وفقًا لجوجل، يتم تقديم أكثر من 70٪ من جميع صفحات الويب في عام 2019 عبر HTTPS، وهو بروتوكول نقل النصوص التشعبية الآمن. HTTP هو البروتوكول الذي تستخدمه متصفحات الويب وخوادم الويب لتبادل البيانات، و“S” في نهاية HTTPS تعني أن البيانات مشفرة بواسطة TLS، أمان طبقة النقل. TLS ممتاز في توفير الخصوصية وسرية البيانات، وهو السبب في اعتماده بشكل واسع عبر الإنترنت.
للأسف، فإن ضمان الخصوصية والسرية لا ينطبق فقط على حركة المرور الشرعية. يمكن أن تختبئ البرمجيات الخبيثة والتهديدات بشكل جيد على مواقع HTTPS مثل مواقع HTTP. مع تزايد شعبية HTTPS، ليس من المستغرب أن الباحثين الأمنيين يجدون المزيد والمزيد من التهديدات الخبيثة على مواقع HTTPS. لتفاقم الأمور، تجعل HTTPS محركات مضادات الفيروسات وIPS أقل فعالية لأنها لا تستطيع فحص التهديدات في حركة المرور المشفرة TLS.
عندما يتم تمكين فحص TLS، يعمل Cato PoP كوسيط بين متصفح الويب وخادم الويب:
-
يقوم PoP بفك تشفير حركة مرور TLS التي يتلقاها من العميل أو الخادم.
-
يقوم PoP بفحص حركة المرور المفككة باستخدام محركات مضادات البرمجيات الخبيثة وIPS.
-
يقوم PoP بتشفير حركة المرور مرة أخرى.
-
يرسل PoP الحزم المشفرة إلى الوجهة.
يحمي فحص TLS بالتعاون مع مضادات البرمجيات الخبيثة وIPS شبكتك من التهديدات الخبيثة المشفرة وغير المشفرة. إذا كنت تستخدم حماية التهديدات بدون فحص TLS، فإن شبكتك معرضة للهجوم من المصادر المشفرة. لذلك، نوصي بشدة بتمكين فحص TLS إذا كنت تستخدم مضادات البرمجيات الخبيثة أو IPS.
يشرح هذا الدليل لك كيفية نشر فحص TLS تدريجيًا. ابدأ بتمكين فحص TLS لعدد قليل من المستخدمين وشاهد كيف يعمل بالنسبة لهم. ثم يمكنك تمكين الميزة للحساب بأكمله.
لمزيد من المعلومات حول شهادة Cato، انظر تثبيت شهادة الجذر لفحص TLS.
تمكين فحص TLS لمجموعة صغيرة من المستخدمين يتيح لك إجراء اختبار والقبض على أي مشاكل في تثبيت الشهادة أو توافق الموقع قبل تمكين الميزة لجميع المستخدمين النهائيين لديك. يمكن أن تكون قاعدة اختبارك كبيرة مثل موقع أو صغيرة مثل جهاز كمبيوتر فردي. يمكنك اختيار تمكين فحص TLS على ما يلي:
-
المواقع
-
الشبكات داخل موقع
-
مستخدمو VPN
-
أجهزة الكمبيوتر الفردية (المضيفون)
-
أي مجموعة من الخيارات أعلاه
يجب إجراء الاختبار على كل جهاز ونظام تشغيل تستخدمه منظمتك. يجب أن يقوم مستخدمو الاختبار بتنفيذ الأنشطة التجارية العادية وتقديم تقارير عن جميع الشذوذ إلى مدير الشبكة أو النظام للتحقيق الإضافي.
عند تمكين فحص TLS، تكون السياسة الخارجية هي فحص جميع حركة مرور HTTPS افتراضيًا. لإجراء الاختبارات على مستخدمين محددين فقط، يجب أولاً تكوين قاعدة تجاوز مع تعريف المصدر على أنه أيًا. ثم قم بإنشاء قاعدة تفتيش بأولوية أعلى وأضف مستخدمي الاختبار إلى حقل المصدر. هذا مثال على سياسة فحص TLS لاختبار مستخدمين محددين:
لمزيد من المعلومات حول تمكين سياسة فحص TLS لمستخدمي الاختبار، انظر تكوين سياسة فحص TLS للحساب.
تظهر المتصفحات الحديثة رمز القفل في شريط عنوان URL إذا كان الموقع مشفرًا بواسطة TLS. يكشف النقر على رمز القفل عن خيار يتيح لك رؤية تفاصيل الشهادة، بما في ذلك CA الجذر. يكون فحص TLS نشطًا عندما ترى Cato Networks يتبعها اسم PoP كجهة إصدار أو محقق للشهادة.
لمزيد من المعلومات حول تثبيت CA الجذر، انظر اختبار فحص TLS في سحابة Cato.
أثناء الاختبار، قد تجد أن بعض المواقع أو التطبيقات لا تعمل مع تمكين فحص TLS. يمكنك إعفاء مجالات الوجهة وعناوين IP وحتى فئات URL كاملة من فحص TLS عن طريق إنشاء قاعدة جديدة بإجراء تجاوز في سياسة فحص TLS. قد تحتاج إلى إضافة موقع إلى الوجهات الموثوقة لأحد الأسباب التالية:
-
تثبيت الشهادة: يطلب الخادم من العميل التحقق من المفتاح العام الذي يتلقاه من الخادم باستخدام هاش المفتاح العام الصحيح. يؤدي هذا إلى زيادة طريقة الرجل في الوسط المستخدمة بواسطة فحص TLS نظرًا لأن المفتاح العام المرسل إلى العميل من PoP لا يتطابق مع الهاش.
-
مصادقة العميل: يطلب خادم الويب من العميل أن يصادق نفسه بشهادة عميل. يفشل فحص TLS لأن PoP ليس لديه شهادة العميل.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.