Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 6 subscribers
  • Views 754 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG Application Classification

Florian Benger

Guten Morgen,

wir haben zwei XG550 (18.5.3) im Cluster laufen und wollte mal die Meinung von anderen zum Thema Application Classification hören.

Bei uns werden viele Well Known Applikations falsch oder gar nicht erkannt.

Gute Beispiele sind:

- Kerberos Port 88

Im Log steht gar keine App die erkannt wird und im Report steht immer nur TCP:88

- SMB

Dieser Traffic wird komplett als NetBIOS erkannt obwohl wir in unserem Netzwerk NetBIOS komplett deaktiviert haben und auch keine FW Rules mehr mit NetBIOS haben.

- LDAP 389

Im Log steht gar keine App die erkannt wird und im Report steht immer nur TCP:389

- LDAP und Kerberos werden teilweise als Torrent Clients P2P erkannt. Auf einer Regel die nur die beiden Port zwischen Clients und Domain Controllern zulässt.

Ist das bei euch auch so oder haben wir eventuell einen Bug. Es läuft hier schon seit Wochen ein Support Case aber mehr als Logs sammeln passiert hier nicht wirklich.

Danke für eure Rückmeldungen.

Grüße

Florian Benger



This thread was automatically locked due to age.
  • 0

    Probably want to ask about this on the XG forums.  Slight smile

    XG 19.5 GA 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | GB Ethernet x5

  • 0

    Das Problem an App Classification ist oft, dass Angreifer oder andere Apps gerne diese Ports nutzen, da diese offen sind. Daher nutzt die Appliance IPS um die App herauszufinden. Manchmal funktioniert das nicht richtig. Ich persönlich nutze in der Regel den Endpoint von Sophos, dieser bietet Sync-App Control, dadurch siehst du die Application immer. 

    Das hast du wahrscheinlich nicht aktiv? Dadurch muss die App Control anhand von Traffic versuchen, die Application zu erkennen. 

    Du kannst mal einen tcpdump auf der Appliance in eine Datei Schreiben lassen und dem Support zukommen lassen. Wenn man dort die Application sieht, kann das von Sophos Labs analysiert werden. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Wir haben auf ein paar Cleints Endpoint installiert. Dort werden Applikations auch besser erkannt. Allerdings auf Clients ohne Endpoint wie oben beschrieben falsch oder gar nicht.

    Würde das im Umkehrschluss heißen, dass wir auf allen Clients Endpoint installieren müssten damit der Traffic richtig erkannt wird?

Cookie Information Banner