TLSi (فحص TLS) - يتم فحص حركة المرور على الرغم من تعطيلها / تجاوزها

القضية

قد تلاحظ أحداثًا حيث يظهر TLSi كأنه مُمكّن رغم أن:

  • تعطيل الفحص العالمي لـ TLS، أو
  • حركة المرور تتبع قاعدة تجاوز TLS، أو
  • نظام التشغيل المصدر هو أحد أنواع أنظمة التشغيل التي يتم تجاوزها افتراضيًا (على سبيل المثال: Android، Linux، نظام تشغيل غير معروف).

هذا السلوك يتم تحديده عادةً في أحداث الأمن/الإنترنت حيث تُظهر تفاصيل الحدث فحص TLS = 1 وفي بعض الأحيان يُقدَّم صفحة حظر أو إشعار أو بوابة محتجزة.

البيئة

قد تكون واحدة أو أكثر من الشروط التالية تنطبق:

  • تعطيل الفحص العمومي لـ TLS أو تجاوزه بواسطة نظام التشغيل (على سبيل المثال: Android، Linux، نظام تشغيل غير معروف)
  • قواعد الجدار الناري مع إجراءات حظر أو إشعار
  • استخدام التحقق عبر بوابة محتجزة
  • الوصول بدون عميل (الوصول عبر المتصفح)
  • تصنيف حركة المرور بأنها عالية الخطورة أو محظورة من قبل ضوابط الأمن النظامية
  • تطبيق معلمات عالمية للفحص لـ TLS لتطبيقات معينة

ملاحظة: قد تعكس أحداث الفحص لـ TLS الفحص المطلوب من النظام للتحكم فرض الأمن أو الضوابط، وليس فقط الفحص الذي تم تكوينه بالسياسة.

فهم السلوك

تحدد إعدادات الفحص لـ TLS الفحص المرتكز على السياسة، ولكن بحاجة إلى بعض التدفقات لحركة المرور إلى فحص مستوى النظام من الطبقة الأمنية لكاتو لكي تعمل بشكل صحيح. في هذه الحالات قد يحدث فحص TLS حتى عند تعطيله أو تجاوزه على مستوى سياسة المستأجر.

وفقًا لاتفاقية خدمات السيد Cato ومتطلبات الأمن والامتثال العالمية، يتم حظر الوصول إلى وجهات ضارة أو خطيرة أو محظورة بشكل افتراضي. لتطبيق هذه الحمايات الأساسية وامتثال المتطلبات التشريعية، قد يقوم كاتو باعتراض وتقييم حركة المرور باستخدام طبقة الأمن الخاصة به. كنتيجة لهذا، قد يتم الإبلاغ عن وظائف الفحص لـ TLS كفعالة لبعض أحداث الحظر على الرغم من تعطيل الفحص لـ TLS الذي تم تكوينه بواسطة العميل.

هذا السلوك متوقع وبطريقة التصميم. لا يشير إلى أن العميل قام بتمكين فحص TLS أو أن قواعد التجاوز قد تم تجاهلها. بدلاً من ذلك، يعكس الضوابط الأمنية اللازمة المطبقة من النظام لتصنيف وحظر حركة المرور عالية الخطورة بدقة مع الحفاظ على أمن النظام والامتثال.

سيتم عرض السلوك السابق في الحدث مع فحص TLS = 1

سيناريوهات يتم فيها فرض الفحص لـ TLS

السيناريو 1: يتم دائماً فحص حركة المرور الخاصة ببوابة محتجزة

يتم التعامل مع حركة المرور المستخدمة لكشف البوابة المحتجزة والتحقق بواسطة قواعد النظام.

يجب أن يقوم بنقاط الحضور بـ:

  • اكتشاف متطلبات التحقق
  • حقن صفحة البوابة المحتجزة
  • إدارة سلوك الوصول مؤقتًا (على سبيل المثال، دائمًا تشغيل التعامل)

لدعم هذا، يتم تمرير حركة المرور دائمًا عبر محرك الفحص لـ TLS، حتى عندما:

  • يتم تجاوز نظام التشغيل المصدر عادةً، أو
  • تم تعطيل فحص TLS للمستأجر أو تجاوزه

هذا السلوك متوقع ولا يشير إلى أنه تم تجاهل سياسة الفحص TLS للمستأجر.

