Classification des applications

Les appliances Citrix SD-WAN effectuent une inspection approfondie des paquets (PPP) pour identifier et classer les applications à l’aide des techniques suivantes :

  • Classification de la bibliothèque DPI
  • Classification de l’architecture informatique indépendante (ICA) propriétaire de Citrix
  • API fournisseur d’applications (par exemple API REST Microsoft pour Office 365)
  • Classification d’application basée sur un nom de domaine

Classification de la bibliothèque DPI

La bibliothèque Deep Packet Inspection (DPI) reconnaît des milliers d’applications commerciales. Il permet la découverte et la classification en temps réel des applications. À l’aide de la technologie PPP, l’appliance SD-WAN analyse les paquets entrants et classe le trafic comme appartenant à une application ou à une famille d’applications particulière.

Classification ICA

Les appliances Citrix SD-WAN peuvent également identifier et classer le trafic Citrix HDX pour les applications virtuelles et les postes de travail. Citrix SD-WAN reconnaît les variations suivantes du protocole ICA :

  • ICA
  • ICA-CGP
  • ICA à flux unique (SSI)
  • ICA multi-flux (MSI)
  • ICA sur TCP
  • ICA sur UDP/EDT
  • ICA sur des ports non standard (y compris l’ICA multi-ports)
  • Transport adaptatif HDX
  • ICA sur WebSocket (utilisé par HTML5 Receiver)

Remarque

La classification du trafic ICA livré via SSL/TLS ou DTLS n’est pas prise en charge dans SD-WAN Standard Edition mais est prise en charge dans SD-WAN Premium Edition et SD-WAN WANOP Edition.

La classification du trafic réseau est effectuée lors des connexions initiales ou de l’établissement du flux. Par conséquent, les connexions préexistantes ne sont pas classées comme ICA. La classification des connexions est également perdue lorsque la table de connexions est effacée manuellement.

Le trafic Framehawk et Audio-over-UDP/RTP ne sont pas classés comme des applications HDX. Ils sont signalés comme « UDP » ou « Protocole inconnu ».

Depuis la version 10 de la version 1, l’appliance SD-WAN peut différencier chaque flux de données ICA dans l’ICA multi-flux, même dans une configuration à port unique. Chaque flux ICA est classé comme une application distincte avec sa propre classe QoS par défaut pour la priorisation.

  • Pour que la fonctionnalité ICA Multi-Stream fonctionne correctement, vous devez disposer de SD-WAN Standard Edition 10.1 ou supérieur, ou SD-WAN Premium Edition.

  • Pour que les rapports utilisateur HDX soient affichés sur SD-WAN Center, vous devez disposer de SD-WAN Standard Edition ou Premium Edition 11.0 ou supérieur.

Configuration logicielle minimale requise pour le canal virtuel d’information HDX :

  • Une version actuelle de Citrix Virtual Apps and Desktops (anciennement XenApp et XenDesktop), puisque la fonctionnalité requise a été introduite dans XenApp et XenDesktop 7.17 et n’est pas incluse dans la version de service à long terme 7.15.

  • Version de l’application Citrix Workspace (ou de son prédécesseur, Citrix Receiver) qui prend en charge l’ICA multi-flux et le canal virtuel d’informations HDX Insights, CTXNSAP. Recherchez HDX Insight avec NSAP VC et Multiport/Multistream ICA dans le Tableau des fonctionnalités de l’application Citrix Workspace. Consultez les versions actuellement prises en charge à l’adresse Insights HDX.

Une fois classifiée, l’application ICA peut être utilisée dans les règles d’application et pour afficher des statistiques d’application similaires à d’autres applications classifiées.

Il existe cinq règles d’application par défaut pour les applications ICA une pour chacune des balises de priorité suivantes :

  • Architecture informatique indépendante (Citrix) (ICA)
  • ICA en temps réel (ica_priority_0)
  • ICA Interactive (ica_priority_1)
  • ICA Transfert en vrac (ica_prority_2)
  • Historique de l’ICA (ica_priority_3)

Pour de plus amples informations, consultez Règles par nom d’application

Si vous exécutez une combinaison de logiciels qui ne prend pas en charge l’ICA Multi-Stream sur un seul port, vous devez configurer plusieurs ports, un pour chaque flux ICA. Pour classer HDX sur des ports non standard comme configurés dans la stratégie de serveur XA/XD, vous devez ajouter ces ports dans les configurations de ports ICA. En outre, pour faire correspondre le trafic sur ces ports aux règles IP valides, vous devez mettre à jour les règles IP ICA.

