فهم تدفق الحزم مع بنية Cato SPACE

توضح هذه المقالة تدفق الحزم لمحركات الأمان في نقطة التواجد بناءً على بنية Cato's Single Pass Cloud Engine (SPACE).

نظرة عامة

تفحص بنية Cato SPACE تدفقات المرور وتقوم بمعالجتها باستخدام خدمة واحدة. تشمل هذه الخدمة محركات متعددة للشبكات والأمان التي تحلل وتقوم بمعالجة تدفقات المرور في وقت واحد. تتجنب هذه البنية قيود الجمع بين حلول نقطة متعددة مع سلسلة الخدمة. تقلل مرور واحد من أجل التدفق من وقت الاستجابة وتحسن أداء الشبكة الإجمالي. يمكن لكل نقطة تواجد تنفيذ هذه القرارات الشبكية والأمنية باستخدام جميع خدمات ومحركات Cato's SPACE.

تملك محركات الأمان والشبكات الوصول الكامل إلى البيانات من أجل تدفق المرور وتقييمها ومشاركتها مع بعضها البعض في سياق مشترك. تعمل المحركات بشكل متوازي، لا توجد أولوية لمحرك معين لتقييم المرور على الآخرين. توجد المحركات في كل نقطة تواجد ويمكنها مشاركة البيانات دون انتظار المعلومات من محرك في موقع مادي مختلف.

على سبيل المثال، قاعده جدار ناري تمنع أجهزة macOS، ولكن لا يستطيع محرك الجدار الناري الحصول على هذه البيانات من الحزمة الأولى وينتظر بيانات أخرى. عندما يحدد محرك مختلف الجهاز على أنه macOS، حينئذٍ يمنع الجدار الناري التدفق وفقاً لإجراء القاعدة.

ملخص خدمات شبكة وأمان SPACE

تسرد هذه القسم خدمات شبكة وأمن المحركات في نقطة التواجد المطبقة على المراحل المختلفة من تدفق الحزم.

  • سياسات ومحركات Cato

    • جدار ناري - سياسة الجدار الناري لشبكات الإنترنت وWAN

    • الشبكة - سياسة قواعد الشبكة للتوجيه وأولوية جودة الخدمات QoS

    • IPS/SAM - حماية IPS ورصد النشاط المشبوه (SAM)

    • تحكم التطبيقات - التعرف على التطبيقات لسياسة التحكم بالتطبيقات

      • تحكم التطبيقات الجيل الثاني - قواعد للتطبيقات بناءً على الوصول: السماح أو الحظر

      • تحكم التطبيقات الجيل الثالث - قواعد للتطبيقات بناءً على الإجراءات التفصيلية: رفع، تنزيل، وهكذا

    • TLSi - فحص TLS لحركة المرور HTTPS والمشفرة

    • DLP - فحص المحتوى لسياسة حماية من فقدان البيانات (DLP)

    • AM/NGAM - مكافحة البرامج الضارة وفحص الجيل التالي من البرامج الضارة المرفقة للملفات بحثًا عن البرامج الضارة

  • بيانات تدفق المرور والبروتوكولات

    • التعرف على التطبيقات - تُستخدم معايير مختلفة لتحديد التطبيق المحدد لسياسات الأمان أو الشبكات

    • نظام التشغيل - نظام التشغيل للجهاز، على سبيل المثال مع سياسة وضعية الجهاز أو سياسة اتصال العميل

    • فئة العملاء - نوع التطبيقات العميلة التي تعمل على نظام التشغيل الذي أنشأ تدفق الشبكة هذا (على سبيل المثال، Chrome)

    • URLF - فلترة URL لفئات Cato بناءً على عنوان موقع الويب

    • نوع الملف - من أجل CASB وDLP، مرفق الملف في اتجاه الرفع أو التنزيل

تدفق حزم TCP مع SPACE

هذا مثال على تدفق HTTP نموذجي مع العناصر التالية:

  • الجدول الزمني - مراحل مختلفة من تدفق المرور

  • الحقول المتاحة - البيانات المتاحة لمرحلة الخط الزمني المحددة

  • محرك Cato - محرك SPACE الذي يمكنه تحليل التدفق واتخاذ الإجراءات المناسبة (منع أو السماح)

  • بيانات تدفق المرور - لكل مرحلة، البيانات التي تُستخدم لتقييم تدفق المرور

SPACE_Flow.png

يمكنك رؤية قائمة التفاصيل أدناه، تفاصيل تدفق TCP النموذجي.

