アプリケーションの依存関係アプリを明示的に許可する必要性の確認方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Check if an Application Needs Explicitly Allowed Dependency Apps
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Check-if-an-Application-Needs-Explic...

 

 

PAN-OS 5.0, 6.0, 6.1

 

概要

PAN-OS 5.0 以前は、依存関係を持つアプリケーションを許可するために、セキュリティポリシー上ですべての依存関係をもつアプリケーションを同様に許可する必要がありました。

 

PAN-OS 5.0 より、いくつかのプロトコルのアプリケーションは明示的に依存関係を可能にするために必要とせずに許可することができます。Palo Alto Networks ファイアウォールは、ライブセッションで事前定義された特徴を持つのアプリケーションを識別することができれば、いくつかのアプリケーションに対してこれを実施できます。Palo Alto Networks デバイスが事前に定義された特徴によってアプリケーションを決定することができないようデベロッパーによって作成されている場合、そのアプリケーションはセキュリティルールの一つによって遮断することができます。これらのアプリケーションには依存関係を持つアプリケーションの明示的な許可が必要とされます。

 

ここではこのプロセスを説明するために、以下の用語を適用します:

  • イネーブラーアプリ (Enabler app) :セッションが最初に一致するApp-ID (例. web-browsing)
  • 従属アプリ (Dependent app) :セッションがあとで一致するApp-ID (例. facebook-base)

 

注: アプリケーションを許可する場合は、常に依存関係を確認してください。また、正しいポリシーを作成することができるよう、依存アプリケーションで暗黙的に使用されるアプリケーションもチェックしてください。

 

詳細

正しくライブセッションで事前に決定ポイントで特定することができる上記のアプリケーションでは、ファイアウォールは、暗黙的にイネーブラアプリを許可します。このためにファイアウォールはアプリケーションのコンテンツアップデートのメタデータの一部である “uses-apps” と “implicit-uses-apps” を使用します。
“implicit-uses-apps”のアプリリストを持っているアプリケーションの場合、それらのアプリケーションは暗黙的に許可されるため、別途許可するためのセキュリティルールは必要ありません。

 

アプリケーション定義の一部として “uses-apps” のアプリリストを持ち、“implicit-uses-apps” アプリのリストを持っていないアプリケーションの場合、依存するアプリケーションを許可するために、明示的にそれら(イネーブラーアプリケーション)を許可する必要があります。これは、別のセキュリティルールとして追加することも、同じルールに設定して依存するアプリケーションを許可することもできます。

 
アプリケーション定義で、明示的にイネーブラアプリケーションを許可する必要があるかどうかをチェックすることができます。コンフィギュレーションモードから次のコマンドを実行します。

# show predefined application <name-of-app>

 

手順

この例として、ここでは "facebook-base" と "office-on-demand" を使用します。

 

Facebook-base

アプリケーション定義:

# show predefined application facebook-base

facebook-base {

  ottawa-name facebook;

  category collaboration;

  subcategory social-networking;

  technology browser-based;

  description "......THIS PART IS OMITTED..... ";

  alg no;

  appident yes;

  vulnerability-ident yes;

  evasive-behavior no;

consume-big-bandwidth no;

  used-by-malware yes;

able-to-transfer-file yes;

has-known-vulnerability yes;

tunnel-other-application yes;

  prone-to-misuse no;

  pervasive-use yes;

  per-direction-regex no;

  deny-action drop-reset;

  run-decoder no;

  cachable no;

  references {

    Wikipedia {

      link http://en.wikipedia.org/wiki/Facebook;

    }

  }

  default {

    port tcp/80,443;

  }

  use-applications [ ssl web-browsing];

  tunnel-applications [ facebook-apps facebook-chat facebook-file-sharing facebook-mail facebook-posting facebook-social-plugin instagram]

;

implicit-use-applications [ ssl web-browsing];

  applicable-decoders http;

  risk 4;

application-container facebook;

}

[edit]

