App-ID: identificación de cualquier aplicación en cualquier puerto

La clasificación del tráfico es el motor de cualquier firewall, dado que sus clasificaciones fundamentan sus políticas de seguridad. Los firewalls tradicionales clasifican el tráfico por puerto y protocolo. En el pasado se trataba de un mecanismo eficaz para asegurar el perímetro, pero ya no.

Si aún utiliza un firewall basado en puertos es fácil que las aplicaciones eludan su control:

  • Saltándose los puertos
  • Utilizando SSL y SSH
  • Colándose a través del puerto 80
  • Utilizando puertos no estándares

En pocas palabras, las limitaciones de la clasificación del tráfico de los firewalls basados en puertos hacen que estos no puedan proteger las redes actuales. Por este motivo, hemos desarrollado App-ID™, un sistema de clasificación de tráfico pendiente de patente que solamente está disponible en los firewalls de Palo Alto Networks. App-ID™ aplica de forma inmediata múltiples mecanismos de clasificación del tráfico de su red en cuando el dispositivo lo detecta para identificar las aplicaciones de forma precisa.

 

file

Clasifique el tráfico en función de las aplicaciones, no de los puertos.

App-ID identifica las aplicaciones que pasan por su red de la siguiente forma:

  • El tráfico se clasifica en primer lugar en función de la dirección IP y del puerto.
  • A continuación, se aplican firmas al tráfico permitido para identificar la aplicación en función de sus propiedades y características de transacciones.
  • Si App-ID determina que el cifrado (SSL o SSH) ya está en uso y se está aplicando una política de descifrado, la aplicación se descifra y sus firmas se aplican de nuevo sobre el flujo descifrado.
  • Posteriormente, los descifradores de protocolos conocidos se utilizan para aplicar firmas adicionales basadas en contextos para detectar otras aplicaciones que podrían estar pasando por dentro del protocolo (por ejemplo, Yahoo! Instant Messenger a través de HTTP).
  • Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas avanzadas y análisis de protocolos, podrán utilizarse la heurística o los análisis de comportamiento para determinar la identidad de la aplicación.

Dado que las aplicaciones se identifican a través de los mecanismos consecutivos de App-ID, la comprobación de la política determina cómo tratar las aplicaciones y las funciones asociadas: bloquearlas o autorizarlas y analizarlas en busca de amenazas, inspeccionar la transferencia no autorizada de archivos y patrones de datos o modificarlas utilizando QoS.

Clasificación del tráfico operativa en todo momento; la primera acción que siempre se realiza en todos los puertos.

La clasificación con App-ID es la primera acción que nuestros firewalls realizan sobre el tráfico, por lo que, de forma predeterminada, todas las App-ID están habilitadas. Gracias a ello, no será necesario que habilite una serie de firmas para buscar una aplicación que crea que pueda estar presente en su red, ya que App-ID nunca deja de clasificar todo su tráfico en cada puerto, no solamente una parte del tráfico (por ej., HTTP).

Todas las App-ID buscan constantemente en todo el tráfico:

  • Aplicaciones de negocios
  • Aplicaciones de clientes
  • Protocolos de red
  • Cualquier otro elemento

App-ID supervisa continuamente el estado de una aplicación para analizar si cambia a mitad de camino, proporciona información actualizada a su administrador en ACC, aplica la política apropiada y deja constancia en un registro de la información. Al igual que todos los firewalls, los de nueva generación de Palo Alto Networks utilizan un control positivo, que deniega el paso de todo el tráfico de forma predeterminada y posteriormente permite el paso solamente a aquellas aplicaciones que cumplan con su política. El resto queda bloqueado.

Todos los mecanismos de clasificación, todas las versiones de las aplicaciones y todos los sistemas operativos.

App-ID funciona a nivel de servicios, supervisando la forma en la que una aplicación interactúa entre el cliente y el servidor, lo cual significa que App-ID es indiferente a nuevas características y que es neutra desde el punto de vista del cliente o del sistema operativo. El resultado es que una única App-ID para BitTorrent será casi igual que la mayoría de firmas de sistemas operativos de BitTorrent y de clientes que tienen que habilitarse para intentar controlar esta aplicación en otros productos.

Gestión sistemática del tráfico desconocido.

Todas las redes cuentan con una pequeña cantidad de tráfico desconocido. Este tráfico puede haber sido generado internamente por parte de la aplicación, una aplicación comercial sin App-ID o puede tratarse de una amenaza. App-ID clasifica todo su tráfico desconocido, lo que le permite analizarlo y tomar una decisión más fundamentada en lo que se refiere a políticas. Si el tráfico es una aplicación interna, se puede crear una App-ID personalizada para identificarla. Si el tráfico es una aplicación comercial sin App-ID, se puede tomar un PCAP y enviarlo para que App-ID lo desarrolle. Por último, las herramientas de registro e informe de comportamiento de botnets de App-ID le dirán si el tráfico es una amenaza para que tome una medida apropiada en caso afirmativo.

Recursos

Conozca mejor la tecnología App-ID.
Vea cómo App-ID ofrece visibilidad y control sobre las aplicaciones relacionadas y no relacionadas con la actividad de la empresa que puedan evadir la detección haciéndose pasar por tráfico de confianza, saltándose puertos o colándose a través del firewall mediante el cifrado.

Conozca mejor la tecnología de visibilidad de las aplicaciones.
El conocimiento es poder. Gracias al completo contexto que le ofrecen nuestras herramientas de visualización, análisis e información, podrá conocer mejor al instante la actividad en su red y tomar las decisiones oportunas en lo que a políticas se refiere. Podrá analizar las incidencias desde un punto de vista actual o comparado.

CHAT
¿Alguna duda?
Charla con quien puede responderte.
Iniciar chat ahora