App-Id: Identifica todos os aplicativos, em todas as portas

A classificação de tráfego é um dos pontos essenciais de todos os firewalls, porque suas classificações formam a base de suas políticas de segurança. Os firewalls tradicionais classificam o tráfego por porta e protocolo. Há algum tempo, esse era um mecanismo satisfatório de proteção do perímetro. Hoje, isso mudou.

Se você ainda usa um firewall baseado em porta, há aplicativos que poderão contorná-lo facilmente:

  • pulando portas
  • usando SSL e SSH
  • entrando sorrateiramente pela porta 80
  • usando portas não padrão

Simplificando, as limitações de classificação de tráfego dos firewalls baseados em porta os tornam incapazes de proteger as redes atuais. É por isso que desenvolvemos o App-ID™, um sistema de classificação de tráfego que só está disponível nos firewalls da Palo Alto Networks (em pedido de patente). O App-ID™ aplica instantaneamente vários mecanismos de classificação ao seu fluxo de tráfego de rede.

 

file

Classifique o tráfego com base nos aplicativos, não nas portas.

Veja como o App-ID identifica os aplicativos que trafegam a sua rede:

  • O tráfego é primeiramente classificado com base no endereço IP e porta.
  • Depois, são aplicadas assinaturas ao tráfego permitido para identificar o aplicativo (com base em propriedades exclusivas de aplicativos) e características de transação relacionadas.
  • Se o App-ID determinar que está sendo usada criptografia (SSL ou SSH) e houver uma política de descriptografia em vigor, a aplicativo será descriptografado e serão novamente aplicadas assinaturas de aplicativos ao fluxo descriptografado.
  • Depois, são usados decodificadores para protocolos conhecidos com objetivo de aplicar mais assinaturas baseadas em contexto a fim de detectar outros aplicativos que possam estar "tunelando" dentro do protocolo (por exemplo, Yahoo! Instant Messenger usado ao longo do HTTP).
  • Para os aplicativos particularmente invasivos e que não podem ser identificados através de assinatura avançada e análise de protocolo, podem ser usadas a heurística e a análise comportamental para determinar a identidade do aplicativo.

À medida que os aplicativos são identificados pelos mecanismos sucessivos do App-ID, a verificação de política determina como tratar os aplicativos e funções associadas: bloqueá-los ou permiti-los e examinar se existem ameaças, inspecionar a transferência não autorizada de arquivos e padrões de dados ou formatar usando QoS.

Classificação de tráfego e a verificação em todas as portas.

Classificar o tráfego com o App-IDs será a primeira ação do seu firewall sobre o tráfego, portanto todos os App-IDs estão sempre habilitados por padrão. Isso significa que você não precisa habilitar uma série de assinaturas para buscar um aplicativo que você acredita existir em sua rede, porque o App-ID nunca para de classificar todo o seu tráfego, em todas as portas - e não apenas em um subconjunto do tráfego (por ex., HTTP).

Todos os App-IDs observam constantemente todo o tráfego, incluindo:

  • Aplicativos empresariais
  • Aplicativos do consumidor
  • Protocolos de rede
  • Demais itens do tráfego

O App-ID monitora o comportamento de um aplicativo para ver se ele muda de repente, oferece informações atualizadas ao seu administrador em ACC, aplica a política adequada e registra a informação. Os firewalls de próxima geração da Palo Alto Networks usam o controle positivo, rejeitam por padrão todo o tráfego e depois permitem a passagem apenas dos aplicativos que estão dentro da sua política. Todo o restante é bloqueado.

Todos os mecanismos de classificação, todas as versões de aplicativo, todos os sistemas operacionais.

O App-ID opera na camada de serviços, monitorando como um aplicativo interage entre o cliente e o servidor. Isso significa que o App-ID é indiferente a novos recursos, assim como ao sistema operacional do servidor ou cliente. O resultado é que um único App-ID para BitTorrent será semelhante às muitas assinaturas de cliente ou sistema operacional de BitTorrent. 

Gerenciamento sistemático de tráfego desconhecido.

Normalmente as redes têm uma pequena quantidade de tráfego desconhecido. Esse tráfego pode ser um aplicativo desenvolvido internamente, um aplicativo comercial sem App-ID ou pode ser uma ameaça. O App-ID categoriza todo o seu tráfego desconhecido, permitindo que você o analise e tome uma decisão bem embasada e assertiva sobre as políticas. Se o tráfego é um aplicativo interno, pode ser criado um App-ID personalizado para identificá-lo. Se o tráfego é um aplicativo comercial sem App-ID, pode ser feita uma PCAP e ser enviada para o desenvolvimento do App-ID. Finalmente, o relatório de botnet comportamental e as ferramentas de registro do App-ID podem dizer se o tráfego é uma ameaça e, em caso afirmativo, tomar a ação adequada.

Recursos

 

Saiba mais sobre o App-ID
Veja como o App-ID proporciona visibilidade e controle sobre aplicativos relacionados ou não ao trabalho que podem enganar a detecção mascarando-se como tráfego legítimo, pulando portas ou entrando - de forma desfarçada - pelo firewall usando criptografia.

Saiba mais sobre a visibilidade de aplicativos
Saber é poder. Utilizar o abrangente conteúdo proporcionado por nossas ferramentas de visualização, análise e relatório, permite saber mais sobre as atividades em sua rede, mais rapidamente, e tomar as decisões adequadas sobre políticas. Analise incidentes a partir de uma perspectiva atual ou comparativa.

CHAT
Perguntas?
Converse com quem tem as respostas.
Converse agora