Cet article explique comment Cato classifie les applications et discute des ressources et des informations sur le trafic utilisées pour l'analyse du moteur DPI propriétaire.
La connaissance des applications est nécessaire pour la sécurité du réseau et le suivi du trafic. Elle fournit la visibilité et le contrôle des applications qui s'exécutent sur votre réseau. Le moteur d'inspection en profondeur des paquets (DPI) de Cato examine le trafic réseau au niveau de l'application et fournit le contrôle du trafic d'application basé sur la couche application et pas seulement sur le port et le protocole.
Cato classe les applications en catégories qui sont utilisées dans différentes politiques dans l'Application de gestion Cato. Par exemple, gérer et contrôler le trafic dans les sections de gestion de la bande passante et des règles réseau. Il vous permet également de contrôler la sécurité dans la section des règles de pare-feu. De plus, il aide à identifier le nom de l'application dans la fenêtre de découverte des événements pour une meilleure visibilité et des capacités de suivi.
Pour en savoir plus sur la classification des applications de Cato utilisant la technique de machine learning, voir Cato développe une méthode révolutionnaire pour l'identification automatique des applications.
Le moteur DPI de Cato classe les applications selon l'analyse du trafic de l'équipe de sécurité de Cato et basé sur des sources externes
Les sections suivantes décrivent
-
Inspection du trafic
-
Utilisation des flux de fournisseurs d'applications SaaS
Le moteur DPI de Cato fonctionne sur chaque PoP dans le Cloud de Cato et inspecte le contenu du trafic. Il utilise les métadonnées de flux de paquets et la charge utile des données pour la classification.
Le moteur DPI inspecte différents types de données contenues dans le flux d'application puis les classe en application et chaque application est assignée à une catégorie. Il utilise les éléments corrélés suivants pour l'analyse des métadonnées de flux.
Le moteur DPI utilise l'adresse IP de destination et le numéro de port pour classer le trafic. Il classe facilement le trafic des applications en catégories lorsque le trafic utilise des ports bien connus.
Cato utilise des techniques de correspondance de motifs sur les noms de domaine pour classer les applications. Le moteur DPI utilise une riche variété de jokers et d'expressions logiques pour rechercher un motif correspondant et identifier l'application. Lorsqu'il trouve un motif qui correspond au nom de domaine, il classe alors l'application dans la catégorie appropriée. Les exemples suivants montrent une technique de correspondance de motifs et une expression logique :
-
Joker : *.google.com. Le trafic avec un nom de domaine qui correspond à ce joker est classé comme une application Google.
-
Expression logique : "google.com" ou "googleadservices.com". Le trafic avec un nom de domaine qui correspond à cette expression est classé comme une application Google AdWords.
Cato vérifie si l'adresse IP de destination du trafic appartient à une plage d'IP spécifique attribuée à une application. Il classe ensuite ce trafic d'application dans une catégorie. Si l'adresse IP de destination fait partie d'un ASN, CIDR, sous-réseau ou ensemble IP, le moteur le classe en fonction de cette information. Pour classer correctement l'application, Cato met régulièrement à jour les adresses IP et les listes ASN.
Par exemple, si l'adresse IP de destination appartient aux sous-réseaux dans ces plages IP Amazon : 52.23.61.0/24 OU 54.244.46.0/24, Cato classe le trafic comme une application Amazon.
Un autre exemple est si l'adresse IP de destination appartient au système autonome (AS) : AS == 62041(ASN de Telegram), Cato le classe comme une application Telegram.
La charge utile du paquet contient des informations sur l'application qui aide le moteur DPI à la classer. Voici quelques exemples de données de charge utile que Cato utilise pour la classification des applications :
-
Pour le trafic HTTP, Cato utilise les données de l'en-tête HTTP User-Agent
-
Pour le trafic TLS, Cato utilise les attributs TLS
Le NGFW de Cato utilise également la charge utile pour identifier la plupart des services tels que HTTP, SSH, TLS et plus. Nous identifions les signatures de services et de protocoles qui sont basées sur leurs RFC. Par exemple, Cato utilise des motifs tels que "ssh-1" OU "SSH-1" pour identifier une application SSH.
Certains fournisseurs de SaaS publient des flux et du contenu Web avec leurs plages d'adresses IP pour les applications. Cato utilise un système intelligent qui suit régulièrement ces fournisseurs pour mettre à jour les plages d'adresses IP spécifiques des applications (par exemple, Office365, Google Apps, etc.), et la base de données ASN. Ces flux et ce contenu Web mettent à jour dynamiquement le Cloud Cato et aident à classer les applications. Lorsque les fournisseurs modifient et mettent à jour les propriétés d'une application, Cato change également les définitions pour toujours utiliser les données correctes. L'exemple suivant montre une source de flux pour l'application O365 : Plages d'adresses IP et URL d'Office365.
Cette section présente le nouveau processus de classification des applications.
Quand Cato Networks ajoute-t-il de nouvelles applications ? Les éléments suivants décrivent quand Cato ajoute une nouvelle application :
-
Sur demande du client – L'équipe de sécurité de Cato peut facilement ajouter des applications en fonction des demandes des clients. Si vous souhaitez que Cato ajoute une nouvelle application, veuillez contacter l'équipe de support de Cato Networks.
-
Suivi du trafic non classifié – L'équipe de sécurité de Cato suit régulièrement le trafic non classifié en utilisant un modèle de clustering d'apprentissage automatique qui analyse le comportement de l'application, ce qui est ensuite marqué pour une analyse ultérieure.
Cato Networks dispose d'une équipe de sécurité dédiée qui analyse constamment le trafic réseau pour protéger vos données. L'équipe de sécurité comprend des experts en sécurité et des analystes qui surveillent le trafic pour identifier les applications non classifiées et toute application qui n'est pas classée correctement. L'équipe surveille le trafic 24/7 en utilisant des systèmes d'intelligence et de surveillance
0 commentaire
Vous devez vous connecter pour laisser un commentaire.