App-ID : Identifier n'importe quelle application sur n'importe quel port

La classification du trafic est au cœur de tout pare-feu, car vos classifications forment la base de vos règles de sécurité. Les pare-feu classiques classifient le trafic par port et par protocole. Il fut un temps où cela représentait un mécanisme satisfaisant pour sécuriser votre périmètre. Ce n'est plus le cas aujourd'hui.

Si vous utilisez toujours un pare-feu basé sur les ports, les applications peuvent facilement le contourner en :

  • Sautant les ports
  • Utilisant SSL et SSH
  • Se faufilant vers le port 80
  • Utilisant des ports non standard

En réalité, les limites intrinsèques de la classification du trafic réalisée par les pare-feu sur la base des ports les empêchent de protéger les réseaux actuels. C'est pourquoi nous avons développé App-ID™, un système de classification du trafic en instance de brevet, uniquement disponible pour les pare-feu de Palo Alto Networks. App-ID™ applique instantanément de multiples mécanismes de classification au flux de trafic de votre réseau, dès que l'équipement le voit, afin d'identifier précisément les applications.

En savoir plus sur la caractéristique Visibilité des Applications

 

file

Classifiez le trafic à partir des applications et non des ports.

Voilà comment App-ID identifie les applications traversant votre réseau :

  • Le trafic est d'abord classifié sur la base du port et de l'adresse IP.
  • Des signatures sont ensuite appliquées au trafic autorisé, afin d'identifier l'application sur la base des propriétés qui lui sont propres et des caractéristiques de transaction associées.
  • Si App-ID détermine qu'un chiffrement (SSL ou SSH) est utilisé et qu'une règle de déchiffrement est active, l'application est déchiffrée et les signatures de l'application sont de nouveau appliquées sur le flux déchiffré.
  • Des décodeurs de protocoles connus sont alors utilisés pour appliquer des signatures supplémentaires, basées sur le contexte, afin de détecter d'autres applications qui pourraient être intégrées dans le protocole (par ex., Yahoo! Instant Messenger utilisé sur HTTP).
  • Pour les applications particulièrement dissimulées et ne pouvant pas être identifiées par une analyse de protocole et de signature avancée, des analyses heuristiques ou comportementales peuvent être utilisées pour déterminer leur 'identité.

Lorsque les applications sont identifiées par les mécanismes successifs d'App-ID, le contrôle des règles détermine comment traiter les applications et fonctions associées : les bloquer ou les autoriser puis les analyser pour ainsi détecter les menaces potentielles, inspecter les modèles de données et de transfert de fichier non autorisé ou les façonner à l'aide de la qualité de service.

Classification de trafic toujours active - c'est toujours la première action réalisée sur tous les ports.

La classification du trafic avec App-ID est la première action que nos pare-feu effectuent sur le trafic. Ainsi, par défaut, tous les App-ID sont toujours activés. Cela signifie que vous n'avez pas besoin d'activer une série de signatures à rechercher pour une application qui pourrait se trouver sur votre réseau, car App-ID ne cesse jamais de classifier tout le trafic sur chacun de vos ports - et pas seulement un sous-ensemble du trafic (par ex., HTTP).

Tous les App-ID vérifient constamment le trafic, tel que :

  • Applications de l'entreprise
  • Applications consommateurs
  • Protocoles réseaux
  • Tout le reste

App-ID surveille en continu l'état d'une application, pour voir si elle change en cours de flux, fournit des informations mises à jour à votre administrateur en ACC et applique la règle adaptée puis consigne les informations. Comme tous les pare-feu, les pare-feu nouvelle génération de Palo Alto Networks utilisent une commande positive, refusent par défaut tout le trafic puis autorisent seulement les applications répondant à vos règles. Tout le reste est bloqué.

Tous les mécanismes de classification, toutes les versions d'applications, tous les OS.

App-ID fonctionne au niveau de la couche de services, en surveillant comment une application interagit entre le client et le serveur. Cela signifie que App-ID n'est pas concerné par les nouvelles caractéristiques et qu'il est agnostique au système d'exploitation du serveur ou du client. Le résultat est qu'un seul App-ID pour BitTorrent sera quasiment identique aux multiples signatures client et OS BitTorrent qui doivent être activées pour tester et contrôler cette application dans d'autres offres.

Gestion systématique du trafic inconnu.

Tous les réseaux présentent une petite quantité de trafic inconnu. Ce trafic peut se composer d'une application développée en interne, d'une application commerciale sans App-ID ou d'une menace. App-ID catégorise tout le trafic inconnu, vous permettant de l'analyser et de prendre des décision informées. Si le trafic est composé d'une application interne, une App-ID sur mesure peut être créée pour l'identifier. Si le trafic se compose d'une application commerciale sans App-ID, un PCAP peut être développé et soumis pour le développement d'une App-ID. Enfin, les outils de journalisation et de rapport du comportement de réseaux de machines zombies peuvent vous dire si le trafic représente une menace et prendre les mesures qui s'imposent.

Resources

Learn more about App-ID
See how App-ID provides visibility and control over work-related and non-work-related applications that can evade detection by masquerading as legitimate traffic, hopping ports or sneaking through the firewall using encryption.

Learn more about application visibility
Knowledge is power. Leveraging the rich context provided by our visualization, analysis, and reporting tools allows you to quickly learn more about activity on your network and make the appropriate policy decisions. Analyze incidents from a current or comparative perspective.

CHAT
Des questions ?
Trouvez quelqu'un qui a les réponses.
Commencez la discussion en ligne