تتناول هذه المقالة كيفية تكوين وتخصيص سياسة فحص TLS لتلبية الاحتياجات المحددة لشبكتك.
اليوم يتم تشفير معظم حركة مرور الشبكة (TLS، HTTPS)، مما يقلل غالبًا من فائدة مسح الحركة باستخدام IPS، جدار الحماية الإنترنت، سياسة التحكم بالتطبيق، وحركة المرور المضادة للبرامج الضارة. إذا كانت حركة المرور تحتوي على محتوى ضار، فسيكون مشفرًا أيضًا ولا يمكن لمحركات الأمان في Cato فحصه أو مسحه.
عند تمكين فحص TLS لحسابك، يقوم Cato بفك تشفير الحركة بأمان التي تمر عبر PoP وتفحصها محركات الأمان الخاصة بـCato للبرامج الضارة وتفحص الملفات التي تم تنزيلها. إذا كان محتوى حركة المرور مؤكدًا بأنه آمن، يقوم Cato بإعادة تشفير الحركة وتوجيهها إلى الوجهة. ومع ذلك، إذا كان المحتوى يحتوي على برامج ضارة فعلية أو مشتبه بها، تقوم محركات الأمان في Cato بحظر الحركة.
يمكنك اختيار استخدام سياسة Cato الافتراضية التي تفحص جميع الحركات. يمكنك أيضًا إنشاء قواعد فحص TLS محددة تحدد أي حركة يتم فحصها وأي حركة تتجاوز فحص TLS.
ملاحظة
ملاحظة: بشكل افتراضي، يتم تجاوز فحص TLS لأنظمة التشغيل التالية:
-
Android (بسبب المشكلات المتعلقة بتثبيت الشهادات)
-
Linux
-
أنظمة التشغيل غير المعروفة
يتضمن Cato عدة تطبيقات في قاعدة تجاوز ضمنية يتم استثناؤها تلقائيًا من فحص TLS. For a list of these applications, see below Default Bypass Rules.
Some minimal latency is expected at the initial connection due to the TCP and TLS handshakes that occur before data can flow to the appropriate network or security engine in the PoP. يصل هذا التأخير إلى 10 مللي ثانية لكل حزمة.
يقوم محرك فحص TLS بفحص الاتصالات بالتتابع، ويفحص ما إذا كان الاتصال يطابق قاعدة. القاعدة النهائية في قاعدة القواعد هي قاعدة فحص ضمنية افتراضية - لذلك إذا لم يطابق اتصال قاعدة، يتم فحصه تلقائيًا.
يمكنك مراجعة إعدادات القاعدة الافتراضية في قسم القواعد الافتراضية في نهاية قاعدة القواعد. لا يمكن تعديل إعدادات القواعد باستثناء إجراء شهادة الخادم غير الموثوق به. For more about the Untrusted Server Certificate action, see below Adding Rules to Customize the TLS Inspection Policy.
القواعد الموجودة في أعلى قاعدة القواعد لها أولوية أعلى لأنها تُطبَّق على الاتصالات قبل القواعد الأدنى في قاعدة القواعد. على سبيل المثال، إذا كان الاتصال يطابق القاعدة #2، فإن الإجراء لهذه القاعدة يتم تطبيقه على الاتصال ويتوقف محرك فحص TLS عن تطبيق السياسة على هذا الاتصال. هذا يعني أن القواعد #3 وما بعدها لا تُطبَّق على الاتصال.
تتيح سياسة فحص TLS للمسؤولين المختلفين تحرير السياسة بالتوازي. يمكن لكل مسؤول تحرير القواعد وحفظ التغييرات في قاعدة القواعد في إصدار خاص به ثم نشرها في سياسة الحساب (الإصدار المنشور). لمزيد من المعلومات حول كيفية إدارة تنقيحات السياسات، انظر العمل مع تنقيحات السياسات.
استخدم صفحة سياسة فحص TLS لتكوين سياسة فحص TLS لجميع الحركة المرورية في حسابك.