 

facebook-base を許可するには、facebook-base アプリケーションを持つセキュリティポリシーのみが必要です。アプリケーション定義内の以下の部分に基づいて暗黙的に許可されているため、SSLやWebブラウジングを可能にする必要はありません:

"use-applications [ ssl web-browsing];

implicit-use-applications [ ssl web-browsing];"

 

"facebook-base" のために、"facebook-base" だけを許可する "allow-facebook" のセキュリティルールがあります。web-browsing や ssl を許可する明示的なルールはありません。逆にテストの目的で、web-browsing や ssl を拒否ルールが使用されます:

Screen Shot 2014-04-16 at 12.23.08 AM.png

 

ログで facebook が許可されているのが表示されます:

Screen Shot 2014-04-16 at 12.32.35 AM.png

 

Office-on-demand

アプリケーション定義:

# show predefined application office-on-demand

office-on-demand {

  category business-systems;

  subcategory office-programs;

  technology browser-based;

  description "......THIS PART IS OMITTED..... ";

  alg no;

  appident yes;

  virus-ident yes;

  spyware-ident yes;

  file-type-ident yes;

  vulnerability-ident yes;

  evasive-behavior no;

consume-big-bandwidth yes;

  used-by-malware no;

able-to-transfer-file yes;

has-known-vulnerability yes;

  tunnel-other-application no;

  prone-to-misuse no;

  pervasive-use yes;

  per-direction-regex no;

  deny-action drop-reset;

  run-decoder no;

  cachable no;

  file-forward yes;

  references {

    "Office on Demand" {

      link http://office.microsoft.com/en-us/support/use-office-on-any-pc-with-office-on-demand-HA102840202.asp...

    }

  }

  default {

    port tcp/80;

  }

  use-applications [ ms-office365-base sharepoint-online ssl web-browsing];

  applicable-decoders http;

  risk 3;

application-container ms-office365;

}

[edit] 

 

office-on-demand 場合、use-applications [ ms-office365-base sharepoint-online ssl web-browsing]が見られ、 implicit-use-applications のリストがありません。 これは、office-on-demand のすべての機能が正しく動作するように、リスト内のすべてのアプリケーションを明示的に許可する必要があることを意味します。

Screen Shot 2014-04-16 at 12.53.15 AM.png

web-browsing や office-on-demand として許可されたトラフィックを見ることができます。アプリケーションはweb-browsing としてスタートし、Palo Alto Networks DFAにより正しく確認され、これにより "office-on-demand" に変更されます。

Screen Shot 2014-04-10 at 11.19.23 PM.png

 

もし web がセキュリティポリシーで拒否されている場合、office-on-demand のアプリケーションを許可するルールにヒットしないため、接続が確立されていないように見えます。

Screen Shot 2014-04-16 at 12.54.43 AM.png

Screen Shot 2014-04-12 at 2.43.38 PM.png

 

owner: ialeksov

コメント

誤:“uses-apps” のアプリリストを持っているアプリケーションの場合、それらのアプリケーションは暗黙的に許可されるため、別途許可するためのセキュリティルールは必要ありません。

 

正:“implicit-uses-apps” のアプリリストを持っているアプリケーションの場合、それらのアプリケーションは暗黙的に許可されるため、別途許可するためのセキュリティルールは必要ありません。

 

ではないでしょうか。また、uses-appsとimplicit-uses-appsの違いについて、このドキュメントでは触れていません。いずれもイネーブラーアプリケーションであるにも関わらず、一方は明示的に許可しなければならない理由を記載いただきたいです。

ご指摘ありがとうございます。上記部分の誤訳でしたので修正いたしました。

 

“implicit-uses-apps”は明示的に許可する必要が無いものになり、アプリケーションにより依存関係は異なります。アプリケーションの依存関係については、以下もご参照いただけますでしょうか。

TIPS & TRICKS: WHAT IS APPLICATION DEPENDENCY?

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClV0CAK