Este artículo explica cómo Cato clasifica aplicaciones y discute los recursos y la información del tráfico que se usa para el análisis del motor DPI propietario.
La concienciación sobre las aplicaciones es necesaria para la seguridad de red y el monitoreo de tráfico. Proporciona visibilidad y control de aplicaciones para las aplicaciones que se ejecutan en su red. El motor de inspección profunda de paquetes (DPI) de Cato examina el tráfico de red a nivel de aplicación y proporciona el control del tráfico de aplicaciones basado en la capa de aplicación y no solo en el puerto y protocolo.
Cato clasifica aplicaciones en categorías que se utilizan en diferentes políticas en la Aplicación de Gestión Cato. Por ejemplo, gestionar y controlar el tráfico en las secciones de gestión de ancho de banda y reglas de red. También le permite controlar la seguridad en la sección de reglas de firewall. Y, ayuda a identificar el nombre de la aplicación en la ventana de Descubrimiento de Eventos para mejorar la visibilidad y las capacidades de monitoreo.
Para más información sobre la clasificación de aplicaciones de Cato usando técnicas de aprendizaje automático, vea Cato desarrolla un método revolucionario para la identificación automática de aplicaciones.
El motor DPI de Cato clasifica aplicaciones según el análisis de tráfico del equipo de seguridad de Cato y basado en fuentes externas
Las siguientes secciones describen
-
Inspección del tráfico
-
Uso de fuentes de proveedores de aplicaciones SaaS
El motor DPI de Cato se ejecuta en cada PoP en la Nube de Cato e inspecciona el contenido del tráfico. Utiliza el flujo de metadatos de paquetes y la carga útil de datos para la clasificación.
El motor DPI inspecciona varios tipos de datos contenidos en el flujo de la aplicación y luego los clasifica en aplicaciones, asignando cada aplicación a una categoría. Utiliza los siguientes elementos correlacionados para el análisis de metadatos de flujo.
El motor DPI utiliza la dirección IP de destino y el número de puerto para clasificar el tráfico. Clasifica fácilmente el tráfico de aplicaciones en categorías cuando el tráfico utiliza puertos bien conocidos.
Cato utiliza técnicas de coincidencia de patrones en los nombres de dominio para clasificar aplicaciones. El motor DPI utiliza una amplia variedad de comodines y expresiones lógicas para buscar un patrón coincidente e identificar la aplicación. Cuando encuentra un patrón que coincide con el nombre de dominio, clasifica la aplicación en la categoría adecuada. Los siguientes ejemplos muestran una técnica de coincidencia de patrón y una expresión lógica:
-
Comodín: *.google.com. El tráfico con un nombre de dominio que coincide con este comodín se clasifica como una aplicación de Google.
-
Expresión lógica: "google.com" o "googleadservices.com". El tráfico con un nombre de dominio que coincide con esta expresión se clasifica como una aplicación de Google AdWords.
Cato verifica si la dirección IP de destino del tráfico pertenece a un rango de IP específico asignado a una aplicación. Luego clasifica este tráfico de aplicación en una categoría. Si la dirección IP de destino es parte de un ASN, CIDR, subred o conjunto de IP, el motor lo clasifica en base a esta información. Para clasificar correctamente la aplicación, Cato actualiza regularmente las direcciones IP y las listas de ASN.
Por ejemplo, si la dirección IP de destino pertenece a subredes en estos rangos de IP de Amazon: 52.23.61.0/24 O 54.244.46.0/24, Cato clasifica el tráfico como una aplicación de Amazon.
Otro ejemplo es si la dirección IP de destino pertenece al sistema autónomo (AS): AS == 62041(ASN de Telegram), Cato lo clasifica como una aplicación de Telegram.
La carga útil del paquete contiene información sobre la aplicación que ayuda al motor DPI a clasificarla. A continuación se presentan algunos ejemplos de datos de carga útil que Cato utiliza para la clasificación de aplicaciones:
-
Para tráfico HTTP, Cato utiliza los datos en el encabezado HTTP User-Agent
-
Para tráfico TLS, Cato utiliza los atributos de TLS
El NGFW de Cato también utiliza la carga útil para identificar la mayoría de los servicios como HTTP, SSH, TLS y más. Identificamos firmas de servicios y protocolos que se basan en sus RFC. Por ejemplo, Cato utiliza patrones como "ssh-1" O "SSH-1" para identificar una aplicación SSH.
Algunos proveedores de SaaS publican fuentes y contenido web con sus rangos de direcciones IP para aplicaciones. Cato utiliza un sistema de inteligencia que sigue rutinariamente a estos proveedores para actualizar los rangos de direcciones IP de aplicaciones específicas (por ejemplo, Office365, Google Apps, etc.) y la base de datos ASN. Estas fuentes y contenido web actualizan dinámicamente la Nube de Cato y ayudan a clasificar aplicaciones. Cuando los proveedores cambian y actualizan las propiedades para una aplicación, Cato también cambia las definiciones para siempre usar los datos correctos. El siguiente ejemplo muestra una fuente para la aplicación O365: Rangos de direcciones IP y URLs de Office365.
Esta sección presenta el nuevo proceso de clasificación de aplicaciones.
¿Cuándo añade Cato Networks nuevas aplicaciones? Los siguientes elementos describen cuándo Cato añade una nueva aplicación:
-
Por solicitud del cliente – El equipo de seguridad de Cato puede añadir fácilmente aplicaciones basadas en solicitudes de clientes. Si quiere que Cato añada una nueva aplicación, por favor contacte con el equipo de Soporte de Cato Networks.
-
Rastreando tráfico no clasificado – El equipo de seguridad de Cato rastrea regularmente el tráfico no clasificado usando un modelo de clustering de aprendizaje automático que analiza el comportamiento de la aplicación, el cual se marca para un análisis posterior.
Cato Networks tiene un equipo de seguridad dedicado que analiza constantemente el tráfico de red para proteger sus datos. El equipo de seguridad cuenta con expertos en seguridad y analistas que monitorean el tráfico para identificar aplicaciones no clasificadas y cualquier aplicación que no esté clasificada correctamente. El equipo monitorea el tráfico 24/7 usando sistemas de inteligencia y monitoreo
0 comentarios
Inicie sesión para dejar un comentario.