Layer-7-Anwendungserkennung

Mit Hilfe der Layer-7-Anwendungserkennung haben Sie die Möglichkeit, Dienste in Ihrem Netzwerk zu identifizieren, auf die besonders häufig zugegriffen wird und somit viel Bandbreite beanspruchen. Diese Funktion ermöglicht es Ihnen zudem, denjenigen Client aus dem vorhandenen Clientpool zu isolieren, der diese(n) Dienst(e) intensiv nutzt und den gesamten Traffic des betreffenden Benutzers einzusehen.

Wichtig: Um diese Funktion nutzen zu können ist es erforderlich, die Layer-7-Anwendungserkennung zu aktivieren. Diese ist per Default nicht aktiv.

Die Anwendungserkennung analysiert ein- und ausgehende Verbindungen aller Schnittstellen, die für eine Überwachung definiert wurden und speichert die Statistik der konfigurierten Anwendungen. Ab LCOS-Version 10.12 erfasst die Layer-7-Anwendungserkennung auch separat IPv4- und IPv6‑Traffic.

Aktivieren und konfigurieren Sie die Layer-7-Anwendungserkennung mit LANconfig unter Firewall/QoS > Allgemein > Layer-7-Anwendungserkennung.

In diesem Abschnitt bestimmen Sie folgende Parameter:

Layer-7-Anwendungserkennung aktiviert

Aktivieren oder deaktivieren Sie die Layer-7-Anwendungserkennung.

Port-Tabelle

Legen Sie hier fest, welche Verbindungen mit der Layer-7-Anwendungserkennung überwacht werden sollen. Aktivieren oder deaktivieren Sie dazu die zur Verfügung stehenden Ports.

VLAN-Tabelle

Geben Sie hier die zu überwachenden VLAN-IDs an und legen Sie fest, in welchem Umfang die Layer-7-Anwendungserkennung Traffic-Informationen erfasst.

Layer 7-Anwendungserkennung für dieses VLAN aktiviert: Das Gerät erfasst allgemeine bzw. applikationsspezifische Daten.
Benutzernamen erfassen: Das Gerät erfasst in dem angegebenen VLAN benutzerspezifische Daten (Benutzer- oder Client-Name sowie MAC-Adresse).

Wichtig: Damit die Layer-7-Anwendungserkennung im VLAN aktiv ist, muss das Gerät zumindest applikationsspezifischen Daten erfassen.

Port-basiertes Tracking

Wählen Sie hier die Anwendungen aus, die überwacht werden sollen. Sie haben dabei die Möglichkeit, aus Default-Anwendungen zu wählen oder eigene Anwendungen zu definieren. Geben Sie zusätzlich die Zieldomänen oder die Zielnetze der Anwendung an. Erweitern Sie die Liste nach Ihren Bedürfnissen.

Anmerkung: Geben Sie mehrere Zieldomänen, Zielnetze oder Ports mittels einer kommaseparierten Liste in CIDR-Notation (Classless Inter-Domain Routing) an. Dabei haben Sie die Möglichkeit, IPv4- oder IPv6-Zielnetze verwenden.

Aktualisierungs-Intervall

Geben Sie einen Wert in Minuten an, nach dessen Ablauf die Nutzungsstatistik aktualisiert wird.

Baut ein Client eine Verbindung über eine überwachte Schnittstelle auf, beginnt die Anwendungserkennung mit der Analyse und Aufzeichnung des Traffic-Volumens.

Anmerkung: Die Aufzeichnung und die daraus resultierende Nutzungsstatistik ist abhängig von der für diese Verbindung definierten Konfiguration.

Die Layer-7-Anwendungserkennung beobachtet den Ziel-Port einer Anwendung. Wird eine Verbindung über Port 80 oder 443 (HTTP oder HTTPS) erkannt, erfolgt eine weitere Analyse des Verbindungsaufbaus. Weicht der Ziel-Port davon ab, erfolgt die Zuordnung der Verbindung Port-abhängig über die in der Liste "Port-basiertes Tracking" festgelegten Anwendungen.

Anmerkung: Die zu erkennenden Applikationen definieren Sie unter Konfiguration > Firewall/QoS > Allgemein > Applikations-Definitionen. Siehe Applikationsdefinitionen für die Layer-7-Erkennung und die Layer-7-Applikationskontrolle.

Bei einem erkannten HTTP/HTTPS-Aufbau wird diese Verbindung tiefer analysiert. Dazu extrahiert die Anwendungserkennung bei HTTP-Verbindungen den Ziel-Host aus der Ziel-URL des HTTP GET Requests.

Wichtig: Es wird nur der Host-Anteil verwendet, weitere URL-Bestandteile werden abgeschnitten

Wird eine HTTPS-Verbindung erkannt, versucht die Layer-7-Anwendungserkennung den Ziel-Host durch Informationen in folgender Reihenfolge zu identifizieren:

Server Name Indication aus dem TLS Client Hello
Common Name aus dem übermittelten TLS-Server-Zertifikat
Reverse DNS Request auf die Server-IP-Adresse

Sowohl bei Verbindungen über HTTP als auch über HTTPS wird der ermittelte Ziel-Hostname mit der Liste "HTTP/HTTPS-Tracking" abgeglichen. Diese Liste enthält die am weitesten verbreiteten Web-Dienste/Anwendungen inklusive der Bestandteile ihrer Hostnamen.

Sollte der aufgerufene Dienst oder die gewählte Verbindung nicht in der Liste enthalten und deshalb eine Zuordnung nicht möglich sein, erfolgt eine Port-basierte Zuordnung zu dem generellen Dienst HTTP oder HTTPS.

Wichtig: Für diese Zuordnung ist es erforderlich, dass die HTTP- und HTTP-Einträge in der Liste für "Port-basiertes Tracking" enthalten sind.

Ist der Ziel-Dienst für jede über eine überwachte Schnittstelle geführte Verbindung bekannt, ist es gemeinsam mit dem verbindungsherstellenden Client möglich, die Verbindung zu tracken und so zu ermitteln, welcher Client wie viel Traffic von / zu einem Dienst verursacht hat.

Die ermittelten Werte finden Sie in den zugehörigen Tabellen im LCOS-Menübaum unter Status > Layer-7-App-Erkennung.

Sie haben die Möglichkeit, die Layer-7-Anwendungserkennung zentral oder dezentral in Ihrem Netzwerk einzusetzen. Beide Varianten verhindern, dass Traffic mehrfach gelistet wird:

Zentraler Einsatz: Die Layer-7-Anwendungserkennung wird auf einem zentralen Router im LAN aktiviert, auf allen anderen LANCOM Geräten ist sie deaktiviert.
Dezentraler Einsatz: Die Layer-7-Anwendungserkennung wird nur auf den letzten Bridges im LAN aktiviert, z. B. Access Points oder LANCOM Router, an deren LAN-Schnittstellen die Clients direkt angeschlossen sind.

Um verfälschte Ergebnisse zu verhindern, achten Sie bitte darauf, dass der Traffic nur genau ein Gerät oder eine Bridge mit aktiver Layer-7-Anwendungserkennung durchläuft.