Классификация и контроль трафика вне зависимости от порта

В основе работы любого сетевого экрана лежит классификация трафика. Именно на ее базе строятся политики безопасности. Традиционные сетевые экраны производят классификацию трафика по порту и протоколу. Если какое-то время назад для защиты периметра было достаточно такого механизма, то теперь ситуация изменилась.

Применение сетевого экрана, который контролирует трафик на основе портов, грозит тем, что приложения будут использовать для обхода:

  • технику Port Hopping
  • криптографические протоколы SSL и SSH
  • порт 80
  • нестандартные порты.

Проще говоря, недостатки классификации трафика на основе портов делают межсетевые экраны неспособными защитить корпоративную сеть от современных угроз. Вот почему компания Palo Alto разработала запатентованную систему классификации трафика App-ID™. Решение применяет несколько механизмов классификации сетевого трафика для мгновенной и точной идентификации приложений. Система доступна только в сетевых экранах Palo Alto Networks.

Как App-ID классифицирует трафик

App-ID использует до четырех методов идентификации для точного опознания приложений, проходящих через сеть компании, независимо от порта, протокола, тактики уклонения или шифрования SSL.

Идентификация приложения — первая задача, которую выполняет App-ID. В результате пользователь получает разнообразные сведения о приложении и инструменты для обеспечения безопасности.

App-ID — основной элемент платформы для обеспечения безопасности предприятий. Решение дает пользователю возможность отслеживать и контролировать приложения, которые могут избежать обнаружения другими сетевым экранами. App-ID отслеживает приложения, которые маскируются под легитимный трафик, применяют технику Port Hopping или проникают через сетевой экран с помощью шифрования (SSL и SSH).

До появления App-ID у компаний было два способа обойтись с неприемлемыми или несвязанными с работой приложениями в корпоративной сети. Можно было все заблокировать в интересах безопасности данных либо разрешить все в интересах бизнеса. Выбор между двумя крайними вариантами не предполагал компромиссного решения.

App-ID позволяет вам отслеживать приложения в сети компании и изучать их работу, поведенческие характеристики и относительный риск. Использование системы в сочетании с User-ID позволяет точно определять личность пользователя, а не только IP-адрес. Вооружившись этими данными, отдел информационной безопасности сможет создавать политики безопасности, которые будут допускать использование только приемлемых для бизнеса приложений.

Классификация трафика, основанная на приложениях, а не портах

Инспекция состояния, на которой базируется большинство современных сетевых экранов, была создана в те времена, когда приложения можно было контролировать на основе портов и IP-адресов источника и назначения. Строгое соблюдение классификации и контроля на основе портов — основной элемент политики. Оно жестко прописано в коде и не может быть отключено. Это означает, что сетевой экран не может идентифицировать, а тем более контролировать, многие современные приложения.

В компании Palo Alto Networks прекрасно понимали, что приложения эволюционировали и могут легко проскальзывать через защиту. Поэтому разработали App-ID — инновационный метод классификации трафика для сетевого экрана, который не полагается на отдельные элементы, такие как порт или протокол. Вместо этого App-ID использует несколько механизмов, чтобы сначала распознать приложение и его идентификатор, который затем станет основой политики безопасности.

App-ID был создан с возможностью совершенствовать методы защиты. По мере того, как приложения будут продолжать развиваться, в App-ID можно добавлять новые механизмы обнаружения и контроля.

А теперь поговорим об алгоритме, с помощью которого App-ID идентифицирует приложения, пересекающие корпоративную сеть.

  • Сначала происходит классификация трафика на основе IP-адреса и порта.
  • Затем к разрешенному трафику применяются сигнатуры для идентификации приложения на основе его уникальных свойств.
  • Если App-ID определяет, что используется шифрование (SSL или SSH), приложение расшифровывается. Но это происходит при условии работающей политики дешифрования. После расшифровки сигнатуры приложений снова применяются к трафику.
  • Декодеры применяют дополнительные сигнатуры на основе контекста, чтобы найти другие приложения, которые используют собственные протоколы.
  • Для приложений, которые используют тактики уклонения и не могут быть идентифицированы с помощью анализа сигнатур и протокола, могут быть применены поведенческий и эвристический методы.