التعامل مع عناصر متعددة
عندما يكون هناك عناصر متعددة في حقل المصدر، أو حقل ما، مثل مجموعتين أو فئتين، فهناك علاقة OR بين هذه العناصر.
تثبيت شهادة جذر Cato على أجهزة المستخدم
يجب تثبيت شهادة جذر Cato كشهادة موثوقة على كل جهاز وحاسوب يتصل بـ Cato Cloud. For more information about installing the Cato certificate, see Installing the Root Certificate for TLS Inspection.
-
لا يمكن تثبيت شهادة Cato على معظم أنظمة التشغيل المضمنة (OS)، لذلك تفقد العديد من الأجهزة التي تستخدم أنظمة تشغيل مضمنة الاتصال عند تمكين فحص TLS. For more about which OS Cato supports for TLS Inspection, see Best Practices for TLS Inspection.
بشكل افتراضي، يتم السماح بجميع إصدارات TLS وأطقم التشفير. لحجب إصدارات TLS القديمة وغير الآمنة أو لمنع استخدام أطقم التشفير الضعيفة في الحركة المشفرة، يمكن لسياسة فحص TLS فرض الحد الأدنى لإصدارات بروتوكول TLS وقوة أطقم التشفير لحركة الحساب.
يتم تقسيم خيارات تكوين أطقم التشفير إلى ثلاثة مستويات، بناءً على إعدادات Mozilla الموصى بها. بعض إصدارات TLS غير متوافقة مع مستويات معينة. لمزيد من المعلومات وقائمة أطقم التشفير في كل مستوى، انظر وثائق Mozilla.
QUIC و GQUIC هما بروتوكولات نقل طورتها Google ولا تعمل عبر الاتصالات TCP، ولا يمكن فحص الحركة باستخدام هذه البروتوكولات بواسطة خدمة فحص TLS. لذلك نوصي بأن تقوم الحسابات التي تقوم بتمكين فحص TLS بحظر حركة QUIC و GQUIC باستخدام قواعد جدار الحماية الإنترنت. القواعد التي تحظر هذه الحركة تجبر التدفقات على الاتصال فقط باستخدام بروتوكولات يمكن فحصها بواسطة خدمة فحص TLS. إذا سمحت بحركة المرور باستخدام بروتوكولات QUIC و GQUIC، فلن يتم فحص التدفقات وسيتم حظرها بلا داعي.
في المرة الأولى لتمكين سياسة فحص TLS، يتم إضافة قواعد لحظر حركة QUIC و GQUIC تلقائيًا إلى سياسة جدار الحماية الإنترنت. إذا كانت سياسة جدار الحماية الإنترنت تحظر بالفعل حركة QUIC بحيث يمكن فحصها بشكل صحيح، فلن يتم إضافة قواعد جديدة.
For more about QUIC and GQUIC traffic, see Internet and WAN Firewall Policies – Best Practices.
عند تكوين سياسة فحص TLS، يمكنك تمكين سياسة فحص Cato TLS الافتراضية أو تخصيص السياسة بإضافة قواعدك الخاصة.
السياسة الافتراضية لفحص TLS من Cato تفحص جميع الحركة (باستثناء التطبيقات التي تم تجاوزها تلقائيًا). يمكنك استخدام السياسة الافتراضية بتمكين فحص TLS ولا حاجة لإضافة أي قواعد للسياسة.
يوجد قاعدة ضمنية نهائية تطابق جميع الحركة باستخدام إجراء فحص.
يمكنك تخصيص سياسة فحص TLS لتفحص أنواع الحركة المحددة حسب احتياجات مؤسستك. أضف قواعد إلى السياسة بإجراءات فحص وتجاوز لتحديد أي حركة تُفك شيفرتها وتفحص.
-
Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
-
قم بإنشاء قواعد بإجراء تجاوز لاستبعاد حركة المرور المحددة من محركات فحص TLS الخاصة بـCato. على سبيل المثال، يمكنك إضافة قاعدة تجاوز لتطبيق RingCentral لاستبعاد حركة مرور RingCentral من فحص TLS.
