Компания Cisco представила новую открытую платформу для разработки межсетевых экранов уровня приложений - OpenAppID, позволяющую определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Открытие OpenAppID подтверждает обещание Cisco о намерении усилить участие в открытых проектах и сохранить налаженные каналы взаимодействия с сообществом после поглощения компании Sourcefire и получения контроля над свободными продуктами ClamAV и Snort.

Основу OpenAppID составляет основанный на Lua язык и набор функций, предназначенные для описания признаков использования протоколов или приложений (в большинстве случаев определяется специфичный для приложения шаблон и описание в каком трафике его нужно искать). Язык даёт возможность создавать детекторы, которые на основании имеющихся правил сопоставляют трафик с идентификаторами приложений. Для создания и публикации детекторов проектом предоставляется набор инструментов. Для анализа трафика применяется специальный препроцессор. Компания Cisco приветствует участие сообщества в развитии технологии OpenAppID, расширении базы детекторов и интеграции в сторонние открытые проекты функций фильтрации трафика уровня приложений.

Связанный с OpenAppID код открыт под лицензией GPLv2+ и уже включен в альфа-выпуск системы обнаружения атак Snort 2.9.7.0. На сайте Snort размещена библиотека, содержащая более полутора тысяч детекторов OpenAppID. Добавленный в Snort препроцессор OpenAppID позволяет выявлять активность приложения в сети, накапливать статистику об использовании приложений и связанного с ними трафика, блокировать обращение к приложениям на основе правил доступа, создавать расширения для учёта параметров приложений в правилах Snort, сообщать название программы наряду с IPS-событиями в логах и отчётах Snort.

В качестве практического применения OpenAppID отмечается реализация и внедрение межсетевых экранов, позволяющих контролировать обращения к приложениям по сети и оперативно блокировать угрозы, связанные с задержкой выпуска для приложений обновлений с устранением уже эксплуатируемых уязвимостей. OpenAppID также может использоваться для построения отчётов об используемых в сети предприятия приложениях, для блокирования нежелательных приложений, для выявления нецелевого использования программ, для раннего выявления попыток взлома приложений, для определения скрытого обращения к web-сервисам и т.п. Кроме выявления отдельных приложений присутствуют детекторы обращений к группам сервисов, например, детекторы для сайтов разработчиков, web-служб Apple, файлообменников, облачных хранилищ, платформ для блоггеров, интернет-магазинов, платёжных систем и т.д.

Источник: http://www.opennet.ru/opennews/art.shtml?num=39194