مثال على التعرف على التطبيق من تدفق المرور

هذا مثال على تدفق المرور لقاعدة تتضمن تطبيق سلاك، ويظهر أي المعلومات المتاحة في كل مرحلة.

  1. الحزمة الأولى - TCP

    المصدر - 10.10.2.107
منفذ المصدر - 55477
عنوان IP الهدف - 3.68.124.168
منفذ الهدف - 443
بروتوكول - TCP
إجابة DNS  - 3.68.124.168 - slack.com (إجابة اختيارية)

    هذه هي المعلومات المتاحة لتدفق المرور بناءً على هذه الحزمة الأولى النموذجية:

    • 5-tuple - لا يمكن تحديد أن التدفق متصل بتطبيق سلاك

    • إجابة DNS - بناءً على التدفقات السابقة، تعلم المحركات بالفعل أن dname لهذا العنوان الهدف هو slack.com

    • ASN - بناءً على عنوان IP الهدف، يستطيع محرك الأمان تحديد ASN

    • التعرف على التطبيق يتضمن: tcp

    ينتظر المحرك المعلومات الإضافية من مصافحة TLS قبل أن يتمكن من إكمال التعرف على تطبيق سلاك.

  2. tls_handshake

    "رأس TLS"
"sni_host": "slack.com"
"سبب تجاوز التفتيش المحدد مسبقًا": "لا شيء"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    هذه هي المعلومات المتاحة لتدفق المرور بناءً على هذا tls_handshake النموذجي:

    • رأس TLS والمنفذ الخادم 443 - يتطابق مع بروتوكول TLS

    • SNI هو slack.com - يتطابق مع تعريف تطبيق سلاك من Cato

      يتم إرسال SNI أيضًا إلى URLF، ويتطابق مع الفئات: معلومات الأعمال، الحواسيب والتكنولوجيا، اجتماعي

    • فئة الزبون هي JA3 - تصنف العميل على أنه متصفح بناءً على بصمة TLS

    • إجراء فحص أو تجاوز TLS - بناءً على فئة الزبون وتحديد التطبيق

    • التعرف على التطبيق يتضمن: tcp, tls, slack

  3. HTTP

    "url" : "upload.slack.com:
"host_name" : "slack.com"
"Content-Type" : "application/pdf"
"Content-Disposition" : form-data; name="file"; filename="sample-data.pdf"
"Content-Length" : "52765"

    في تدفق العينة هذا، المعلومات المتاحة بناءً على بيانات HTTP هي:

    • التعرف على التطبيق يتضمن: tcp, tls, http, slack

    • يفك فحص TLS تشفير التدفق ويحدد أن اسم مضيف خادم سلاك هو slack.com

    • رأس HTTP - يتطابق مع بروتوكول HTTP

      هذا مثال شائع حيث يتطابق HTTP_host مع SNI، ولا يوجد تغيير في تحديد التطبيق

    • URL - يوفر البادئة المزيد من الدقة، ويمكن أن يتطابق مع إجراء الرفع في سياسة تحكم التطبيقات

    • نوع المحتوى، ترتيب المحتوى، طول المحتوى - توفر معلومات عن اسم الملف، حجمه، ونوعه

    • إجراءات سياسة التحكم بالتطبيقات:

      • فرض سياسة تستخدم فقط مستأجر سلاك تجاري

      • تحكم ملفات بناءً على نوع الملف

        تقوم برامج مكافحة البرامج الضارة والجيل التالي من برامج مكافحة البرامج الضارة بمسح الملفات في اتجاه التنزيل فقط.

  4. نص HTTP

    "الحمولة النصية لجسم HTTP" : "الملف نفسه"

    على سبيل المثال، تفرض سياسة DLP عدم استخدام بيانات بطاقات الائتمان في رسائل سلاك.

