Application Control no bloquea aplicaciones

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
xtian_ar
Mensajes: 9
Registrado: 10 Nov 2015, 03:31

Application Control no bloquea aplicaciones

Mensaje por xtian_ar »

Hola!
en un ambiente de red con maxima seguridad se quiere permitir solo una cierta aplicación, en este caso Skype. Es sabido que Skype es una aplicación compleja que utiliza puertos comunes como 80 y 443 y también puertos por encima del 1024 y de manera aleatoria. La manera de resolverlo fue con una regla que solo permita HTTP y HTTPS para ciertos usuarios y para quienes requieren Skype únicamente se les permite utilizar una siguiente regla mediante grupo de usuarios que permite todos los servicios pero con un Application Control que permite únicamente la aplicación Skype (con todos las categorías en BLOCK).
La aplicación Skype funciona, pero al ejecutar un comando "telnet destino 25" la conexión se establece, por mas que el Fortigate detecta esa conexión como SMTP, pero no la detecta como aplicación. Quisimos utilizar la opción de colocar en BLOCK la categoría "All other Unknown Applications" pero parece no funcionar porque la comunicación sigue siendo exitosa. Una solución paliativa es en vez de colocar todos los servicios, se especifico los servicios con puertos por encima del 1024, pero realizamos la prueba con otros servicios como por ejemplo RDP. Si el intento de conexión de RDP lo hacemos con el cliente de escritorio remoto de Windows la aplicación es detectada como RDP y es correctamente bloqueada. Ahora si realizamos un "telnet destino 3389" el intento de conexión es detectado como servicio RDP pero NO es bloqueado. Alquien sabe como bloquear todas las aplicaciones menos la deseada y que realmente funcione? gracias
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Application Control no bloquea aplicaciones

Mensaje por gabyrossi »

hola, generalmente no se hace ese tipo de cosas, porque applicaciones puede ser para fortinet el browser de navegador que usen.
lo que quiero decir es, bloquear todos es demasiado, tendras mas problemas o excepciones que lo que becesites realmente.

La idea es una filtros web y app control, utilizando ssl inspection para bloquear y revisar lo que va por https.

saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
xtian_ar
Mensajes: 9
Registrado: 10 Nov 2015, 03:31

Re: Application Control no bloquea aplicaciones

Mensaje por xtian_ar »

No se si se hace o no se hace, es lo que quiere hacer el cliente. Y la verdad que no veo por que no se puede. Podria ser que existan usuarios internos a los cuales no se le permite navegar a ningún lado, que hagan su trabajo interno sin tener acceso a internet, PERO lo único que se le brinda es Skype. O como es este caso, un usuario muy limitado, con navegación web de internet con Web Filters que lo limita al máximo por temas de seguridad y que a su vez necesita Skype. Si no se puede con Fortigate, estamos en problemas...
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Application Control no bloquea aplicaciones

Mensaje por gabyrossi »

Es que justamente no son aplicaciones facil de abrir ni de cerrar, ya que usan protocolos deguros (https) o puertos muy aleatorios. sin contar los destinos de redes publicas variadas.

Tendrias que hacerte una politica para tu pc, e ir busando los destinos (IP, redes) que tienen skype para habilitarlos en una lista de url, y luego denegar lo demas. Lo mismo con la app. control.-

saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
Responder