天天看點

pfSense軟體上的應用程式檢測

pfsense官方部落格更新了一篇文章,以下為翻譯内容:

pfSense®軟體上的應用程式檢測   

2017年12月6日

吉姆湯普森

感謝Snort軟體包和OpenAppID,pfSense現在可以識别應用程式。

這個第7層功能通過pfSense軟體的更新版Snort軟體包得到。 由比爾·米克斯(Bill Meeks)維護的Snort軟體包已經有很多年了,是我們最受歡迎的軟體包之一。 由于他不斷的努力以及Demair Ramos的協助,OpenAppID現在成為了Snort軟體包的一部分。

Snort作者和Sourcefire創始人Martin Roesch于2014年推出了OpenAppID,它是一個面向應用的檢測語言和Snort處理子產品。 引用Martin Roesch的原始部落格文章:

“OpenAppID将控制權掌握在使用者的手中,使他們能夠控制網絡環境中的應用程式使用情況,并消除等待供應商釋出更新的風險。 實際上,我們正在使人們有可能建立自己的開源下一代防火牆。”

OpenAppID由一組用于檢測應用程式的LUA庫以及應用程式檢測器組成。 為了在Snort軟體包中為pfSense啟用OpenAppID,Bill Meeks內建了所有必需的AppID存根和LUA腳本,以使OpenAppID正常工作。 但是,為了使用這些簽名,需要建立類似于任意其他自定義Snort規則的文本規則,差別在于規則中的“appid”關鍵字。 appid關鍵字可以嵌入到任何規則中,以僅比對已經被識别為特定應用的流量。

這些規則引用了規則中由VRT(漏洞研究團隊)提供的各種應用程式ID。 為了實際使用OpenAppID,您需要從VRT擷取App ID存根,然後建立引用App ID的文本規則。 但是,用于分析流量的實際應用程式檢測規則不是由Cisco或Snort提供的。

這是我們的社群再一次閃耀的地方。pfSense使用者和社群成員Demair Ramos建立了大量使用VRT提供的AppID的文本規則。 Demair甚至托管了他在巴西大學的伺服器上建立的規則,但是這台伺服器的帶寬有限,并實施了地理封鎖。 與Bill合作,Demair和我們的開發人員Renato Botelho do Couto建立了這個規則庫的一個新的“鏡像”,Bill更改了Snort軟體包以供pfSense使用,pfSense-package-snort v3.2.9.5_4以後會有更新變化。

在pfSense中,如果配置了OpenAppID,就可以成功進行檢測應用程式,可以阻止2600多種不同的服務,如Facebook,Netflix,Twitter和Reddit。 該軟體包可以從pfSense軟體包管理器安裝,并通過現有的Snort GUI進行配置。 熟悉snort的人應該會很容易掌握OpenAppID的操作。

我們的OpenAppID計劃不僅限于pfSense,我們打算在思科VPP和DPDK等更進階平台上啟用它。

感謝Bill Meeks和Demair Ramos對pfSense應用的貢獻,感謝思科的Martin Roesch,感謝他為pfSense軟體提供真正下一代防火牆功能所做的工作。

本文轉自 鐵血男兒 51CTO部落格,原文連結:http://blog.51cto.com/fxn2025/2048199,如需轉載請自行聯系原作者

繼續閱讀