    • اكتمل التعرف على التطبيق لتطبيق سلاك. تم التعرف عليه على أنه حركة تنتمي إلى الفئة اجتماعية.

    • عندما تكون محتويات الملف جاهزة، تقوم هذه المحركات بتحليل محتويات الملف:

      • يقوم محرك DLP بمسح المحتوى بناءً على سياسة التحكم بالبيانات

      • تقوم برامج مكافحة البرامج الضارة والجيل التالي من برامج مكافحة البرامج الضارة بمسح الملفات في اتجاه التنزيل

سياسات ومحركات Cato

يوضح هذا القسم سياسة الأمان والمحركات من Cato التي تحلل وتتصرف على تدفق المرور.

سياسات الجدار الناري والشبكة

غالبًا ما تستطيع سياسات جدار ناري WAN والإنترنت وقواعد الشبكة تقييم تدفق المرور في الحزمة الأولى. على سبيل المثال، القواعد التي تستند إلى بيانات من 5-tuple. ومع ذلك، بالنسبة للقواعد التي تتطابق مع التطبيقات المحددة مثل أزور أو سلاك، يتطلب المحرك بيانات إضافية من تدفق المرور لتقييم التدفق. هذا يعني أن المرحلة التي يقيم فيها المحرك التدفق تعتمد على إعدادات القاعدة المحددة.

لمزيد من المعلومات حول أنواع قواعد الجدار الناري، انظر سياسات جدار ناري الإنترنت وWAN – أفضل الممارسات.

مثال على الحزمة الأولى لقاعدة شبكة بسيطة وقاعدة جدار ناري معقدة

يوضح هذا المثال كيف تقيم محركات نقطة التواجد تدفق المرور بطرق مختلفة بالنسبة لقاعدة شبكة بسيطة تستخدم عناوين IP والمنافذ، وقاعدة جدار ناري معقدة لتطبيقات أزور. يمكن لمحرك الشبكة تقييم التدفق بناءً على الحزمة الأولى، لكن نقطة التواجد تنتظر البيانات الإضافية حتى يتمكن محرك الجدار الناري من إنهاء تحليله.

مثال على قاعدة شبكة

القاعدة الشبكية التالية تخص المرور لالمصدر كسلسلة من عناوين IP مع سلسلة منافذ من 8000 إلى 8010، ويتم خروج المرور عبر موقع نقطة التواجد في لندن.

Simple_network.png

يمكن لمحرك الشبكة تقييم قرار التوجيه لتدفق المرور بناءً على 5-tuple.

مثال على قاعدة جدار ناري WAN

القانون التالي لجدار الحماية WAN يسمح بالمرور الذي يكون له نفس المصدر مثل نطاق IP لقانون الشبكة أعلاه، وللمستخدمين الذين هم أعضاء في مجموعة مستخدمي البحث والتطوير. بالإضافة إلى ذلك، القاعدة مخصصة لتطبيقات أزور لخدمات HTTP(S)، TLS، FTP، وTFTP.

Azure_FW.png

لا يمكن لمحرك الجدار الناري تقييم المرور بناءً على الحزمة الأولى، لأنه يحتاج إلى تأكيد هوية المستخدم، وتطبيقات أزور، والخدمات الخاصة بالتدفق. بعد أن ينهي المحرك التقييم ويلتقي التدفق بجميع المعايير، يسمح المحرك بالتدفق. تطبق نقطة التواجد أيضًا قرار التوجيه بناءً على الحزمة الأولى.

فلترة URL وفئات Cato

تعمل خدمة فلترة URL من خلال تحليل عنوان موقع الويب ومقارنته بقاعدة بيانات للمواقع المعروفة أو المشتبه في أنها ضارة أو غير مناسبة. قد تحلل هذه الخدمة أيضًا محتوى الموقع نفسه لتحديد فئاته، مثل المحتوى البالغ، القمار، الشبكات الاجتماعية، أو وسائل الإعلام التي تبث عبر الإنترنت.