После того, как приложение идентифицируется с помощью последовательных механизмов App-ID, политика безопасности определяет, как поступить с приложением и его функциями. Система может блокировать его или разрешить, провести проверку на наличие угроз или удостовериться, не производит ли приложение несанкционированную передачу файлов.

Классификация — первая задача во всех портах

Классификация с помощью App-ID — это первый механизм, который наши сетевые экраны применяют для трафика. Вам не нужно включать сигнатуры для поиска приложения, которое, по вашему мнению, может быть в корпоративной сети. App-ID никогда не прекращает классифицировать трафик, проходящий через каждый порт.

Все службы App-ID постоянно просматривают трафик. Под контролем находятся:

  • бизнес-приложения;
  • потребительские приложения;
  • сетевые протоколы;
  • все остальное.

App-ID постоянно контролирует состояние приложения и предоставляет обновленную информацию администратору, применяет соответствующую политику и логгирует информацию. Сетевой экран Palo Alto Networks запрещает весь трафик по умолчанию, а затем разрешает только те приложения, которые соответствуют политикам — все остальное блокируется.

Технология идентификации трафика App-ID

Для идентификации приложения App-ID использует четыре метода. Процесс запускается сразу после обнаружения трафика сетевым экраном. Приложение будет определено, независимо от порта, протокола, шифрования (SSL и SSH) или другой тактики уклонения. Количество и порядок механизмов идентификации приложения может различаться. Однако стандартный подход App-ID выглядит следующим образом:

  • Сигнатуры приложений. Сначала сигнатуры применяются для поиска уникальных свойств приложения — это помогает правильно идентифицировать приложение независимо от протокола и порта, которые оно использует. Сигнатуры помогают определить, пользуется ли приложение портом по умолчанию или нестандартным портом. Например, RDP может использовать порт 80 вместо стандартного 3389. Если идентифицированное приложение разрешено политикой безопасности, дальнейший анализ трафика выполняется для изучения функций приложения, его поведения, а также для сканирования угроз.
  • Расшифровка SSL и SSH. Если App-ID определяет, что используется SSL-шифрование, при этом была задана политика дешифрования — трафик расшифровывается. Затем он по мере необходимости обрабатывается с помощью других механизмов идентификации. Если политика не была задана, то дешифрование SSL применяться не будет. После того, как приложение будет идентифицировано и окажется приемлемым с точки зрения политик, произойдет проверка на наличие вредоносных программ. После всех этих этапов трафик доставляется в пункт назначения. Аналогичный подход используется, чтобы определить, используется ли переадресация портов в качестве средства для туннелирования трафика через SSH.
  • Декодирование приложений и протоколов. Декодеры известных протоколов нужны для применения дополнительных сигнатур на основе контекста. Такой способ позволяет отследить приложения, которые применяют туннелирование. Например, Yahoo! Instant Messenger, может использовать протокол HTTP. Декодеры для популярных приложений используются и для идентификации отдельных функций в приложении, например, совместного использование файлов. В дополнение к идентификации приложений декодеры также идентифицируют файлы и другой контент, который следует сканировать на наличие угроз или конфиденциальных данных.
  • Эвристика (эвристический анализатор). В некоторых случаях приложения, использующие тактики уклонения, могут оставаться необнаруженными даже после расширенного анализа сигнатур и протоколов. В таких ситуациях необходимо применять дополнительный эвристический или поведенческий анализ для идентификации приложений, таких как одноранговые файловые службы или приложения VoIP, которые используют проприетарное ПО для шифрования. Эвристический анализ используется по мере необходимости вместе с другими описанными выше методами App-ID. Такой подход позволяет обеспечить высокую степень обнаружение приложений, которые в противном случае могли бы ускользнуть от идентификации.

