시작하기: 사용자 정의 애플리케이션과 앱 오버라이드

yyu — Mon, 24 Jul 2023 06:32:09 GMT

해결책

내 방화벽(firewall)은 더 많은 것을 할 수 있을까요? 사용자 정의 애플리케이션과 앱 오버라이드입니다!

환경에 따라 사용자 정의로 생성된 독자적인 애플리케이션이나 트래픽이 있을 수 있습니다. 사용자 정의 이름으로 식별하고자 할 수도 있습니다. 예를 들어, 웹 서비스를 운영 중인데 Palo Alto Networks 방화벽에서는 해당 서비스를 웹 브라우징으로 식별하는 경우가 있습니다. 이는 보고서 작성을 어렵게 만들 수 있습니다. 또는 특정 앱 식별자를 사용하는 일련의 연결에 대해 QoS를 적용하고자 할 수도 있습니다.

이러한 문제를 해결하기 위해 트래픽에서 특정 시그니처와 일치하는 사용자 정의 App-ID를 생성하거나, 애플리케이션 오버라이드를 사용하여 특정 세션을 구성한 애플리케이션으로 강제로 식별할 수 있습니다.

시그니처 기반의 사용자 정의 앱은 방화벽을 통과하는 패킷에서 시그니처를 명확히 식별하기 위해 App-ID 엔진을 활용합니다. 예측 가능하거나 쉽게 식별 가능한 시그니처를 사용하는 독점적인 애플리케이션을 식별하려는 경우, 정규식을 사용하여 시그니처를 식별하는 데 도움이 되는 사용자 정의 애플리케이션을 생성할 수 있습니다.

예시: 내부에서 URL인 www.example.com에서 실행 중인 웹 서비스가 있습니다. 이는 일반적인 웹사이트이므로 방화벽은 'web-browsing' App-ID로 식별합니다.

시그니처 기반 사용자 정의 App-ID

패킷 캡처를 통해 서버로 향하는 트래픽을 자세히 살펴보면, 식별 가능한 시그니처로는 호스트명이 될 수 있습니다.

사용자 정의 앱을 만들려면 애플리케이션으로 이동하여 새 애플리케이션을 생성하십시오. 애플리케이션 속성을 설정하고 필요한 경우 부모 앱(Parent App)을 설정합니다. 부모 앱은 트래픽이 이미 애플리케이션으로 식별되는 경우 사용되며, 이를 통해 App-ID가 사용자 정의 앱을 올바르게 보고할 수 있습니다. App-ID에 의해 현재 식별되지 않는 독점적인 애플리케이션의 경우 부모 앱은 "없음"으로 설정할 수 있습니다.

고려해야 할 몇 가지 주의 사항이 있습니다.

고급 탭 (advanced tab)에서는 이 애플리케이션이 사용할 포트나 프로토콜을 설정할 수 있으며, 또한 이 애플리케이션에 대한 위협 스캔 여부를 지정할 수도 있습니다. 그러나 몇 가지 주의할 점이 있습니다:

사용자 정의 애플리케이션에 스캔 옵션이 선택되지 않은 경우, 사용자 정의 애플리케이션이 식별되면 위협 엔진은 트래픽 검사를 중단합니다.
사용자 정의 앱에 일반 App-ID로 식별 가능한 부모 앱이 없거나 앱 오버라이드에 사용되지 않은 경우, 위협 스캔이 불가능합니다.

시그니처 탭에서는 애플리케이션을 식별하는 데 필요한 모든 시그니처를 추가할 수 있습니다. App-ID 엔진은 단일 트랜잭션(클라이언트에서 서버 또는 서버에서 클라이언트로의 단일 패킷)이나 전체 세션(하나 이상의 패킷에 걸쳐 시그니처가 분산될 수 있는 세션)에서 잠재적인 시그니처를 탐색하도록 지시할 수 있습니다. 시그니처를 찾을 위치와 컨텍스트에 대해 다양한 옵션이 있습니다. 여러 시그니처 세트를 'AND' 또는 'OR' 조건으로 추가할 수도 있습니다.

만약 이 모든 것이 약간 혼란스러워 보인다면 걱정하지 마세요. 사용자 정의 시그니처로 어떤 것을 달성할 수 있는지에 대해 보다 자세히 설명하는 여러 도움말 문서를 제공했습니다. 현재로서는 간단하게 유지하고, HTTP 요청 호스트 헤더에서 시그니처를 찾을 것입니다.

제 시그니처는 간단히 정규식 형식의 호스트 이름입니다. 이는 점이 와일드카드가 아닌 문자임을 나타내기 위해 점 앞에 역슬래시가 있어야 합니다. 또한, 시그니처가 GET 요청에서 찾을 수 있다는 것을 나타내기 위해 한정자를 http-method GET으로 설정하겠습니다.

이 사용자 정의 애플리케이션이 적용된 후에는 방화벽이 웹 서버로의 모든 연결을 새 애플리케이션으로 식별하게 됩니다.

우리는 이제 사용자 정의 애플리케이션을 기반으로 보고서를 생성하고, 특정한 트래픽이 사이트에 접근하는지를 모니터링할 수 있게 되었습니다.

위의 단계는 애플리케이션을 쉽게 식별할 수 있는 경우에 완벽하게 작동하지만, 때로는 데이터 스트림을 자세히 살펴보고 특정 시그니처를 식별하는 것이 필요하지 않거나 심지어 불가능할 수도 있습니다.

애플리케이션 오버라이드

애플리케이션 오버라이드(Application Override)는 AppID 프로세스를 강제로 우회하고 수동으로 구성된 애플리케이션 이름과 일치하는 세션을 설정합니다. 이와 같이 처리되는 세션은 병렬 처리로 스캔되지 않으며, 패스트패스로 오프로드됩니다.

대부분의 사용 사례에서는 앱 오버라이드를 우회하거나 시그니처 감지를 우회하는 것이므로 가능한 한 속성이 적은 간단한 사용자 정의 애플리케이션을 생성하는 것을 권장합니다. 이는 세션을 사용자 정의 애플리케이션으로만 식별하고 추가 조치를 취하지 않습니다. 이는 내부 애플리케이션을 식별하고 세션이 하드웨어로 즉시 오프로드되어 처리량을 향상시킬 수 있는 매우 간단하면서도 강력한 도구가 될 수 있습니다. 그러나 보안 문제를 고려해야 합니다.

article 시작하기: 사용자 정의 애플리케이션과 앱 오버라이드 in 구성 및 구현

시작하기: 사용자 정의 애플리케이션과 앱 오버라이드