لمعرفة المزيد حول الفئات، راجع العمل مع الفئات.

فحص TLS

يشارك محرك فحص TLS خلال مرحلة tls_handshake من تدفق الحزم. القرار بفحص التدفق من عدمه يكون لا رجعة فيه ويتم على مرحلتين:

  1. المرحلة 1 - الحزمة الأولى من رزمة client_hello تعطي إشارة أولية إذا كان محرك فحص TLS سيفحص تدفق المرور هذا

  2. المرحلة 2 - يتم تحليل بيانات client_hello بالكامل وتطبيق إجراء سياسة فحص TLS (فحص التدفق أو تجاوزه)

بالنسبة لتدفقات HTTPS، من الممكن أن يكون هناك قرار بحظر الحزمة بناءً على المرحلة 1. ومع ذلك، يواصل المحرك الاتصال وإنشاء اتصال TLS لعرض صفحة حظر الجدار الناري أو IPS الصحيحة للمستخدم النهائي.

الوقاية من التطفل

يستمر محرك IPS في العمل طوال فترة تدفق المرور. إنه يفحص العناصر المحددة المتوفرة في مراحل مختلفة، ويتصرف بناءً على أي محتوى يتطابق إيجابيًا مع حماية IPS. يمكنك التفكير في IPS على أنه يعمل مثل عدسة مكبرة، ينتظر التحديثات باستمرار من حركة المرور ويقدم معلومات باستمرار إلى المحرك الذي شوهد في التدفق.

يوضح المثال التالي معلومات مختلفة المتاحة في مختلف مراحل التدفق:

  • البروتوكول للتدفق هو HTTP

  • بناءً على الحمولة، يوجد TLS

  • يوجد تطبيق Hello_ العميل الذي يستخدم مجموعة شفرات TLS 1.3 TLS_AES_256_GCM_SHA384

يمكن أن تطابق الحمايات IPS المختلفة مع أي من العناصر المذكورة أعلاه ثم تتخذ إجراءً على تدفق الحركة في تلك المرحلة.

حماية DNS

حماية DNS هي جزء من محرك IPS وتعمل على تدفق DNS للطلب والاستجابة (بدون أي اتصال بالنقل، مثل TCP أو UDP).

أثناء طلب DNS، يتم تحليل اسم النطاق وتقييمه للسمعة النطاق والأعلاف الثابتة. ثم أثناء استجابة DNS، يتم تحليل عنوان IP المحلول والمحتوى للبحث عن محتوى ضار محتمل. تطبق سياسة حماية DNS على أي محتوى مطابق (حظر أو السماح لتدفق المرور).

تحكم التطبيقات

يفحص محرك التحكم في التطبيقات حركة المرور ويطبق الإجراءات لسياسة التحكم في التطبيقات، ويتم تقييمه في كل عملية HTTP جديدة (طلب واستجابة).

بالنسبة للتطبيقات الجيل2، يتطلب TLS ووكيل HTTP لإكمال تحديد التطبيق.

بالنسبة للقواعد التي تشمل متطلبات الأمن والامتثال:

  • بناءً على البيانات السياقية من محركات الشبكات والأمن الأخرى، يمكن لمحرك التحكم في التطبيقات تقييم هذه المتطلبات خلال مرحلة تفتيش TLS

  • من الممكن أيضًا أن يحصل المحرك على هذه المعلومات من SNI، ولا يتطلب TLS أو التعريف الكامل للتطبيق (الطبقة 7 DPI) لتقييم التطبيق

DLP

يفحص محرك DLP محتوى تدفق الحركة ويمثل امتدادًا لمحرك التحكم في التطبيقات. عندما تحدد السياسة نوع ملف أو حجم ملف، يحتاج المحرك إلى فحص بيانات التطبيق والحمولة لهذه الخصائص الملفية:

  1. يقيم المحرك نوع الملف ويفحص ما إذا كان يتطابق مع قائمة الملفات المدعومة لفحص المحتوى.

  2. ثم يتم الانتهاء من تعريف التطبيق gen3 لتحديد توقيعات المحتوى المحددة للحقول التي تخزن المحتوى والبيانات التي يتم فحصها.

