pfSense软件上的应用程序检测

pfSense®软件上的应用程序检测

2017年12月6日

吉姆汤普森

感谢Snort软件包和OpenAppID,pfSense现在可以识别应用程序。

这个第7层功能通过pfSense软件的升级版Snort软件包得到。 由比尔·米克斯(Bill Meeks)维护的Snort软件包已经有很多年了,是我们最受欢迎的软件包之一。 由于他不断的努力以及Demair Ramos的协助,OpenAppID现在成为了Snort软件包的一部分。

OpenAppID是什么?

Snort作者和Sourcefire创始人Martin Roesch于2014年推出了OpenAppID,它是一个面向应用的检测语言和Snort处理模块。 引用Martin Roesch的原始博客文章:

OpenAppID将控制权掌握在用户的手中,使他们能够控制网络环境中的应用程序使用情况,并消除等待供应商发布更新的风险。 实际上,我们正在使人们有可能建立自己的开源下一代防火墙。

请记住,OpenAppID只提供了应用程序标识而不是威胁检测。 我们强烈建议阅读马丁的这篇博客文章

OpenAppID由一组用于检测应用程序的LUA库以及应用程序检测器组成。 为了在Snort软件包中为pfSense启用OpenAppID,Bill Meeks集成了所有必需的AppID存根和LUA脚本,以使OpenAppID正常工作。 但是,为了使用这些签名,需要创建类似于任意其他自定义Snort规则的文本规则,区别在于规则中的“appid”关键字。 appid关键字可以嵌入到任何规则中,以仅匹配已经被识别为特定应用的流量。

这些规则引用了规则中由VRT(漏洞研究团队)提供的各种应用程序ID。 为了实际使用OpenAppID,您需要从VRT获取App ID存根,然后创建引用App ID的文本规则。 但是,用于分析流量的实际应用程序检测规则不是由Cisco或Snort提供的。

这是我们的社区再一次闪耀的地方。pfSense用户和社区成员Demair Ramos创建了大量使用VRT提供的AppID的文本规则。 Demair甚至托管了他在巴西大学的服务器上创建的规则,但是这台服务器的带宽有限,并实施了地理封锁。 与Bill合作,Demair和我们的开发人员Renato Botelho do Couto创建了这个规则库的一个新的“镜像”,Bill更改了Snort软件包以供pfSense使用,pfSense-package-snort v3.2.9.5_4以后会有更新变化。

使用Snort 和Application ID

在pfSense中,如果配置了OpenAppID,就可以成功进行检测应用程序,可以阻止2600多种不同的服务,如Facebook,Netflix,Twitter和Reddit。 该软件包可以从pfSense软件包管理器安装,并通过现有的Snort GUI进行配置。 熟悉snort的人应该会很容易掌握OpenAppID的操作。

我们最近更新了针对pfSense的Snort配置指南,并添加了一个Application ID部分的介绍,可以在这里找到它。

我们的OpenAppID计划不仅限于pfSense,我们打算在思科VPP和DPDK等更高级平台上启用它。

感谢Bill Meeks和Demair Ramos对pfSense应用的贡献,感谢思科的Martin Roesch,感谢他为pfSense软件提供真正下一代防火墙功能所做的工作。

原文地址