虽然通信正在遍历帕洛阿尔托网络防火墙, 但应用程序 ID 引擎始终在 PAN OS 中提供日志 (监视器选项卡) 的持续可见性, 但在该可见性之前的序列如下所示:

 

通信需要匹配安全策略并允许签名。这些签名应用于通信, 以根据应用程序的独特特性来标识应用程序/应用程序。如果应用程序使用其标准服务端口, 则 "应用程序默认值" 应在 "服务" 字段中使用。如果使用非标准端口, 则需要在通信规则的 "服务" 列中指定这些 TCP 或 UDP 端口。

 

如果应用程序 id 引擎确定通信正在加密 (SSL 或 SSH), 则需要有一个解密策略来允许应用程序 id 引擎检查通信量。

 

PAN OS 是基于上下文的引擎。解码器, 对于一些已知的协议, 也被应用, 并将负责识别其他 "嵌入式" 应用程序, 可能在协议中隧道 (例如, Gmail 谷歌聊天在 HTTP 中使用)。有些应用程序可能仍试图规避, 可能无法通过签名和解码器进行识别。启发式或行为分析可用于标识应用程序。如果在所有这些步骤之后, 应用程序没有得到正确的识别, 它将被归类为 "未知", 以便进一步分析和从安全操作团队进行正确的识别。如果它仍然是未知的应用程序, 则它可以被阻止, 也可能不是放置在安全策略中的已批准的应用程序列表的一部分。

 

泛 OS 如何处理未知应用程序?

在使用任何应用程序 id 采用过程 (无论是通过迁移工具还是通过分析日志手动) 时, 采用应用程序 id 的第一步是将未知的通信与已知的通讯分开。已知的通信量是在帕洛阿尔托网络防火墙日志中已标识的应用程序。未知的主题是分析, 必须正确识别。它必须有一个应用程序重写规则创建, 这将被称为 "快速路径", 如果它只包含服务端口, 将只使用3层和4检查不到7层。

 

这些规则可用于在未知通信量的调查过程中提供可见性。一旦正确的数据包信息入 , 并进一步分析到 TCP 流 , 就可以创建一个完整的 7 层应用程序 ID 签名 , 并提供可见性和 7 层检查 , 不需要应用程序重写规则。对于无法识别的通信量, 需要进行进一步分析。帕洛阿尔托网络日志可以在这个过程中提供有效的信息。

 

了解应用程序被标记为未知的原因-通信量是关键, 在 PAN OS 中有两种主要类型的未知分类:

  • 不完整的数据, 即在执行握手后发生, 但在超时之前没有数据出现.
  • 数据不足, 在握手完成后发生, 有些数据通过发送, 但没有足够的数据包用于标识应用程序.

 

这些案例通常是网络相关的, 或者是一些非常规的应用程序, 以一种奇异的方式进行通信。此时, 我们对未知应用程序的了解不够, 但我们需要一个数据包捕获 (PCAP), 以便在关闭此会话之前正确识别 TCP 流中的模式。

 

在 PCAP 的情况下, 在进行正确的分析后, 使用网络中的应用程序来复制通信量。创建一个 PCAP 从防火墙有足够的细节, 然后建立一个正确的模式, 将使用创建一个自定义的应用程序 ID 签名或它可能被发送到帕洛阿尔托网络支持, 它将为您创建。

注意:需要一个以上的数据包流.

 

需要使用相同的条件创建自定义应用程序 id, 所有其他应用程序都插入到 PAN OS 应用程序 id 存储库中。它还需要适当的特性、分类、类别和子类别, 以及风险级别和服务端口和超时。

 

如何创建 PCAP

执行 PCAP 以帮助识别未知通信量。

请参阅以下文档和视频以了解有关创建数据包捕获的更多信息:

 

上面提到的视频演示了如何:

  • 从 PAN OS UI 配置和运行基本 PCAP
  • 下载生成的 PCAP 文件
  • 打开 PCAP 文件进行分析

 

创建自定义应用程序 ID

分析了 TCP 流并找到了一个模式后, 这是恒定的, 与负载附近的基础结构无关 (MAC 地址、硬件制造数据、NIC 信息), 我们现在可以将此数据块应用到新的自定义应用程序 ID 签名中。.

注意: 在 REGEX 中使用十六进制格式.

 

请参见

自定义应用程序签名

 

所有者: efurtado
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloPCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language