عند إنشاء القواعد، استخدم المصدر وما لتحديد نطاق حركة TLS والإجراء لتكوين ما إذا كانت القاعدة تفحص أو تتجاوز الحركة. تأكد من أن قاعدة التجاوز لها أولوية أعلى (أقرب إلى أعلى قاعدة القواعد) من قاعدة الفحص التي تطابق نفس الحركة. الحركة التي تطابق قاعدة تجاوز فحص TLS تُستثنى أيضًا من عمليات المسح الأمني بواسطة محركات البرامج الضارة.
عند تكوين قاعدة بإجراء فحص، يجب أيضًا تحديد السلوك لكيفية تعامل القاعدة مع شهادات الخادم غير الموثوق بها.
هذه هي الخيارات لهذا الإعداد:
-
سماح - يُسمح للحركة بالوصول إلى الموقع بشهادة غير موثوق بها، وتُفحص (هذا هو الإعداد الافتراضي).
-
تحذير - يتم عرض تحذير للمستخدمين يطلب منهم تأكيد رغبتهم في الاستمرار والذهاب إلى الموقع بشهادة غير موثوق بها. إذا استمر المستخدم في الذهاب إلى الموقع، تُفحص الحركة
-
حظر - تُحظر الحركة إلى الموقع بشهادة غير موثوق بها
Note
ملاحظة: بالنسبة للتطبيقات التي تستخدم تثبيت الشهادات لمنع فحص TLS، أضفها إلى قاعدة التجاوز لتعمل بشكل صحيح للمستخدمين النهائيين.
لإضافة قواعد إلى سياسة فحص TLS:
-
من قائمة التنقل، انقر على الأمان > فحص TLS.
-
انقر على جديد.
-
ادخل اسم للقاعدة.
-
استخدم مفتاح التمكين المُمَكن لتمكين أو تعطيل القاعدة.
المفتاح تبديل أخضر
عند التمكين.
-
قم بتكوين ترتيب القاعدة لهذه القاعدة.
-
قم بتوسيع المصدر واختر نوع المصدر.
-
اختر النوع (مثال: المضيف، واجهة الشبكة، IP، أي). القيمة الافتراضية هي أي.
-
عند الحاجة، اختر كائنًا محددًا من القائمة المنسدلة لذلك النوع.
-
-
في قسم المعايير، قم بتكوين المنصات، البلدان، ملفات تعريف وضعية الجهاز ، ومصدر الاتصال المطلوب لمطابقة هذه القاعدة.
For more about Device Conditions, see Adding Device Conditions for TLS Inspection.
-
تعريف الوجهة التي تنطبق عليها القاعدة. على سبيل المثال، خدمة، تطبيق، فئة مخصصة أو محددة مسبقًا.
-
اختر الحد الأدنى من إصدارات TLS وأطقم التشفير.
ملحوظة: بعض إصدارات TLS غير متوافقة مع مستويات أطقم التشفير. لمزيد من المعلومات، انظر تطبيق إصدارات TLS وأطقم التشفير
-
قم بتكوين الإجراء باختيار فحص أو تجاوز.
-
إذا اخترت فحص، من الشهادات الخادعة غير الموثوق بها القائمة المنسدلة، اختر الإجراء للحركة التي تحتوي على شهادات مشكلة: سماح، حظر، أو تحذير. القيمة الافتراضية هي سماح.
-
-
انقر تطبيق.
-
انقر حفظ. يتم حفظ قاعدة فحص TLS في قاعدة القواعد.
يدير Cato قواعد فحص TLS الافتراضية التي تتجاوز التطبيقات وأنظمة التشغيل والعملاء المحددين التي قد تسبب مشاكل. توضع هذه القواعد في أعلى قاعدة القواعد ولا يمكن تعديلها. لمساعدتك في التخطيط واتخاذ القرارات لسياسة فحص TLS، يمكنك عرض إعدادات هذه القواعد في قسم قواعد التجاوز الافتراضية.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.