الموقع الإلكتروني المستضاف على Cloudflare يتجاوز جدار الحماية Cato

قضية

فشل جدار الحماية Cato في فرض قواعد الجدار على المواقع المستضافة على Cloudflare. على سبيل المثال، يتم السماح للموقع الإلكتروني research.cloudflare.com المصنف كقاعدة بيانات على الرغم من وجود قاعدة جدار تحجب هذه الفئة.

يظهر الحدث المتعلق بـ CMA اسم نطاق مختلف، cloudflare-ech.com، الذي لا يتطابق مع الموقع المقصود ويتجاوز قاعدة الجدار. يمكن العثور على هذا الحدث عن طريق تصفية عنوان IP للوجهة الخاص بالموقع.

بيئة

• قاعدة جدار الحماية تحجب فئة معينة.
• لا يوجد تفتيش TLS ممكن.

استكشاف مشكلات

يشير وجود اسم النطاق cloudflare-ech.com في الحدث إلى أن بروتوكول Encrypted Client Hello (ECH) مستخدم.

ما هو ECH؟

كما هو موضح في وثائق Cloudflare، يقوم ECH بتشفير أجزاء من حزمة TLS Client Hello، بما في ذلك تظليل Server Name Indication (SNI)، والتي تُستخدم عادةً لإنشاء جلسة TLS. هذا يعني أنه بينما ترى Cato الاتصال بـCloudflare، لا يمكنها تحديد الموقع الإلكتروني المحدد. يجب أن يدعم كل من المتصفح والموقع الإلكتروني ECH حتى يتمكن من العمل.

كيف يعمل ECH

1. توزيع المفتاح العام: تشارك الخوادم مفتاحًا عامًا (ضمن إعدادات ECH) عبر DNS، غالبًا باستخدام بروتوكولات DNS الآمنة مثل DoH (DNS over HTTPS) أو DoT (DNS over TLS). ولكن يمكن أيضًا استخدام DNS غير المشفر عبر UDP. يستخدم العميل هذا المفتاح لتشفير رسالة Client Hello. فيما يلي مثال على رد DNS من نوع HTTPS يحتوي على إعدادات ECH.
   
2. تشفير Client Hello: عند الاتصال، يقوم العميل بتشفير الأجزاء الحساسة من Client Hello، مثل SNI، باستخدام المفتاح العام للخادم. فقط الخادم يمكنه فك تشفير هذه المعلومات. يتم أيضًا إرسال Client Hello خارجي غير مشفر، يعرض معلومات عامة مثل SNI الافتراضي، التي قد لا تظهر الهدف الحقيقي. في المثال أدناه، SNI الافتراضي هو cloudflare-ech.com
   
3. آلية الاسترداد: إذا كان ECH مدعومًا، يعالج الخادم Client Hello مشفرًا وتستمر الاتصال. إذا لم يكن مدعومًا، تعيد الآلية الاستردادية المحاولة لاتصال مع Client Hello غير مشفر، مع الحفاظ على التوافق مع الخوادم TLS 1.3 التقليدية.

حل

لا يدعم Cato حاليًا ECH، لذلك يوصى باستخدام الحلول التالية لإجبار الاسترداد لاتصالات TLS غير المشفرة-SNI بناءً على إعداد شبكتك:

• حجب بروتوكولات DoH وDoT وQUIC في جدار حماية الإنترنت. سيمنع ذلك استخدام بروتوكولات DNS الآمنة لتبادل إعدادات ECH.
  
• اعتمادًا على المتصفح، قد يعود العميل إلى DNS المستند إلى UDP لتبادل إعدادات ECH. إذا كان الأمر كذلك، فقم بتمكين تفتيش TLS للمواقع أو المستخدمين المتأثرين. لا يدعم ECH تقنيات Man-in-the-Middle (MITM)، لذلك ستعود الاتصال لاستخدام SNI غير مشفر.
• كملاذ أخير، احظر النطاق cloudflare-ech.com في جدار حماية الإنترنت. سيجبر هذا المتصفح على العودة إلى SNI غير مشفر، مما يسمح بتطبيق قاعدة الجدار الصحيحة.