С помощью App-ID в качестве базового элемента  платформы безопасности для предприятий, ваш ИБ-отдел сможет усилить контроль над проходящими через сеть приложениями.

App-ID: работа с произведенными на заказ и неизвестными приложениями

Во время еженедельных обновлений в базу данных App-ID добавляется в среднем пять новых приложений. Однако практически в каждой сети можно столкнуться со случаями, когда обнаруживается трафик неизвестных приложений. Обычно существует три сценария, в которых возникает неизвестный трафик: неизвестное программное обеспечение, приложение, сделанное под заказ, или вредоносное ПО.

  • Неизвестные приложения. Благодаря механизмам обнаружения, вы можете быстро определить, относится ли трафик к неизвестному программному обеспечению (COTS). Если это неизвестное ПО, вы можете воспользоваться функцией захвата пакетов, зарегистрировать трафик и отправить его на анализ в App-ID. Новое приложение обрабатывается, тестируется и добавляется в базу данных — таким образом информация распространяется среди всех пользователей App-ID в виде еженедельного обновления.
  • Произведенные на заказ приложения. Вы можете определить, является ли приложение сделанным на заказ; используя те же инструменты обнаружения или программу для просмотра журнала логов. Вы можете создать собственный App-идентификатор, используя декодеры протоколов и приложений. После создания собственного индикатора обнаруженное вами приложение будет классифицировано и проверено так же, как и приложение со стандартным идентификатором App-ID. Вы можете сделать его доступным для политик, проверить на наличие угроз или провести шейпинг трафика с помощью QoS. Управление собственными индикаторами происходит в отдельной базе данных, гарантируя, что на них не повлияют еженедельные обновления App-ID.
  • Трафик, несущий угрозу. Если трафик не относится к сделанным на заказ или неизвестным приложениям, то он может угрожать информационной безопасности компании. App-ID быстро определит уровни риска, используя поведенческие отчеты или другие инструменты для анализа.

Важно то, что  сетевой экран Palo Alto использует модель принудительной блокировки. Это означает, что весь трафик будет отклонен, за исключением тех приложений, которые разрешает политика безопасности. Благодаря этому неизвестный трафик будет заблокирован или проконтролирован. Получат же разрешение только необходимо для ведения бизнеса программы.

Работа App-ID на примере WebEx

Когда пользователь создает онлайн-конференцию на платформе WebEx, для начального соединения применяется протокол SSL. Этот факт обнаруживает App-ID, после чего дешифратор и декодеры протоколов производят дешифрование SSL и определяют, что это HTTP-трафик. После того, как декодер получает HTTP-поток, App-ID может применить сигнатуры и установить, что используемым приложением является WebEx. WebEx начинает отображаться в Центре управления приложениями и контролируется с помощью политики безопасности.

Если конечный пользователь применяет функцию совместного доступа к WebEx, платформа претерпевает «смену режима». Теперь сеанс будет рассматриваться не как приложение конференцсвязи, а как приложение удаленного доступа. В таком случае характеристики WebEx меняются. App-ID обнаружит функцию WebEx Desktop Sharing, которая затем отобразиться в Центре управления приложениями. На этом этапе вы узнаете больше о приложении, ведь App-ID позволит вам контролировать функцию WebEx Desktop Sharing отдельно от общего использования WebEx.

Идентификация приложения: контроль на основе политик

Идентификация приложения — первый шаг в изучении проходящего через вашу сеть трафика. Для того, чтобы принять более обоснованное решение, система анализирует активность приложения, используемые порты, лежащую в основе ПО технологию и поведенческие характеристики.

