¿Cómo hace un firewall de NG la visibilidad de las aplicaciones y la clasificación del tráfico TLS sin intercepción TLS y cuán confiable es esto

2
  

¿Cómo funciona la visibilidad y el control de las aplicaciones? La aplicación   Identificación y identificación de la aplicación (motor de clasificación) y aplicación   el motor de coincidencia de patrones de la firma opera en la Capa 7 e inspecciona el   Contenido real de la carga útil para la identificación de aplicaciones. ID de aplicación   realiza una inspección profunda de paquetes (DPI) del tráfico en la red y   en cada paquete en el flujo que pasa a través de la aplicación   Identificación del motor hasta que se identifique la aplicación. Solicitud   los hallazgos como direcciones IP, nombres de host y rangos de puertos se guardan en   el caché del sistema de aplicación (ASC) para acelerar la identificación futura.   - Juniper

     

AVC utiliza la inspección profunda de paquetes (DPI) con estado para clasificar más de   1400 aplicaciones. También puede combinar DPI con técnicas tales como   Clasificación estadística, almacenamiento en caché de socket, descubrimiento de servicio, automático   aprendizaje, y DNS-AS. Las aplicaciones personalizadas pueden detectar aplicaciones nativas.   - Cisco AVC

     

La inspección de miles de patrones de tráfico durante varios años llevó   Meraki para crear una base de datos de firmas de tráfico que se puede utilizar para   reconocer el tráfico de red en el nivel de aplicación.    Meraki (Cisco)

     

AppRF realiza una inspección profunda de paquetes (DPI) del tráfico local y   Detecta más de 1500 aplicaciones en la red. AppRF te permite   configurar las políticas de aplicación y de categoría de aplicación dentro de un   dado el rol de usuario. WebCC utiliza un servicio basado en la nube para dinámicamente   Determinar los tipos de sitios web que se visitan y su seguridad.   - Aruba (HP)

Los diferentes proveedores de firewalls NG realizan el control de la aplicación, pero la técnica utilizada no está documentada. Todos los proveedores hacen una explicación rápida de cómo funciona, pero no se dan detalles.

Le pregunto si alguien sabe qué sucede en segundo plano cuando no se usa la intercepción SSL en el firewall y todo el tráfico se transfiere a través de HTTPS (TLS 1.2) [la URL también está oculta].

¿Cómo identifica y ve el NGFW dentro de Google, Facebook, etc. la separación del tráfico (videos, juegos, chat, etc.)? Una forma debería ser identificar las IP si usan diferentes rangos dedicados a servicios específicos, pero esta técnica no ofrece mucha granularidad. La parte más interesante es "patrones de tráfico". ¿Cómo se construyen y cuál es el riesgo de error positivo de bloquear una aplicación válida que tiene un patrón "similar" a una aplicación famosa?

    
pregunta emirjonb 22.02.2018 - 10:08
fuente

3 respuestas

1

Lo hacen en base a certificado. Verifican los datos en el intercambio de certificados entre el servidor y el cliente, y se basan en eso ahora si están intentando acceder a Dropbox, Outlook o cualquier otra página. El CN o SAN de Dropbox es www.dropbox.com, por lo que ahora está intentando acceder a él.

En otros casos, el control de la aplicación en Youtube, navegación, etc., es problemático, porque está firmado con un comodín: * .google.com. Esto hace que Fws no pueda diferenciar entre la navegación o youtube. En el caso de gmail, tiene su propio CN / SAN como gmail.google.com. Ahora no sé si los FW han implementado un mecanismo paralelo para detectar YouTube, pero no hace mucho tiempo no pudieron hacerlo. Saludos.

    
respondido por el bulw4rk 24.03.2018 - 12:25
fuente
0

Debido a que el cifrado de SRC , DST , SPRT , DPRT no está cifrado.

El proceso de encapsulación que se produce durante el modelo OSI (es decir, desde los protocolos BGP, TCP, UDP, ARP) no permite ningún mecanismo de intercambio de claves para cifrar / descifrar el encabezado del datagrama, que se puede resolver fácilmente mediante DNS, WHOIS o ambos. a un proveedor de servicios o propietario de un espacio IP.

Para obtener información sobre las técnicas utilizadas para la clasificación de DPI, puede hacer un buen vistazo a las dos soluciones de código abierto para los proveedores mencionados; resoplido y surricatta

    
respondido por el jas- 24.03.2018 - 12:08
fuente
-1

La identificación del tráfico se realiza en general mediante el uso de DPI, que es básicamente verificar partes específicas de los paquetes para determinar una aplicación o un tipo de tráfico. Por ejemplo, el tráfico HTTP de Facebook podría detectarse como

^(GET|POST).*Host:.*facebook.com

Y en algunos casos, al verificar el tipo de contenido, puedes adivinar si el tráfico es de video / audio u otros.

En el caso del tráfico SSL, los NGFW solo pueden analizar el cliente / servidor y los mensajes de certificado y extraer el nombre de dominio y otra información, pero con el DPI no es posible adivinar qué contiene. Sin embargo, al usar métricas de tráfico puedes adivinarlo. Por ejemplo, una gran descarga de SSL de un sitio podría ser un video, pero podría ser una descarga de un archivo, pero esto es una conjetura

    
respondido por el camp0 22.02.2018 - 11:24
fuente

Lea otras preguntas en las etiquetas