App-ID: Identifikation aller Applikationen auf allen Ports

Die Identifikation von Netzwerktraffic ist der Kern einer jeden Firewall, da die jeweiligen Einstufungen die Grundlage für die Sicherheitsregeln darstellen. Herkömmliche Firewalls klassifizieren den Traffic nach Port und Protokoll. Früher war dieser Ansatz ausreichend, um die Netzwerkgrenze abzusichern - doch diese Zeiten sind vorbei.


Wird immer noch eine portbasierte Firewall verwendet, ist es für Applikationen ein Kinderspiel, diese durch folgende Techniken zu umgehen:

  • Port-Hopping
  • Verwendung von SSL und SSH
  • Umgehung von Port 80
  • Verwendung nicht standardmäßiger Ports

Portbasierte Firewalls sind aufgrund der Beschränkungen bei der Einstufung von Traffic nicht mehr ausreichend für die Absicherung moderner Netzwerke. Aus diesem Grund haben wir App-ID entwickelt. Dieses zum Patent angemeldete Traffic Classification-System ist exklusiv in den Firewalls von Palo Alto verfügbar. Sobald App-ID Traffic im Netzwerk erkennt, kommen verschiedene Klassifizierungsmechanismen zum Einsatz, um Applikationen korrekt zu identifizieren.

 

file

Klassifizierung von Traffic nach Applikationen anstelle von Ports.

So identifiziert App-ID die Applikationen im Netzwerk:

  • Der Traffic wird auf Basis der IP-Adresse und des Ports klassifiziert.
  • Anschließend werden Signaturen auf zulässigen Verkehr angewendet, um jede Anwendung basierend auf eindeutigen Anwendungseigenschaften und zugehörigen Transaktionsmerkmalen zu identifizieren.
  • Stellt App-ID fest, dass eine Verschlüsselung zum Einsatz kommt (SSL bzw. SSH), wird die Anwendung entschlüsselt. Anschließend werden auf den entschlüsselten Traffic erneut die Applikations-Signaturen angewendet.
  • Im Anschluss werden Decoder für bekannte Protokolle verwendet, um durch mit Hilfe kontextbasierter Signaturen weitere Anwendungen zu ermitteln, die sich möglicherweise das Protokoll durchtunneln (z. B. Yahoo! Instant Messenger über HTTP).
  • Für Applikationen, die ganz besonders schwer zu fassen sind und nicht über erweiterte Signatur- und Protokollanalysen identifiziert werden können, stehen heuristische oder Verhaltensanalysen zur Verfügung, um die Identität der Anwendung zu ermitteln.

Die Anwendungen werden hierbei permanent von den App-ID-Mechanismen identifiziert, und die Richtlinienprüfung legt fest, wie mit den Applikationen und den damit verbundenen Funktionen verfahren werden soll: blockieren oder zulassen und auf Bedrohungen scannen, auf unerlaubte Dateiübertragungen und Datenmuster prüfen oder mit QoS gestalten.

Permanente Identifizierung des Traffic - die Erstmaßnahme auf allen Ports

Die erste Maßnahme, die unsere Firewalls ergreifen, ist immer die Klassifizierung des Traffic mit Hilfe von App-ID. Somit sind alle App-Ids standardmäßig immer aktiv. Dadurch entfällt die Aktivierung von mehreren Signaturen zur Suche nach eventuell im Netzwerk befindlichen Applikationen im Netzwerk, da App-ID den gesamten Traffic (und nicht nur eine Teilmenge wie z.B. HTTP) auf allen Ports permanent identifiziert.

Alle App-IDs prüfen permanent den gesamten Traffic, einschließlich:

  • Unternehmensapplikationen
  • Verbraucheranwendungen
  • Netzwerkprotokolle
  • Alles andere

App-ID überwacht permanent den Status einer Applikation auf Veränderungen, stellt dem Administrator im ACC aktualisierte Informationen zur Verfügung, wendet die entsprechende Richtlinie an und zeichnet die Informationen auf. Wie alle Firewalls verwenden auch die Firewalls von Palo Alto Networks positive Kontrollen, sperren standardmäßig jeden Traffic und lassen  nur richtlinienkonforme Applikationen zu. Alles andere wird blockiert.

Alle Klassifizierungsmechanismen, alle Anwendungsversionen, alle Betriebssysteme.

App-ID setzt auf der Diensteebene an und überwacht, wie sich eine Anwendung zwischen Client und Server verhält. Dies bedeutet, dass App-ID gleichgültig gegenüber neuen Funktionen und auch gegenüber dem Betriebssystem des Clients oder Servers ist. Eine einzige App-ID für BitTorrent ist somit den zahlreichen BitTorrent BS- und Client-Signaturen gleichwertig, die bei anderen Angeboten aktiviert werden müssen, um die Applikation zu kontrollieren.

Systematisches Management von unbekanntem Traffic.

Ein wenig unbekannten Traffic gibt es in jedem Netzwerk. Dabei kann es sich beispielsweise um eine intern entwickelte Applikation eine kommerzielle Applikation ohne App-ID oder auch um eine Bedrohung handeln. App-ID kategorisiert jeglichen unbekannten Traffic und ermöglicht so die Analyse sowie informierte Entscheidungen zu Richtlinien. Wenn es sich bei dem Traffic um eine interne Applikation handelt, kann zur Identifizierung eine kundenspezifische App-ID erstellt werden. Stellt der Traffic hingegen eine kommerzielle Applikation ohne App-ID dar, kann eine PCAP aufgenommen und zur Entwicklung einer App-ID eingereicht werden. Der Botnet-Bericht zum Verhalten der App-ID sowie die Protokollierungstools liefern Informationen darüber, ob der Traffic eine Bedrohung darstellt, worauf gegebenenfalls die erforderlichen Maßnahmen ergriffen werden.

Ressourcen

Weitere Informationen über App-ID
Finden Sie heraus, wie App-ID Transparenz und Kontrolle über arbeitsbezogene Anwendungen verschafft und auch solche, die nichts mit der Arbeit zu tun haben, jedoch eine Erkennung zu umgehen versuchen, indem sie sich als legitimer Datenverkehr ausgeben, den Port wechseln oder sich mithilfe von Verschlüsselung durch die Firewall schleichen.

Weitere Informationen über Anwendungstransparenz
Wissen ist Macht. Machen Sie sich Inhalte mit hoher Informationsdichte zu Nutzen, die durch unsere Werkzeuge zur Visualisierung, Analyse und Berichterstattung bereitgestellt werden und Ihnen schnell einen Einblick in die Aktivitäten in Ihrem Netzwerk verschaffen. So können Sie umgehend die entsprechenden Richtlinienentscheidungen treffen. Analysieren Sie Vorfälle aus der gegenwärtigen Sicht oder einer vergleichenden Perspektive.

CHAT
Benötigen Sie Hilfe?
Gerne beantworten wir Ihre Fragen.
Chat jetzt öffnen