Come fa un firewall NG a fare visibilità e classificazione delle applicazioni del traffico TLS senza intercettazione TLS e quanto è affidabile questo

2

How Does Application Visibility and Control Work? The application identification (App ID) classification engine and application signature pattern-matching engine operate at Layer 7 and inspect the actual content of the payload for identifying applications. App ID performs a deep packet inspection (DPI) of traffic on the network and on every packet in the flow that passes through the application identification engine until the application is identified. Application findings such as IP addresses, hostnames, and port ranges are saved in the application system cache (ASC) to expedite future identification. -- Juniper

AVC uses stateful deep packet inspection (DPI) to classify more than 1400 applications. It can also combine DPI with techniques such as statistical classification, socket caching, service discovery, auto learning, and DNS-AS. Custom applications can detect native apps. -- Cisco AVC

The inspection of thousands of traffic patterns over several years led Meraki to create a database of traffic signatures that can be used to recognize network traffic at the application level. -- Meraki (Cisco)

AppRF performs deep packet inspection (DPI) of local traffic and detects over 1500 applications on the network. AppRF allows you to configure both application and application category policies within a given user role. WebCC uses a cloud-based service to dynamically determine the types of websites being visited, and their safety -- Aruba (HP)

Diversi fornitori di NG Firewall eseguono il controllo delle applicazioni ma la tecnica utilizzata non è documentata. Tutti i fornitori fanno una rapida spiegazione di come funziona, ma non vengono forniti dettagli.

Chiedo se qualcuno sa cosa succede in background quando non viene utilizzata alcuna intercettazione SSL sul firewall e tutto il traffico viene trasferito tramite HTTPS (TLS 1.2) [Anche l'URL è nascosto].

In che modo NGFW identifica e vede all'interno di Google, Facebook, ecc. la separazione del traffico (video, giochi, chat, ecc.)? Un modo dovrebbe essere identificare gli IP se utilizzano intervalli diversi dedicati a servizi specifici ma questa tecnica non offre granularità. La parte più interessante sono i "modelli di traffico". Come vengono costruiti e qual è il rischio positivo per colpa di bloccare un'applicazione valida che ha un pattern "simile" a una famosa app?

    
posta emirjonb 22.02.2018 - 10:08
fonte

3 risposte

1

Lo fanno in base al certificato. Controllano i dati sullo scambio di certificati tra un server e un client, e basano su quello, ora se stai tentando di accedere a dropbox, outlook o qualsiasi altra pagina. Il CN o SAN di Dropbox è www.dropbox.com, quindi ora stai cercando di accedervi.

In altri casi, il controllo dell'applicazione in YouTube, la navigazione, ecc. è problematico, perché è firmato con un carattere jolly: * .google.com. Questo rende Fws in grado di distinguere tra navigazione o youtube. Nel caso di gmail, ha il proprio CN / SAN come gmail.google.com. Ora non so se gli FW hanno implementato un meccanismo parallelo per rilevare YouTube, ma non molto tempo fa non erano in grado. Saluti.

    
risposta data 24.03.2018 - 12:25
fonte
0

Poiché la crittografia di SRC , DST , SPRT , DPRT non è crittografata.

Il processo di incapsulamento che si verifica durante il modello OSI (cioè dai protocolli BGP, TCP, UDP, ARP) non consente alcun meccanismo di scambio di chiavi per crittografare / decodificare l'intestazione del datagramma che può essere facilmente risolta tramite DNS, WHOIS o entrambi a un fornitore di servizi o proprietario di uno spazio IP.

Per informazioni sulle tecniche utilizzate per la classificazione DPI si potrebbe fare bene a guardare due soluzioni open source ai fornitori menzionati; sniff e surricatta

    
risposta data 24.03.2018 - 12:08
fonte
-1

L'identificazione del traffico è generalmente effettuata usando DPI, che in pratica controlla le parti specifiche dei pacchetti per determinare e l'applicazione o un tipo di traffico. Ad esempio, il traffico HTTP da Facebook potrebbe essere rilevato come

^(GET|POST).*Host:.*facebook.com

E in alcuni casi controllando il tipo di contenuto puoi indovinare se il traffico è video / audio o altro.

Nel caso del traffico SSL, il NGFW può solo analizzare i messaggi client / server e certificati ed estrarre il nome del dominio e altre informazioni, ma è impossibile con DPI indovinare cosa c'è dentro. Tuttavia, utilizzando le metriche del traffico, puoi indovinarlo. Ad esempio un grande download di SSL da un sito potrebbe essere un video ma potrebbe essere un download di un file, ma questa è una supposizione

    
risposta data 22.02.2018 - 11:24
fonte

Leggi altre domande sui tag