Este artigo explica como Cato classifica as aplicações e discute os recursos e as informações de tráfego que são usados para análise do motor DPI proprietário.
A consciência das aplicações é necessária para segurança de rede e monitoramento de tráfego. Ele fornece visibilidade e controle de aplicações que estão em execução na sua rede. O motor de inspeção profunda de pacotes (DPI) da Cato examina o tráfego de rede no nível da aplicação e fornece o controle de tráfego de aplicações baseado na camada de aplicação e não apenas em porta e protocolo.
Cato classifica as aplicações em categorias que são usadas em diferentes políticas no Aplicativo de Gerenciamento Cato. Por exemplo, gerenciar e controlar o tráfego nas seções de Gerenciamento de Largura de Banda e Regras de Rede. Também permite controlar a segurança na seção de Regras de Firewall. E ajuda a identificar o nome do aplicativo na janela de Descoberta de Eventos para melhor visibilidade e capacidades de monitoramento.
Para mais detalhes sobre a classificação de aplicações da Cato usando técnica de machine learning, consulte Cato desenvolve método inovador para identificação automática de aplicações.
O motor DPI da Cato classifica aplicações de acordo com a análise de tráfego da equipe de segurança da Cato e com base em feeds de fontes externas
As seções seguintes descrevem
-
Inspecionando o tráfego
-
Usando feeds de fornecedores de aplicativos SaaS
O motor DPI da Cato é executado em cada PoP na Nuvem Cato e inspeciona o conteúdo do tráfego. Ele usa os metadados do fluxo de pacotes e a carga útil dos dados para classificação.
O motor DPI inspeciona vários tipos de dados contidos no fluxo de aplicação e então classifica-o em aplicação e cada aplicação é atribuída a uma categoria. Utiliza os seguintes itens correlacionados para a análise de metadados de fluxo.
O motor DPI usa o endereço IP de destino e o número da porta para classificar o tráfego. Ele classifica facilmente o tráfego de aplicações em categorias quando o tráfego usa portas bem conhecidas.
Cato usa técnicas de correspondência de padrões em nomes de domínio para classificar aplicações. O motor DPI usa uma rica variedade de caracteres curinga e expressões lógicas para procurar um padrão correspondente e identificar a aplicação. Quando encontra um padrão que corresponde ao nome de domínio, então classifica o aplicativo na categoria apropriada. Os exemplos seguintes mostram uma técnica de correspondência de padrão e uma expressão lógica:
-
Curinga: *.google.com. Tráfego com um nome de domínio que corresponde a este curinga é classificado como uma aplicação do Google.
-
Expressão lógica: "google.com" ou "googleadservices.com". Tráfego com um nome de domínio que corresponde a esta expressão é classificado como uma aplicação Google AdWords.
Cato verifica se o endereço IP de destino do tráfego pertence a uma faixa de IP específica alocada para uma aplicação. Então classifica esse tráfego de aplicação em uma categoria. Se o endereço IP de destino for parte de um ASN, CIDR, subnet ou IP-Set, o motor classifica com base nesta informação. Para classificar corretamente a aplicação, Cato atualiza regularmente os endereços IP e listas ASN.
Por exemplo, se o endereço IP de destino pertence a sub-redes nestas faixas de IP da Amazon: 52.23.61.0/24 OU 54.244.46.0/24, Cato classifica o tráfego como uma aplicação Amazon.
Outro exemplo é se o endereço IP de destino pertence ao sistema autônomo (AS): AS == 62041(Telegram ASN), Cato classifica como uma aplicação Telegram.
A carga útil do pacote contém informações sobre a aplicação que ajudam o motor DPI a classificá-la. Aqui estão alguns exemplos de dados de carga útil que Cato usa para classificação de aplicações:
-
Para tráfego HTTP, Cato usa os dados no cabeçalho HTTP User-Agent
-
Para Tráfego TLS, Cato usa os atributos TLS
O NGFW da Cato também usa a carga útil para identificar a maioria dos serviços como HTTP, SSH, TLS e mais. Identificamos assinaturas de serviços e protocolos que são baseadas em seus RFCs. Por exemplo, Cato usa padrões como "ssh-1" OU "SSH-1" para identificar uma aplicação SSH.
Alguns fornecedores de SaaS publicam feeds e conteúdo web com suas faixas de endereços IP para aplicações. Cato usa um sistema de inteligência que segue rotineiramente esses fornecedores para atualizar as faixas de endereços IP específicas de aplicações (por exemplo, Office365, Google Apps, etc.) e o banco de dados ASN. Esses feeds e conteúdos web atualizam dinamicamente a Nuvem Cato e ajudam a classificar aplicações. Quando provedores alteram e atualizam as propriedades de uma aplicação, Cato também altera as definições para sempre usar os dados corretos. O exemplo seguinte mostra uma fonte para a aplicação O365: Intervalos de Endereços IP e URLs do Office365.
Esta seção introduz o novo processo de classificação de aplicações.
Quando a Cato Networks adiciona novas aplicações? Os seguintes itens descrevem quando a Cato adiciona uma nova aplicação:
-
Por solicitação do cliente – A equipe de segurança da Cato pode facilmente adicionar aplicações com base nas solicitações dos clientes. Se você deseja que a Cato adicione uma nova aplicação, entre em contato com a equipe de Suporte da Cato Networks.
-
Rastreamento de tráfego não classificado – A equipe de segurança da Cato rastreia regularmente o tráfego não classificado usando um modelo de clustering de aprendizado de máquina que analisa o comportamento da aplicação, o qual é então marcado para uma análise posterior.
A Cato Networks possui uma equipe de segurança dedicada que analisa constantemente o tráfego de rede para proteger seus dados. A equipe de segurança é composta por especialistas em segurança e analistas que monitoram o tráfego para identificar aplicações não classificadas e quaisquer aplicações que não estejam classificadas corretamente. A equipe monitora o tráfego 24/7 usando sistemas de inteligência e monitoramento
0 comentário
Por favor, entre para comentar.