تقارير ماسح الشبكة عن منافذ TCP مفتوحة غير متوقعة

المشكلة

كشف ماسح الشبكة عن منافذ TCP مفتوحة عبر شبكة WAN بين المواقع، وقام بالإبلاغ عنها على المضيفين الداخليين الذين من المعروف أنهم غير موجودين.

البيئة

  • السماح أو حظر اتصالات TCP بين المواقع.
  • تسريع TCP على SYN لحركة مرور WAN مفعّل على مستوى الحساب أو الموقع

استكشاف الأخطاء وإصلاحها

يمكن أن تتأثر اتصالات TCP بين المواقع بواسطة وكيل TCP، كما هو مذكور في توضيح تسريع TCP في Cato وأفضل الممارسات. السلوك سيتوقف على ما إذا كان اتصال TCP مسموحاً به أو محظوراً بواسطة جدار الحماية WAN ووضع وكيل TCP المعني.

قم بمراجعة أحداث CMA لتحديد ما إذا كان اتصال TCP مسموحاً به أو محظوراً.

اتصالات TCP المسموح بها

تعتمد حركة مرور WAN عبر Cato Cloud على وضعين متاحين لوكيل TCP يتم التحكم فيهما بواسطة إعداد تسريع TCP على SYN لحركة مرور WAN في صفحة التكوين المتقدم (المزيد في قسم الحل).

وضع وكيل TCP الكامل لشبكة WAN

يقوم هذا الوضع ببدء تشغيل وكيل TCP فور تلقي الحزمة SYN الأولى لكل اتصال. يفرض وكيل TCP على كل حركة مرور، بغض النظر عن إعدادات التسارع.
نتيجة لذلك، حتى إذا لم يستجب عنوان IP الوجهة بـ SYN-ACK، يقوم PoP بإكمال الاتفاق الثلاثي ٣-طريق مع ماسح الشبكة. يمكن أن يؤدي هذا إلى نتائج إيجابية خاطئة حيث يقوم الماسح بالإبلاغ عن منافذ TCP مفتوحة على مضيفين غير موجودين.

ملاحظة: سيتم دائماً استخدام المنفذ TCP/443 لهذا الوضع إذا تم تمكين فحص TLS للحساب.

الحفاظ على التفاوض الأصلي لشبكة WAN وتأجيل وكيل TCP

في هذا الوضع، يتم تأجيل وكيل TCP حتى اكتمال اتفاقية الثلاثي مع عنوان IP الوجهة. لا يتم فرض وكيل TCP بغض النظر عن إعدادات التسارع.

يحدث الاتفاق الثلاثي ٣-طريق مع الماسح فقط إذا استجاب عنوان IP الوجهة بـ SYN-ACK.

تحديد وضع وكيل TCP

يمكن تحديد وضع وكيل TCP النشط مباشرة من خلال أحداث جدار الحماية WAN. الـ 'تسريع TCP = 1' يعني تشغيل وكيل TCP الكامل لشبكة WAN.

بدءا من نوفمبر 2023، وكيل TCP الكامل لشبكة WAN هو الوضع الافتراضي للحسابات الجديدة. بالنسبة للحسابات التي تم إنشاؤها قبل هذا التاريخ، الحفاظ على التفاوض الأصلي لشبكة WAN هو الوضع الافتراضي.

 

اتصالات TCP المحظورة

ستستخدم حركة المرور المحظورة عبر Cato Cloud وضع وكيل TCP الكامل لشبكة WAN، حيث يقوم PoP بإكمال الاتفاق الثلاثي ٣-طريق مع ماسح الشبكة، لكن لم تُرسل أي حزمة SYN إلى الوجهة. يستخدم هذا النهج لتسليم صفحة حظر إلى المصدر.

 

الحل

بالنسبة لاتصالات TCP المسموح بها

يمكن للإداريين تعديل وضع وكيل TCP لشبكة WAN عن طريق ضبط إعداد تسريع TCP على SYN لحركة المرور WAN في صفحة التكوين المتقدم، ويطبق على مستوى الحساب والموقع.

  • تشغيل - وكيل TCP الكامل لشبكة WAN.
  • إيقاف/معطل - الحفاظ على التفاوض الأصلي لشبكة WAN وتأجيل وكيل TCP.

يوصى بوضع وكيل TCP الكامل لشبكة WAN لتحقيق الأداء الأمثل. ومع ذلك، قد يختار الإداريون تعطيل هذا الوضع حسب الحاجة لتجنب النتائج الإيجابية الكاذبة للمنافذ المفتوحة.

لمنع النتائج الإيجابية الكاذبة على المنفذ TCP/443، تأكد من أن فحص TLS معطل. بدلاً من ذلك، يمكنك الاتصال بدعم Cato لتكوين النظام لقائمة العناوين البيضاء لعناوين IP الخاصة بماسح الشبكة، مما يمنع النتائج الإيجابية الكاذبة بشكل فعال.

بالنسبة لاتصالات TCP المحظورة

من المتوقع أن يحدث سلوك الاتفاق الثلاثي ٣-طريق في الاتصالات المحظورة تحت وضع وكيل TCP الكامل لشبكة WAN. ومع ذلك، إذا كان هذا السلوك غير مرغوب فيه، يمكنك الاتصال بدعم Cato لتكوين النظام لإسقاط الحزمة الأولى من TCP بدلاً من إتمام الاتفاق الثلاثي مع الماسح. ينطبق ذلك على القواعد التقليدية غير المعقدة، كما هو موضح في القواعد التقليدية مقابل قواعد جدار الحماية NG.

هل كان هذا المقال مفيداً؟

2 من 2 وجدوا هذا مفيداً

لا توجد تعليقات