قضية
غالبًا ما تُستخدم خدمات إخفاء الهوية لتجاوز قيود التصفح المختلفة والجدران النارية على الإنترنت. تستخدم العديد من خدمات إخفاء الهوية المشهورة والموثوقة تقنيات مراوغة لتجاوز الجدران النارية التقليدية وNGFW. تشمل هذه التقنيات تزوير SNI، وبروتوكولات مراوغة، والاختباء وراء CDNs، والقفز بين عناوين IP للخوادم. أي خدمة إخفاء هوية يمكن تحديدها كتطبيق أو خدمة بواسطة Cato سيتم تصنيفها تحت "خدمات التخفي". على سبيل المثال، ClearVPN، Hola VPN، Mullvad VPN، NordVPN، CyberGhost VPN، TunnelBear VPN، Private Internet Access (PIA)، Surfshark VPN، Express VPN، والعديد غيرها.
تشرح هذه المقالة كيفية إنشاء قاعدة جدار ناري أساسية لحظر خدمات إخفاء الهوية بشكل فعال. ومع ذلك، نظرًا للتقنيات المراوغة المتعددة التي يستخدمها المخفون، يمكن أن يكون من التحدي حظر جميعها بنجاح. إذا لم يتم حظر خدمة التخفي على الرغم من تكوين القواعد الأساسية، يُرجى الاتصال بـ الدعم للحصول على المساعدة.
ملاحظة: يجب تفعيل TLSi و IPS أيضًا.
حل
لتحقيق الحماية الأساسية، يلزم إنشاء قاعدتين لجدار الإنترنت الناري (IFW). إضافة إلى ذلك، من الأفضل إنشاء قاعدة التحكم في التطبيقات، والتي تحتاج إلى رخصة CASB صالحة.
- تقوم القاعدة الأولى بحظر فئة خدمات التخفي باستخدام قاعدة IFW.
- تقوم القاعدة الثانية بحظر البروتوكولات الشائعة والتقنيات المراوغة التي يستخدمها المخفون باستخدام قاعدة IFW.
- (اختياري) تقوم القاعدة الثالثة بحظر ملفات OpenVPN باستخدام قاعدة التحكم في التطبيق. (هذا يتطلب رخصة CASB صالحة)
تحتفظ Cato بقائمة مختارة من خدمات التخفي الأكثر استخدامًا. لعرض هذه القائمة، انتقل إلى موارد > كتالوج التطبيقات واختر "خدمات التخفي" تحت "الفئة".
بالنسبة للمخفيين غير المذكورين في هذه القائمة، نقوم بتحديدهم بناءً على البروتوكولات والتقنيات المراوغة التي يستخدمونها. WireGuard، OpenVPN، DNS المراوغ، و TLS المراوغ هي بروتوكولات وتقنيات شائعة يستخدمها المخفون لتعزيز الخصوصية وتجاوز قيود الشبكة.
WireGuard
يتطلب حظر بروتوكول WireGuard حظر بروتوكول WireGuard في قاعدة جدار الحماية للإنترنت.
OpenVPN
OpenVPN هو بروتوكول أنفاق آمن يستخدم لاتصالات الموقع إلى الموقع والنقطة إلى النقطة. يمكنه التواصل عبر TCP أو UDP، ويمكن للمستخدم تحديد المنفذ.
يتطلب حظر بروتوكول OpenVPN حظر بروتوكول OpenVPN في قاعدة الجدار الناري للإنترنت وحظر ملفات تهيئة OpenVPN باستخدام قاعدة التحكم في الملفات.
DNS المراوغ
تستخدم العديد من خدمات التخفي نفق DNS وتدفقات UDP الأخرى عبر المنفذ 53 (المعروفة بـ “DNS المراوغ”) لتجنب الجدران النارية.
حركة المرور المراوغة عبر TCP/443
حركة المرور المراوغة عبر المنفذ 443 هي تقنية يستخدمها المخفون لإخفاء أنشطتهم ضمن حركة TLS الشرعية ظاهريًا. وفقًا للـ RFC الرسمي، هذه ليست حركة مرور TLS الفعلية.
