pfSense®软件上的应用程序检测

2017年12月6日

吉姆汤普森

感谢Snort软件包和OpenAppID，pfSense现在可以识别应用程序。

这个第7层功能通过pfSense软件的升级版Snort软件包得到。 由比尔·米克斯（Bill Meeks）维护的Snort软件包已经有很多年了，是我们最受欢迎的软件包之一。 由于他不断的努力以及Demair Ramos的协助，OpenAppID现在成为了Snort软件包的一部分。

OpenAppID是什么?

Snort作者和Sourcefire创始人Martin Roesch于2014年推出了OpenAppID，它是一个面向应用的检测语言和Snort处理模块。 引用Martin Roesch的原始博客文章:

“OpenAppID将控制权掌握在用户的手中，使他们能够控制网络环境中的应用程序使用情况，并消除等待供应商发布更新的风险。 实际上，我们正在使人们有可能建立自己的开源下一代防火墙。”

请记住，OpenAppID只提供了应用程序标识而不是威胁检测。 我们强烈建议阅读马丁的这篇博客文章。

OpenAppID由一组用于检测应用程序的LUA库以及应用程序检测器组成。 为了在Snort软件包中为pfSense启用OpenAppID，Bill Meeks集成了所有必需的AppID存根和LUA脚本，以使OpenAppID正常工作。 但是，为了使用这些签名，需要创建类似于任意其他自定义Snort规则的文本规则，区别在于规则中的“appid”关键字。 appid关键字可以嵌入到任何规则中，以仅匹配已经被识别为特定应用的流量。

这些规则引用了规则中由VRT（漏洞研究团队）提供的各种应用程序ID。 为了实际使用OpenAppID，您需要从VRT获取App ID存根，然后创建引用App ID的文本规则。 但是，用于分析流量的实际应用程序检测规则不是由Cisco或Snort提供的。

这是我们的社区再一次闪耀的地方。pfSense用户和社区成员Demair Ramos创建了大量使用VRT提供的AppID的文本规则。 Demair甚至托管了他在巴西大学的服务器上创建的规则，但是这台服务器的带宽有限，并实施了地理封锁。 与Bill合作，Demair和我们的开发人员Renato Botelho do Couto创建了这个规则库的一个新的“镜像”，Bill更改了Snort软件包以供pfSense使用，pfSense-package-snort v3.2.9.5_4以后会有更新变化。

使用Snort 和Application ID

在pfSense中，如果配置了OpenAppID，就可以成功进行检测应用程序，可以阻止2600多种不同的服务，如Facebook，Netflix，Twitter和Reddit。 该软件包可以从pfSense软件包管理器安装，并通过现有的Snort GUI进行配置。 熟悉snort的人应该会很容易掌握OpenAppID的操作。

我们最近更新了针对pfSense的Snort配置指南，并添加了一个Application ID部分的介绍，可以在这里找到它。

我们的OpenAppID计划不仅限于pfSense，我们打算在思科VPP和DPDK等更高级平台上启用它。

感谢Bill Meeks和Demair Ramos对pfSense应用的贡献，感谢思科的Martin Roesch，感谢他为pfSense软件提供真正下一代防火墙功能所做的工作。

原文地址