Dans ICA IP et liste de ports, vous pouvez spécifier les ports non standard utilisés dans la stratégie XA/XD à traiter pour la classification HDX. L’adresse IP est utilisée pour restreindre davantage les ports à une destination spécifique. Utilisez ‘*’ pour le port destiné à n’importe quelle adresse IP. L’adresse IP avec une combinaison de port SSL est également utilisée pour indiquer que le trafic est probablement ICA même si le trafic n’est pas finalement classé comme ICA. Cette indication est utilisée pour envoyer des enregistrements L4 AppFlow pour prendre en charge des rapports multi-hop dans Citrix Application Delivery Management.

Classification d’application basée sur un nom de domaine

Le moteur de classification DPI est amélioré pour classer les applications en fonction du nom de domaine et des modèles. Après que le redirecteur DNS intercepte et analyse les demandes DNS, le moteur DPI utilise le classificateur IP pour effectuer la première classification de paquets. La bibliothèque DPI et la classification ICA sont effectuées et l’ID d’application basé sur le nom de domaine est ajouté.

La fonctionnalité d’application basée sur le nom de domaine vous permet de regrouper plusieurs noms de domaine et de les traiter comme une seule application. Faciliter l’application du pare-feu, de la direction des applications, de la qualité de service et d’autres règles. Un maximum de 64 applications basées sur des noms de domaine peuvent être configurées.

Pour définir des applications basées sur un nom de domaine, dans l’Éditeur de configuration, accédez à Global > Applications > Applicationsbasées sur un nom de domaine . Entrez un nom d’application et ajoutez les noms de domaine ou les modèles requis. Vous pouvez entrer le nom de domaine complet ou utiliser des caractères génériques au début. Les formats de noms de domaine suivants sont autorisés :

  • exemple.com
  • *.exemple.com

Applications basées sur un nom de domaine

Les applications classées basées sur des noms de domaine sont utilisées pour configurer les éléments suivants :

Limitations

  • S’il n’y a pas de demande/réponse DNS correspondant à une application basée sur un nom de domaine, le moteur DPI ne classe pas l’application basée sur un nom de domaine et n’applique donc pas les règles d’application correspondant à l’application basée sur un nom de domaine.
  • Si un objet Application est créé dans la plage 80 à 443 avec un type de correspondance d’adresse IP spécifique qui correspond à une application basée sur un nom de domaine, le moteur PPP ne classe pas l’application basée sur un nom de domaine.
  • Si des proxy Web explicites sont configurés, vous devez ajouter tous les modèles de nom de domaine au fichier PAC, pour vous assurer que la réponse DNS ne renvoie pas toujours la même adresse IP.
  • Les classifications d’applications basées sur le nom de domaine sont réinitialisées lors de la mise à niveau de la configuration. La reclassification se fait sur la base des techniques de classification antérieures à la version 11.0.2 telles que la classification de bibliothèque DPI, la classification ICA et la classification basée sur les API d’application fournisseur.
  • Les signatures d’application apprises (adresses IP de destination) par classification d’application basée sur le nom de domaine sont réinitialisées lors de la mise à jour de la configuration.
  • Seules les requêtes DNS standard et leurs réponses sont traitées.
  • Les enregistrements AAA ou IPv6 ne sont pas pris en charge
  • Les enregistrements de réponse DNS répartis sur plusieurs paquets ne sont pas traités. Seules les réponses DNS dans un seul paquet sont traitées.
  • DNS sur TCP n’est pas pris en charge.
  • Seuls les domaines de niveau supérieur sont pris en charge en tant que modèles de noms de domaine.

Classification du trafic chiffré

L’appliance Citrix SD-WAN détecte et signale le trafic chiffré, dans le cadre des rapports d’application, selon les deux méthodes suivantes :

  • Pour le trafic HTTPS, le moteur DPI inspecte le certificat SSL pour lire le nom commun, qui porte le nom du service (par exemple - Facebook, Twitter). Selon l’architecture de l’application, un seul certificat peut être utilisé pour plusieurs types de services (par exemple : e-mail, actualités, etc.). Si différents services utilisent des certificats différents, le moteur DPI pourrait faire la différence entre les services.
  • Pour les applications qui utilisent leur propre protocole de chiffrement, le moteur DPI recherche des modèles binaires dans les flux, par exemple dans le cas de Skype, le moteur DPI recherche un modèle binaire à l’intérieur du certificat et détermine l’application.

Pour configurer les paramètres de classification des applications :

  1. Dans l’Éditeur de configuration, cliquez sur Global> Applications> Paramètres.

    Paramètres de l'application

    Remarque

    Si vous ajoutez un port ICA supplémentaire pour le déploiement multiport, ces ports doivent être ajoutés dans les classificateurs d’applications d’optimisation Wan. Sinon, le trafic sur les trois ports supplémentaires ne sera pas transmis à wanop. Seul le port 2598 par défaut sera transféré si ICA est configuré pour optimiser.

    Classificateur d'application WANOPg)

  2. Sélectionnez Activer l’inspection approfondie des paquets. Cela permet de classer les applications sur l’appliance. Vous pouvez, afficher et surveiller les statistiques d’application sur le Centre SD-WAN. Pour plus d’informations, reportez-vous à la section Rapport d’application.

