Профиль приложений позволяет создавать динамический набор сигнатур приложений, предназначенный для анализа трафика на 7 уровне модели OSI. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. При изменении библиотеки сигнатур приложений профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей.

Помимо создания необходимого набора сигнатур в профиле могут определяться действия, которые необходимо выполнить над приложениями, отфильтрованными сигнатурами, и действия, которые должны быть применены к трафику, который не удалось идентифицировать.

Создание профиля приложений в веб-консоли администратора

В веб-консоли администратора профили приложений создаются в разделе Библиотеки ➜ Профили приложений.

В консоли администратора по умолчанию созданы два профиля приложений:

Default application profile — профиль, содержащий все сигнатуры приложений, за исключением относящихся к категории ICS/IoT.
Pass ICS/IoT applications — профиль, содержащий только сигнатуры приложений с категорией ICS/IoT (приложения, относящиеся к АСУ ТП).

Для создания собственного профиля необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля приложений:

1. В поле Название указать название создаваемого профиля.

2. В поле Описание опционально указать назначение профиля.

3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки и настраиваются действия, которые необходимо выполнить над приложениями, отфильтрованными сигнатурами.

4. В области Настройки сигнатуры неопределенных приложений определяются действия с трафиком, который не был определен сигнатурами данного профиля.

5. На вкладке Совпавшие сигнатуры отображается превью сигнатур приложений, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над приложениями, отфильтрованными этими сигнатурами.

Настройка фильтров сигнатур в профиле приложений

Для создания фильтра сигнатур приложений необходимо в области Фильтры нажать Добавить. Откроется окно свойств фильтра.

Фильтр можно создать, выбирая опции отбора в панели инструментов. Ниже в окне будут отображаться сигнатуры из библиотеки, попадающие под действие этого фильтра:

Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого необходимо нажать Расширенный в панели инструментов и в открывшейся строке описать свойства выбора фильтра:

В каждом фильтре могут настраиваться состояния сигнатур и действия, которые применяются ко всем сигнатурам, попадающим под него:

включение/отключение сигнатуры;
включение/отключение журналирования сигнатуры;
запись в pcap-файл, если сигнатура сработала;
предпринимаемое действие над трафиком, если сигнатура сработала, т.е. приложение было найдена в трафике; действия могут быть следующие: пропустить, отбросить, отбросить с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.

Для сохранения созданного фильтра необходимо нажать Сохранить.

В одном профиле может быть создано сразу несколько фильтров.

Фильтры в профиле работают по правилу логического ИЛИ.

Порядок фильтров сигнатур в профиле важен – настройки верхнего фильтра имеют высший приоритет. Например, если в библиотеку сигнатур приложений будут добавлены новые сигнатуры и они попадут под действие сразу нескольких фильтров одного профиля, им будет присвоено настроенное действие первого фильтра, под который они попадают.

Настройка действий для трафика, который не удалось идентифицировать

В профиле приложений может быть настроено действие, которое применяется к трафику, который не удалось идентифицировать с помощью набора сигнатур профиля.

В области Настройки сигнатуры неопределенных приложений настраивается действие, включается/отключается журналирование и запись в файл pcap.

Действия могут быть следующие: пропустить, отбросить, отбросить с разрывом TCP соединения.

Работа с профилями приложений в интерфейсе командной строки описана в разделе Настройка библиотек Руководства администратора.

Примеры настроек профилей приложений

Пример 1. Профиль приложения с сигнатурой, зависимой от сигнатуры протокола

Списки сигнатур, зависимых от сигнатур протоколов, приведены в разделе Приложения.

Создадим профиль для приложения Kontur Talk, которое определяется соответствующей сигнатурой (id=14002). Чтобы запретить весь трафик, кроме трафика приложения Kontur Talk, профиль приложений должен выглядеть следующим образом:

Сигнатура SSL/TLS (id=19) необходима для работы сигнатуры Kontur Talk, поэтому она добавляется в профиль, но для нее выставляется действие Отбросить, чтобы не пропускать посторонний трафик по протоколам SSL/TLS. Для неидентифицированного трафика также устанавливается действие Отбросить.

Пример 2. Профиль для белого списка со связанными сигнатурами

Списки связанных сигнатур приведены в разделе Приложения.

Создадим профиль для случая, когда необходимо разрешить загрузку файлов на Yandex Disk. Для того, чтобы сигнатура Yandex.Disk upload работала, необходимо учесть её зависимость от сигнатуры протокола SSL/TLS (id=19) и связанность с сигнатурами Yandex.Disk (id=218) и Yandex Services (id=12044). В данном примере профиль приложений будет выглядеть следующим образом:

Таким образом разрешается доступ и загрузка файлов на Yandex Disk, а весь остальной трафик помечается как неидентифицированный и отбрасываться либо действием сигнатуры SSL/TLS, либо действием для сигнатур неопределенных приложений.

Пример 3. Профиль для черного списка со связанными сигнатурами

В данном примере разрешается весь трафик, кроме попадающего под сигнатуру Yandex.Disk upload (id=7708). Для этого случая необходимо учесть зависимость сигнатуры Yandex.Disk upload от сигнатуры протокола SSL/TLS (id=19). Связанность с сигнатурами Yandex.Disk и Yandex Services в случае блокировки не учитывается. Профиль приложений в данном примере будет выглядеть следующим образом:

Таким образом запрещается загрузка файлов на Yandex Disk, а весь остальной трафик разрешается либо действием сигнатуры SSL/TLS, либо действием для сигнатур неопределенных приложений.

Применение профилей приложений

Администратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.

Профиль приложения применяется в разрешающем правиле межсетевого экрана.

Внимание!Для корректной работы системы анализа трафика СОВ/L7 через NGFW должен проходить как прямой, так и обратный трафик. На асимметричном трафике система работать не будет.

Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем (адреса/зоны источника/назначения, пользователи итд.). После попадания под разрешающее правило с профилем приложений, трафик начинает анализироваться с помощью сигнатур профиля. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в фильтрах профиля и произведена соответствующая запись в Журнале трафика, если была включена опция журналирования. Если ни одна из сигнатур не была найдена, то к трафику будет применено действие, настроенное в профиле для неопределённых приложений.

ПримечаниеПри выбранном действии «Пропустить» для неопределённых приложений, попадающий под это условие, трафик будет безусловно разрешаться, не переходя дальше в обработку цепочки нижестоящих правил Межсетевого экрана.

Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).

Виджеты сработавших приложений

Администратор может настроить отображение виджетов приложений на информационной панели — дашборде. В виджеты попадает информация о сработавших в правилах сигнатурах приложений, которые были определены в соответствующих профилях.

На NGFW предопределены 3 шаблона виджетов для приложений: