pfSense® 软件上的应用程序检测

2017年12月6日
吉姆·汤普森

感谢 Snort 软件包和 OpenAppID，pfSense 现在可以识别应用程序。
这个第 7 层功能通过 pfSense 软件的升级版 Snort 软件包得到。由比尔·米克斯（Bill Meeks）维护的 Snort 软件包已经有很多年了，是我们最受欢迎的软件包之一。由于他不断的努力以及 Demair Ramos 的协助，OpenAppID 现在成为了 Snort 软件包的一部分。

OpenAppID 是什么？
Snort 作者和 Sourcefire 创始人 Martin Roesch 于 2014 年推出了 OpenAppID，它是一个面向应用的检测语言和 Snort 处理模块。引用 Martin Roesch 的原始博客文章：

OpenAppID 将控制权掌握在用户的手中，使他们能够控制网络环境中的应用程序使用情况，并消除等待供应商发布更新的风险。实际上，我们正在使人们有可能建立自己的开源下一代防火墙。

请记住，OpenAppID 只提供了应用程序标识而不是威胁检测。我们强烈建议阅读马丁的这篇 博客文章。

OpenAppID 由一组用于检测应用程序的 LUA 库以及应用程序检测器组成。为了在 Snort 软件包中为 pfSense 启用 OpenAppID，Bill Meeks 集成了所有必需的 AppID 存根和 LUA 脚本，以使 OpenAppID 正常工作。但是，为了使用这些签名，需要创建类似于任意其他自定义 Snort 规则的文本规则，区别在于规则中的“appid”关键字。appid 关键字可以嵌入到任何规则中，以仅匹配已经被识别为特定应用的流量。

这些规则引用了规则中由 VRT（漏洞研究团队）提供的各种应用程序 ID。为了实际使用 OpenAppID，您需要从 VRT 获取 App ID 存根，然后创建引用 App ID 的文本规则。但是，用于分析流量的实际应用程序检测规则不是由 Cisco 或 Snort 提供的。

这是我们的社区再一次闪耀的地方。pfSense 用户和社区成员 Demair Ramos 创建了大量使用 VRT 提供的 AppID 的文本规则。Demair 甚至托管了他在巴西大学的服务器上创建的规则，但是这台服务器的带宽有限，并实施了地理封锁。与 Bill 合作，Demair 和我们的开发人员 Renato Botelho do Couto 创建了这个规则库的一个新的“镜像”，Bill 更改了 Snort 软件包以供 pfSense 使用，pfSense-package-snort v3.2.9.5_4 以后会有更新变化。

使用 Snort 和 Application ID
在 pfSense 中，如果配置了 OpenAppID，就可以成功进行检测应用程序，可以阻止 2600 多种不同的服务，如 Facebook、Netflix、Twitter 和 Reddit。该软件包可以从 pfSense 软件包管理器安装，并通过现有的 Snort GUI 进行配置。熟悉 Snort 的人应该会很容易掌握 OpenAppID 的操作。

我们最近更新了针对 pfSense 的 Snort 配置指南，并添加了一个 Application ID 部分的介绍，可以在 这里 找到它。

我们的 OpenAppID 计划不仅限于 pfSense，我们打算在思科 VPP 和 DPDK 等更高级平台上启用它。

感谢 Bill Meeks 和 Demair Ramos 对 pfSense 应用的贡献，感谢思科的 Martin Roesch，感谢他为 pfSense 软件提供真正下一代防火墙功能所做的工作。

原文地址