    Remarque

    Par défaut, Enable Deep Packet Inspection collecte des statistiques pour les données classifiées.

  3. Sélectionnez Activer l’inspection approfondie des paquets pour les applications ICA Citrix. Cela permet de classer les applications Citrix ICA et de collecter des statistiques pour les utilisateurs, les sessions et les comptes de flux. Sans cette option activée, une partie de la saveur du trafic HDX peut encore être classée et QoE calculée, mais les statistiques sur le centre SD-WAN ne sont pas disponibles. Vous pouvez, afficher et surveiller les statistiques des applications ICA sur le Centre SD-WAN. Cette option est activée par défaut. Pour plus d’informations, reportez-vous à la section Rapports HDX.

  4. Sélectionnez Activer HDX User Reporting pour générer des rapports utilisateur nouvellement ajoutés (HDX Summary, HDX User Sessions et HDX Apps). Ces rapports sont disponibles dans SD-WAN Center. Ceci n’est pas applicable pour le rapport HDX Site Stats . Cette option est disponible au niveau global et au niveau du site similaire pour activer l’option DPI. Pour activer HDX User Reporting au niveau du site, dans l’Éditeur de configuration, cliquez sur Connexions > Applications .

    Activer les rapports HDX

  5. Dans le port ICA DPI, spécifiez les ports non standard utilisés dans la stratégie XA/XD à traiter pour la classification HDX. N’incluez pas les numéros de port standard 2598 ou 1494 dans cette liste, car ceux-ci sont déjà inclus en interne.

  6. Dans IP ICA DPI, spécifiez l’adresse IP à utiliser pour restreindre davantage les ports à une destination spécifique.

    Remarque

    Utilisez ‘*’ pour le port destiné à n’importe quelle adresse IP.

  7. Cliquez sur Appliquer

Vous pouvez configurer les paramètres de classification des applications sur chaque site individuellement. Cliquez sur Connexions, sélectionnez un site et cliquez sur Paramètres d’applications. Vous pouvez également choisir d’utiliser les paramètres globaux de l’application.

Rechercher des applications

Vous pouvez rechercher une application pour déterminer le nom de la famille de l’application. Une brève description de la demande est également fournie.

Pour rechercher une application :

  1. Dans l’Éditeur de configuration, cliquez sur Global > Applications > Rechercher .

  2. Dans le champ Rechercher, tapez le nom de l’application et cliquez sur Entrée.

    Une brève description de l’application et du nom de la famille de l’application apparaît.

    Recherche d'applications

Remarque

Pour plus d’informations sur les applications que l’appliance SD-WAN peut identifier à l’aide de l’inspection approfondie des paquets, reportez-vous à la section Bibliothèque de signatures d’application.

Objets d’application

Les objets d’application vous permettent de regrouper différents types de critères de correspondance en un seul objet pouvant être utilisé dans les stratégies de pare-feu et la direction des applications. Le protocole IP, l’application et la famille d’applications sont les types de correspondance disponibles.

Pour créer un objet d’application :

  1. Dans l’Éditeur de configuration, cliquez sur Global > Applications > Application Objects .

  2. Cliquez sur Ajouter et, dans le champ Nom, entrez un nom pour l’objet.

    Objets d'application

  3. Sélectionnez Activer les rapports pour activer l’affichage des rapports d’application personnalisés dans Citrix SD-WAN Center. Pour plus d’informations, veuillez consulter la section Rapport d’application.

  4. Dans le champ Priorité, entrez la priorité de l’objet application. Lorsque les paquets entrants correspondent à deux définitions d’objet d’application ou plus, l’objet d’application ayant la priorité la plus élevée est appliqué.

  5. Cliquez sur + dans la section Critères de correspondance de l’application .

  6. Sélectionnez l’un des types de correspondance suivants :

    • Protocole IP : spécifiez le protocole, l’adresse IP réseau, le numéro de port et la balise DSCP.
    • Application : spécifiez le nom de l’application, l’adresse IP réseau, le numéro de port et la balise DSCP.
    • Famille d’applications : sélectionnez une famille d’applications et spécifiez l’adresse IP réseau, le numéro de port et la balise DSCP.
  7. Cliquez sur + pour ajouter d’autres critères de correspondance d’application.

  8. Cliquez sur Ajouter.

Utilisation de la classification des applications avec un pare-feu

La classification du trafic en tant qu’applications, familles d’applications ou noms de domaine vous permet d’utiliser l’application, les familles d’applications et les objets d’application comme types de correspondance pour filtrer le trafic et appliquer la stratégie et les règles de pare-feu. Il s’applique à toutes les politiques pré, post et locales. Pour plus d’informations sur le pare-feu, reportez-vous à la section Prise en charge du pare-feu avec état et NAT.

Classification des applications dans le pare-feu