Как только будет получена полная картина использования, вы можете применять политики с рядом мер, большинство из которых более тонкие, чем просто разрешение или запрет. Примеры политик:

  • разрешить или запретить;
  • разрешить, но сканировать на наличие эксплойтов, вирусов и других угроз;
  • разрешить на основе расписания, пользователей или групп;
  • расшифровывать и проверить;
  • применить шейпинг трафика с помощью QoS;
  • применить Policy-Based Forwarding;
  • разрешить определенные функции приложения;
  • любая комбинация вышеуказанного.

С помощью App-ID в качестве базового элемента сетевых экранов вы можете усилить контроль над приложениями в корпоративной сети.

Управление приложениями на уровне функций

Под безопасным допуском приложений часто имеется ввиду достижение соответствующего баланса между заблокированными и разрешенными функциями. Пользователь может:

  • разрешить Share Point Documents, но заблокировать использование Share Point Administration;
  • блокировать в Facebook доступ к почте, сообщениям, приложениям и созданию постов, но разрешите просматривать страницы;
  • разрешить MSN, но отключить возможность передачи файлов или разрешить передачу только передачу определенных типов файлов, блокируя все остальные.

Управление несколькими приложениями: динамические фильтры и группы

Во многих случаях вы можете контролировать большие группы приложений сразу, а не управлять ими по отдельности. За такой тип контроля отвечают два механизма: динамические фильтры и группы приложений.

Динамические фильтры представляют собой набор приложений, созданных на основе комбинации критериев фильтра: категорий, подкатегорий, поведенческих характеристик и фактора риска. После работы фильтра применяется политика, которая блокирует или разрешает, а после сканирует трафик. Когда в еженедельных обновлениях добавляются новые идентификаторы приложений, фильтр автоматически обновляется. Автоматическое обновление фильтра сводит к минимуму административные усилия, связанные с управлением политиками безопасности. Полный список параметров фильтра показан ниже.

Категории и подкатегории

  • Бизнес: сервисы для аутентификации, база данных, планирование ресурсов предприятия (ERP), ПО для управления компанией, офисные программы, обновления программного обеспечения, системы для хранения данных и резервного копирования.
  • Интернет: совместное использование файлов, интернет-утилиты (браузеры, панели инструментов и т. д.).
  • Взаимодействие: электронная почта, мессенджеры, онлайн-конференции, социальные сети, платформы для бизнеса, IP-телефония, видеосвязь.
  • Медиа: потоковая передача аудио, игры, фото и видео.
  • Сеть: зашифрованное соединение, инфраструктура, прокси, удаленный доступ, маршрутизация.

Поведенческие характеристики приложения

  • Возможность передачи файлов из одной сети в другую
  • Вероятность распространения вредоносного ПО
  • Регулярное потребление 1 Мбит или более при нормальном использовании
  • Уклонение от обнаружения с помощью порта или протокола
  • Широкое развертывание
  • Наличие уязвимостей
  • Склонность к использованию не по назначению

Лежащая в основе технология

  • Клиент-сервер
  • На основе браузера
  • Одноранговая
  • Сетевой протокол

Группы приложений представляют собой статический список, к которому открывается доступ для определенных пользователей и блокируется для других. Примером может послужить приложение для удаленного управления, такое как RDP. Такие программы используются персоналом службы поддержки и ИТ-отдела. Однако сотрудники, которые не входят в эти отделы, также используют их в качестве средства доступа к своим домашним сетям. Вы можете ограничить нецелевое использование таких платформ с помощью созданной группы для ИТ-отдела и технической

Расширение списка приложений

Список идентификаторов приложений расширяется еженедельно с добавлением 3-5 новых образцов. Информация поступает от клиентов, партнеров, а также с появлением новых приложений на рынке. Если вы обнаружите неопознанные приложения в своей сети, вы можете зарегистрировать трафик и затем отправить информацию для проработки App-ID. После анализа и тестирования приложение будет добавлено в список как часть еженедельных обновлений.