السيناريو 2: يتم دائمًا فحص حركة مرور الوصول بدون عميل (منفذ الوصول عبر المتصفح)

تنشأ حركة المرور لـ الوصول بدون عميل (منفذ الوصول عبر المتصفح) من الإنترنت العام وتدخل سحابة كاتو كحركة مرور واردة غير موثوقة.

لأسباب أمنية:

  • هذه الحركة يتم فحصها دائمًا بواسطة قواعد النظام، بما في ذلك الفحص لـ TLS
  • لا تنطبق تكوينات فحص TLS للمستأجر على هذه التدفقات

كنتيجة لهذا، قد تُظهر الأحداث المتعلقة بالوصول عبر المتصفح فحص TLS = 1 حتى عندما:

  • تم تعطيل الفحص العالمي لـ TLS، أو
  • سيتم وصول الوجهة نفسها عادةً بواسطة تجاوز حركة المرور للمستخدم عبر عميل SDP

السيناريو 3: قواعد الجدار الناري مع إجراءات الحظر أو الإشعار

تتطلب قواعد الجدار الناري التي تم تكوينها لحركة مرور HTTPS مع إجراءات الحظر أو الإشعار الفحص لـ TLS لـ:

  • تصنيف حركة المرور المشفرة بدقة
  • حقن صفحات الحظر أو الإشعار مرة أخرى إلى المستخدم

هذا الإنهاء لـ TLS يتم بواسطة قواعد النظام وليس بواسطة سياسة الفحص TLS للمستأجر.

لذلك، قد تُظهر الأحداث للمدولات التي تتطابق مع قواعد الحظر أو الإشعار فحص TLS = 1 حتى عندما:

  • تم تعطيل الفحص لـ TLS عالميًا، أو
  • تنطبق قاعدة تجاوز TLS على الوجهة

هذا السلوك مطلوب لفرض إجراءات الحظر/الإشعار لحركة مرور HTTPS بشكل صحيح.

(انظر أيضاً: الوصول إلى موقع غير موثوق محجوب حتى رغم تعطيل الفحص TLS.)

السيناريو 4: سياسات الفحص العالمي لـ TLS لتطبيقات محددة

بالإضافة إلى قواعد الفحص TLS التي يحددها المستأجر، يطبق كاتو سياسات الفحص العالمي لـ TLS لتطبيقات معينة مثل Dropbox وWhatsApp.

يتم استخدام هذه السياسات لـ:

  • ضمان أمن متسق وإنفاذ CASB
  • التعامل مع تثبيت الشهادة والسلوك الخاص بالتطبيق

كنتيجة لهذا، قد يتم فحص الحركة لتطبيقات معينة حتى عندما:

  • تم تعطيل فحص TLS في سياسة المستأجر، أو
  • سيتم تجاوز نظام التشغيل المصدر عادةً

في الأحداث، يظهر هذا كـ فحص TLS = 1 على الرغم من عدم وجود قواعد الفحص TLS للمستأجر مرئية.

هذا السلوك متوقع ومدفوع بسياسات الأمن العالمية لكاتو.

متى يتم التحقيق بشكل أعمق

إذا لوحظت مشاكل في الأداء (على سبيل المثال، بطء أوقات تحميل التطبيقات) وتوفير تجاوز كاتو أداءً أفضل، قد تكون بيانات إضافية مطلوبة لدعم التحقيق لذا يرجى التأكد من توفير ما يلي:

  • ما هو تأثير الأداء؟ هل هو وقت تحميل البيانات أو مشاكل في تحميل المحتوى نفسه؟ 
  • ملف HAR من متصفح العميل
  • قدم SSS لدعم التحقق

 

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات