Alguém já tentou bloquear aplicativos como Ultrasurf usando app-ID com sucesso? Ultrasurf tem sido um problema na minha empresa. App-ID não o bloqueia completamente. Os usuários ainda podem se conectar ao túnel mesmo com uma política de negação em vigor.
Qual regra “permitir” ela está combinando?
Você está usando descriptografia SSL? Sem passar todas as portas permitidas pela descriptografia SSL, muitos túneis, não apenas Ultrasurf, evitarão o app-id.
Tive um problema com um desses aplicativos VPN alguns meses atrás. Tive que ativar a descriptografia na categoria de URL do CDN para eliminá-lo completamente. Isso, é claro, pode quebrar muitas outras coisas, especialmente para usuários móveis.
Da última vez que percebi um problema com funcionários usando aplicativos proxy para contornar o filtro da web e acessar sites de pornografia e jogos de azar em recursos corporativos, foi uma batalha de gato e rato para bloquear todos os aplicativos de túnel.
Consegui bloquear melhor o firewall (foi bom ter uma justificativa para implementar políticas que a equipe de Segurança da Informação vinha tentando aplicar há anos), mas ainda havia alguns escapando.
A gerência finalmente cansou de aplicar uma solução técnica para um problema social – após três “dispensões por justa causa”, os problemas pararam.
Você também está bloqueando os resultados de filtro de URL para evitar proxies e anônimos?
Normalmente, com essa combinação, você estará a mais de 90% do caminho.
Palo Alto é um dos firewalls que faz isso muito bem. Administramos um distrito com 12000 estudantes que levam laptops para casa, então é crucial bloquear proxies e VPNs que possam ser executados.
1.) Você está usando descriptografia SSL?
2.) Você está usando uma lista de bloqueio além de suas políticas de permissão? Se estiver, aposto que o proxy está usando um APP-ID/Porta diferente para sair. Recomendo criar um grupo de aplicativos na lista de permissões e bloquear tudo por padrão, o que é a melhor prática de todos os fornecedores de firewalls de camada 7.
3.) Você está usando padrão de aplicativo para suas portas?
4.) Existem dois proxies capazes de sair após seguir todos os passos acima. Psiphon e Torbrowser. Esses dois são provavelmente os proxies/VPNs mais fortes que você encontrará, e a única maneira de bloquear essas é bloqueando todos os conjuntos de cifras não suportados.
5.) Após o acima, não deve haver mais proxies/VPNs saindo. Garantido 100%.
A descriptografia SSL está ativada. Estou recebendo muitas negações na minha regra Ultrasurf. Mas também vejo muitas permissões na próxima regra mais próxima, permitindo tráfego não-DNS, HTTP, SSL. Está identificando como insuficiente-dados e sendo permitido. Vejo muitas negações para UDP desconhecido também. Parece que, para parar isso completamente, tive que permitir o serviço qualquer na regra de negação do Ultrasurf, não no padrão de aplicativo. Assim, não vejo muitas sessões de insuficiente-dados passando.
Ótimo passo a passo. Para o item #3, você está se referindo apenas às regras de aplicativos na lista de permissões, certo? Regras de negação teriam qualquer porta
Com sua metodologia, proxies/VPNs seriam bloqueados se meu conjunto de regras fosse assim:
- Permitir DNS/http/SSL - padrão de aplicativo
- Permitir outros aplicativos como O365, Salesforce, etc. - padrão de aplicativo
- Negação implícita entre zonas
Se você estiver vendo insuficiência de dados, isso significa que qualquer regra de permissão é usada para verificar qual é o aplicativo e depois ela é bloqueada.
O firewall precisa de alguns dados para combinar com assinaturas e identificá-lo como um aplicativo conhecido.
Correto, os aplicativos na lista de permissões teriam padrão de aplicativo, e os aplicativos na lista negra teriam qualquer porta.
Não se esqueça de criar uma segunda política para navegação na web, pois ao definir como padrão de aplicativo, ela permite apenas TCP/80. Assim, todo o tráfego de navegação na web nas portas 443 será bloqueado. Você precisará criar uma política de navegação na web - portas 80/443, não sei por que fizeram assim.
Sim, isso não só bloqueará seus proxies/VPNs, mas também seus aplicativos desconhecidos. Essa é a melhor maneira de moldar seu tráfego para aplicativos/sites que você conhece e aprova. Para implementar isso sem problemas ou reclamações, monitore o tráfego por pelo menos 2-3 semanas, depois gere um relatório para ver todos os APP-Id usados e crie um grupo de APPID na lista de permissões baseado nisso. Tudo o mais será atingido pela regra de negação implícita.
Não se esqueça de bloquear “todos os conjuntos de cifras não suportados”; isso é fundamental para garantir que todos os VPNs/proxies sejam bloqueados.
Então, fiz tudo acima e ainda tenho 2 aplicativos VPN conectados. O tráfego está sendo permitido pela minha política de navegação na web na porta 80 e pela política SSL na porta 443, aplicação incompleta. Alguma sugestão?
Você pode me enviar os logs que mostram esse aplicativo junto com a opção “decriptografado” ativada.