App-ID: identifica qualsiasi applicazione su qualunque porta

La classificazione del traffico è fondamentale per qualsiasi firewall, poiché le classificazioni costituiscono la base delle policy di sicurezza. Nei firewall tradizionali, il traffico viene classificato in base alla porta e al protocollo utilizzati. Un tempo, questo costituiva un meccanismo adeguato per la protezione del perimetro, ma oggi non è più così.

Se utilizzi ancora un firewall basato su porte, non è escluso che le applicazioni lo bypassino:

  • Mediante l'hopping
  • Utilizzando i protocolli SSL e SSH
  • Accedendo furtivamente tramite la porta 80
  • Utilizzando porte non standard

In altre parole, le limitazioni della classificazione del traffico dei firewall basati su porte, li rendono inadeguati alla protezione delle reti odierne. Ecco perché abbiamo sviluppato App-ID™, un sistema di classificazione del traffico in attesa di brevetto, disponibile esclusivamente nei firewall di Palo Alto Networks. App-ID™ applica immediatamente più meccanismi di classificazione al flusso del traffico di rete, non appena il dispositivo lo rileva, per identificare le applicazioni con estrema precisione.

 

 

file

Classificazione del traffico in base alle applicazioni e non alle porte

Ecco come App-ID identifica le applicazioni che transitano attraverso la tua rete:

  • Il traffico viene innanzitutto classificato in base all'indirizzo IP e alla porta.
  • Vengono quindi applicate firme al traffico consentito per identificare l'applicazione in base alle sue proprietà univoche e alle caratteristiche transazionali correlate.
  • Se App-ID determina che è in uso un metodo crittografico (SSL o SSH) e che è stata impostata una policy di decrittografia, l'applicazione viene decrittografata e le relative firme vengono nuovamente applicate al flusso decrittografato.
  • Vengono quindi utilizzati decodificatori per i protocolli noti per applicare ulteriori firme basate sul contesto, al fine di rilevare altre applicazioni che potrebbero essere eseguite in tunneling nel protocollo (per esempio Yahoo! Instant Messenger utilizzato tramite protocollo HTTP).
  • Nel caso di applicazioni particolarmente elusive, che non è possibile identificare tramite analisi avanzate di firme e protocolli, potrebbero essere utilizzate analisi euristiche o comportamentali per determinare l'identità dell'applicazione.

Dopo aver identificato le applicazioni con i meccanismi successivi di App-ID, il controllo delle policy determina come trattare tali applicazioni e le funzioni ad esse correlate, per esempio bloccandole o consentendole per effettuare una scansione delle minacce, ispezionando gli eventuali trasferimenti di file e modelli di dati non autorizzati oppure eseguendo lo shaping tramite QoS.

 

Classificazione del traffico sempre attiva: la prima azione ad essere intrapresa attraverso tutte le porte

La classificazione del traffico con App-ID è la prima azione intrapresa dai nostri firewall, quindi per impostazione predefinita tutti gli App-ID sono sempre abilitati. Questo significa che non è necessario abilitare una serie di firme per cercare un'applicazione che si ritiene possa trovarsi in rete, poiché App-ID non smette mai di classificare il traffico che passa attraverso le porte senza limitarsi a un solo sottoinsieme di traffico (ad esempio HTTP).

Tutti gli App-ID rilevano continuamente tutto il traffico, tra cui:

  • Applicazioni aziendali
  • Applicazioni consumer
  • Protocolli di rete
  • Tutto il resto

App-ID controlla costantemente lo stato di un'applicazione per verificare che non cambi a metà strada, fornisce informazioni aggiornate all'amministratore in ACC, applica la policy appropriata e registra le informazioni. I firewall Palo Alto Networks di nuova generazione, come tutti gli altri, utilizzano un meccanismo di controllo positivo, bloccano tutto il traffico per impostazione predefinita e consentono di eseguire solo le applicazioni contemplate nella policy in vigore. Tutto il resto viene bloccato.

Tutti i meccanismi di classificazione, tutte le versioni delle applicazioni, tutti i sistemi operativi

App-ID opera al livello dei servizi, monitorando le modalità di interazione di un'applicazione tra il client e il server. In altre parole, App-ID è indifferente alle nuove funzionalità ed è indipendente da client o dai sistemi operativi. Di conseguenza, un singolo App-ID per BitTorrent corrisponderà alle molteplici firme di sistemi operativi e client BitTorrent che è necessario abilitare per verificare e controllare questa applicazione in altre soluzioni offerte dalla concorrenza.

Gestione sistematica del traffico sconosciuto

In ogni rete è presente una piccola quantità di traffico sconosciuto. Tale traffico può essere generato da un'applicazione sviluppata internamente, un'applicazione commerciale senza App-ID oppure può rappresentare una minaccia. App-ID classifica tutto il traffico sconosciuto, consentendo di analizzarlo e di prendere una decisione consapevole sulle policy da applicare. Se il traffico è generato da un'applicazione interna, è possibile creare un App-ID personalizzato per identificarlo. Se il traffico proviene da un'applicazione commerciale senza App-ID, è possibile utilizzare un'interfaccia PCAP per sviluppare un App-ID dedicato. Infine, gli strumenti di segnalazione e registrazione di botnet comportamentali di App-ID, permettono di verificare che il traffico non rappresenti una minaccia e di intraprendere un'azione adeguata nel caso lo fosse.

Risorse

Scopri di più su App-ID


Scopri come App-ID può offrirti visibilità e controllo sulle applicazioni correlate o meno al lavoro, che possono sfuggire al rilevamento spacciandosi come traffico autorizzato, praticando il port hopping o accedendo furtivamente tramite il firewall, utilizzando una crittografia.

Scopri di più sull’Application Visibility

Sapere è potere. Sfruttando l’ampio contesto fornito dai nostri strumenti di visualizzazione, analisi e reportistica, potrai immediatamente saperne di più sull'attività della tua rete e prendere decisioni sulle policy più appropriate. Analizza i problemi da una prospettiva attuale o comparativa.

CHAT
Domande?
Discutine con chi può darti le risposte.
Avvia la chat