Gardez à l’esprit les directives et les limites suivantes concernant le contrôle des applications :
Vérification de l’activation du profilage adaptatif
Si le profilage adaptatif n’est pas activé (son état par défaut), les règles de contrôle d’accès ne peuvent pas effectuer
de contrôle d’application.
Détecteurs d’application à activation automatique
Si aucun détecteur n’est activé pour une application que vous souhaitez détecter, le système active automatiquement tous les
détecteurs fournis par le système pour l’application. S'il n'y en a pas, le système activera le détecteur défini par l'utilisateur
le plus récemment modifié pour l'application.
Configurez votre politique pour examiner les paquets qui doivent passer avant qu’une application ne soit identifiée
Le système ne peut pas effectuer le contrôle des applications, y compris le contournement intelligent des applications (IAB) et la limitation du débit, avant que les deux cas de figure suivants ne se produisent :
Cette identification devrait se produire dans 3 à 5 paquets, ou après l’échange du certificat du serveur dans l’établissement
de liaison SSL si le trafic est chiffré.
Important! Pour vous assurer que votre système examine ces paquets initiaux, consultez Préciser une politique pour gérer les paquets qui passent avant l’identification du trafic.
Si le trafic précoce correspond à tous les autres critères mais que l’identification de l’application est incomplète, le système
permet au paquet de passer et la connexion est établie (ou l’établissement de liaison SSL se termine). Une fois que le système
a terminé son identification, le système applique l’action appropriée au trafic de session restant.
Remarque
|
Un serveur doit respecter les exigences du protocole d’une application pour que le système puisse la reconnaître. Par exemple,
si vous avez un serveur qui envoie un paquet keep-alive plutôt qu’un accusé de réception alors qu’un accusé de réception est
attendu, cette application pourrait ne pas être identifiée et la connexion ne correspondra pas à la règle basée sur l’application.
Au lieu de cela, elle sera gérée par une autre règle de correspondance ou par l’action par défaut. Cela peut signifier que
les connexions que vous souhaitez autoriser peuvent être refusées à la place. Si vous rencontrez ce problème et que vous ne
pouvez pas réparer le serveur pour qu’il suive les normes de protocole, vous devez écrire une règle non basée sur l’application
pour couvrir le trafic pour ce serveur, par exemple en faisant correspondre l’adresse IP et le numéro de port.
|
Créer des règles distinctes pour le filtrage d’URL et d’application
Créez chaque fois que possible des règles distinctes pour le filtrage d’URL et d’application, car la combinaison des critères
d’application et d’URL peut entraîner des résultats inattendus, en particulier pour le trafic chiffré.
Les règles qui incluent les critères d’application et d’URL doivent être placées après les règles d’application uniquement
ou d’URL uniquement, sauf si la règle application + URL fait exception à une règle plus générale d’application uniquement
ou d’URL uniquement.
Règles d’URL avant les règles application et autres
Pour optimiser la mise en correspondance d’URL, placez des règles qui incluent les conditions d’URL avant les autres règles,
en particulier si les règles d’URL sont des règles de blocage et que les autres règles répondent aux deux critères suivants :
Application Control pour le trafic chiffré et déchiffré
Le système peut identifier et filtrer le trafic chiffré et déchiffré :
-
Trafic chiffré : Le système peut détecter le trafic d’applications chiffré avec StartTLS, y compris SMTPS, POPS, FTPS, TelnetS
et IMAPS. En outre, il peut identifier certaines applications chiffrées en fonction de l’indication du nom du serveur dans
le message TLS ClientHello ou de la valeur du nom distinctif du sujet provenant du certificat du serveur. Ces applications
sont balisées « protocole SSL »; dans une règle SSL, vous pouvez choisir uniquement ces applications. Les applications sans cette balise ne peuvent être
détectées que dans le trafic non chiffré ou déchiffré.
-
Trafic déchiffré : le système attribue la balise de trafic déchiffré aux applications qu’il peut détecter dans le trafic déchiffré uniquement, non chiffré ou non chiffré.
Découverte de l’identité du serveur TLS et contrôle des applications
La dernière version du protocole TLS (Transport Layer Security) 1.3, définie par la RFC 8446, est le protocole privilégié de nombreux serveurs Web pour fournir des communications sécurisées. Étant donné que le protocole
TLS 1.3 chiffre le certificat du serveur pour plus de sécurité, et que le certificat est nécessaire pour correspondre aux
critères de filtrage d’application et d’URL dans les règles de contrôle d’accès, le système Firepower permet d’extraire le
certificat du serveur sans déchiffrer le paquet en entier.
Nous vous recommandons fortement de l’activer pour tout trafic que vous souhaitez mettre en correspondance avec des critères
d’application ou d’URL, en particulier si vous souhaitez effectuer une inspection approfondie de ce trafic. Un politique de déchiffrement n'est pas requis, car le trafic n'est pas déchiffré lors du processus d'extraction du certificat de serveur.
Pour en savoir plus, consultez Paramètres avancés de politique de contrôle d’accès.
Exempting Applications from Active Authorization
Dans une politique d’identité, vous pouvez exempter certaines applications de l’authentification active, permettant au trafic
de continuer à accéder au contrôle. Ces applications sont marquées Exclusion d’agent d’utilisateur. Dans une règle d’identité, vous ne pouvez choisir que ces applications.
Gestion des paquets de trafic d’application sans charges utiles
Lors du contrôle d’accès, le système applique la politique par défaut aux paquets qui n’ont pas de charge utile dans une connexion
où une application est identifiée.
Gestion du trafic des applications référencées
Pour gérer le trafic référencé par un serveur Web, tel que le trafic publicitaire, faites correspondre l’application référencée
plutôt que l’application de référence.
Contrôle du trafic des applications qui utilise plusieurs protocoles (Skype, Zoho)
Certaines applications utilisent plusieurs protocoles. Pour contrôler leur trafic, assurez-vous que votre politique de contrôle
d’accès couvre toutes les options pertinentes. Par exemple :
-
Skype : Pour contrôler le trafic Skype, choisissez la balise Skype dans la liste des filtres d’application plutôt que de sélectionner des applications individuelles. Cela garantit que le système peut détecter et contrôler tout le
trafic de Skype de la même manière.
-
Zoho : pour contrôler Zoho mail, sélectionnez Zoho et Zohomail dans la liste des applications disponibles.
Moteurs de recherche pris en charge pour les fonctionnalités de restriction de contenu
Le système prend en charge le filtrage de recherche sécurisée uniquement pour des moteurs de recherche précis. Le système
attribue la balise prise en charge par Safesearch au trafic d’application provenant de ces moteurs de recherche.
)
)
)
)
Commentaires