تستخدم العديد من خدمات إخفاء الهوية حركة مرور TLS المراوغة لتجاوز الجدار الناري.
فيما يلي بعض خدمات التخفي المعروفة التي يمكن حظرها بنجاح من خلال حظر فئة المخفين والخدمات المتصلة بها في IFW.
خدمات جدار حماية الإنترنت (IFW) |
||||||
خدمات التخفي | بروتوكول WireGuard | بروتوكول OpenVPN | DNS المراوغ | حركة مرور مراوغة عبر TCP/443 | تكوين قاعدة IFW لحظر فئة المخفيين | ملاحظات |
Clear VPN | ✔︎ | |||||
Hola VPN | ✔︎ | يلزم أيضًا حظر خدمة IFW HTTP Proxy | ||||
Mullvad | ✔︎ | |||||
NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | لن يتم حظر وضع "الخوادم المموهة" في Windows |
CyberGhost VPN | ✔︎ | ✔︎ | ||||
TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | يلزم أيضًا حظر خدمات IFW ISAMP و IPsec NAT Traversal. يلزم حظر منفذ/بروتوكول IFW TCP/6418 | ||
PIA (Private Internet Access) | ✔︎ | |||||
Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
ExpressVPN | ✔︎ | ✔︎ | يتطلب جهاز Windows حظر خدمة OpenVPN في قاعدة IFW | |||
Unlimited VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | يجب تفعيل IPS. يلزم أيضًا حظر خدمات IFW IPsec NAT Traversal. |
بالنسبة لمخفيين غير المذكورين في الجدول أعلاه، اتبع الخطوات أدناه لإنشاء قواعد الجدار الناري الأساسية لحظرها.
القاعدة 1: حظر فئة المخفيين
- انتقل إلى الأمان > جدار حماية الإنترنت
- انقر على جديد > قاعدة جديدة
- ضمن التطبيق/الفئة، اختر فئة التطبيقات. ثم اختر خدمات التخفي من قائمة المنسدلة.
القاعدة 2: حظر الخدمات المشبوهة
- انتقل إلى الأمان > جدار حماية الإنترنت
- انقر على جديد > قاعدة جديدة
- ضمن الخدمة/المنفذ، قم بتكوين الخدمات التالية
بمجرد تكوين هذين القاعدتين، يجب أن تشبه المثال الموضح أدناه:
ملاحظة: قد يؤدي تكوين القاعدة 2 لحظر الخدمات المشبوهة إلى حظر التطبيقات الشرعية عن غير قصد، حيث لا يتم استخدام هذه البروتوكولات والتقنيات من قبل المخفين فقط. على سبيل المثال، يستخدم Telegram حركة مرور مراوغة عبر TCP/443. كأفضل ممارسة، نقترح ضبط القاعدة على وضع المراقبة لمدة أسبوع لتحديد أي نتائج إيجابية خاطئة. إذا حدثت نتائج إيجابية خاطئة، قم بإنشاء استثناء في القاعدة للسماح للتطبيق الشرعي بالعمل بشكل صحيح. بعد معالجة أي نتائج إيجابية خاطئة، قم بتغيير القاعدة إلى حظر.
ارجع إلى استخدام الاستثناءات للسماح بالاتصالات عبر الإنترنت لكيفية إنشاء قاعدة استثناء.
القاعدة 3 (اختياري): حظر ملفات OpenVPN
- انتقل إلى الأمان > التحكم في التطبيقات
- قم بإنشاء قاعدة تحكم في الملفات جديدة
- ضمن سمات الملف، قم بتكوين نوع المحتوى هو ملف تهيئة OpenVPN.
بمجرد تكوين القاعدة، يجب أن تشبه المثال الموضح أدناه:
ملاحظة:
- يلزم توفر رخصة CASB صالحة.
- يلزم تفعيل فحص TLS.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.