  3. يتم فحص المحتوى والتأكد من مطابقته لملف تعريف المحتوى المحدد.

الحماية من البرامج الضارة و NG الحماية من البرامج الضارة

تفحص محركات الحماية من البرامج الضارة SentinelOne NG الحماية من البرامج الضارة مرفقات الملفات في حركة المرور الواردة (تنزيل الملفات) للبرامج الضارة المعروفة وغير المعروفة. يستند نوع الملف على استجابة HTTP، أو طلب لحركة مرور FTP.

يتم فحص التطبيقات والخدمات فقط في HTTP و HTTPS و FTP.

  1. يفحص المحرك ليرى ما إذا كان التطبيق يتطابق مع قاعدة في سياسة مكافحة البرامج الضارة.

  2. يتم مطابقة الملف مع هذه القوائم من الملفات:

    1. اللوب المسموح الذي تم تكوينه في تطبيق إدارة Cato - يسمح بتنزيل هذه الملفات.

    2. قائمة الحظر التي يديرها فريق أمن Cato - هذه الملفات محظورة.

  3. يتم فحص الملفات بواسطة محركات الحماية من البرامج الضارة و NG الحماية من البرامج الضارة، ويتم إرجاع الحكم: ضار، مشبوه أو حميد.

  4. يتم تطبيق الإجراء المناسب لسياسة مكافحة البرامج الضارة على الملف.

الأسئلة الشائعة لسياسات ومحركات Cato

هل ينطبق تصفية URL على حركة WAN؟

لا، تصفية URL مخصصة لحركة الإنترنت ولا تطبق على حركة الحساب عبر WAN.

ما الفرق بين إعدادات تقييد الجغرافيا لجدران الحماية مقابل سياسات IPS؟

تتيح لك إعداد الجهاز في جدران حماية WAN والإنترنت تحديد البلد المصدر للقواعد الدقيقة. لكن لا يوجد سيطرة على بلد الوجهة.

تعرف علامة تقييد الجغرافيا في سياسة IPS حركة المرور المقيدة التي تكون إما المصدر أو الوجهة. ومع ذلك، IPS هو سياسة عالمية لكامل الحساب، ولا يمكنك تطبيق إعدادات تقييد الجغرافيا لمواقع أو كائنات محددة.

تفاصيل عينة تدفق TCP

  1. الجدول الزمني - الحزمة الأولى

    1. الحقول المتاحة - 5-زوج، اسم المضيف (dname)

    2. محرك Cato - جدار الحماية، الشبكة، IPS/SAM

    3. بيانات تدفق المرور - تعريف التطبيق، فئة العميل، OS

  2. الجدول الزمني - tls_handshake

    1. الحقول المتاحة - cipher_suite، اسم المضيف (SNI)

    2. محرك Cato - IPS/SAM، تحكم التطبيقات gen2، TLSi، جدار الحماية، الشبكة

    3. بيانات تدفق المرور - تعريف التطبيق، فئة العميل، URLF

  3. الجدول الزمني - HTTP_headers

    1. الحقول المتاحة - الرؤوس، URL، اسم المضيف (رؤوس المضيف)

    2. محرك Cato - تحكم التطبيقات gen3، IPS/SAM

    3. بيانات تدفق المرور - نوع_الملف (تحميل)، OS

  4. الجدول الزمني - HTTP_body

    1. الحقول المتاحة - HTTP_request, HTTP_body

    2. محرك Cato - تحكم التطبيقات gen3، DLP، IPS/SAM

    3. بيانات تدفق المرور - نوع_الملف (تحميل)، تعريف التطبيق

  5. الجدول الزمني - HTTP_response

    1. الحقول المتاحة - HTTP_response_headers, HTTP_response_body

    2. محرك Cato - AM/NGAM، تحكم التطبيقات gen3، DLP، IPS/SAM

    3. بيانات تدفق المرور - نوع_الملف (تنزيل)، تعريف التطبيق

هل كان هذا المقال مفيداً؟

11 من 12 وجدوا هذا مفيداً

لا توجد تعليقات