تتناول هذه المقالة كيفية تكوين وتخصيص سياسة فحص TLS لتلبية الاحتياجات المحددة لشبكتك.
اليوم، معظم حركة مرور الشبكة مشفرة (TLS, HTTPS)، مما يقلل غالبًا من الاستفادة عند فحص الحركة باستخدام IPS، جدار الحماية الإلكتروني، سياسة التحكم بالتطبيقات، وحركة المرور لمكافحة البرمجيات الضارة. إذا كانت الحركة تحتوي على محتوى ضار، فإنها تكون مشفرة أيضًا ولا يمكن لمحركات الأمان Cato فحصها أو فحصها.
عندما تقوم بتمكين فحص TLS لحسابك، يفك تشفير حركة المرور بفعالية عند مرورها عبر PoP وتفحص محركات الأمان Cato الحركة بحثًا عن البرمجيات الضارة وتفحص الملفات المحملة. إذا تأكد أن محتوى الحركة آمن، يعيد تشفير Cato الحركة ويحولها إلى الوجهة المطلوبة. ومع ذلك، إذا كان المحتوى يحتوي على برمجيات ضارة أو مشتبه بها، فإن محركات الأمان Cato تحظر الحركة.
يمكنك اختيار استخدام سياسة Cato الافتراضية التي تفحص كل الحركة. يمكنك أيضًا إنشاء قواعد فحص TLS محددة تُحدد أي حركة تُفحص وأي حركة تتجاوز فحص TLS.
ملاحظة
ملحوظة: افتراضيًا، يتم تجاوز فحص TLS لأنظمة التشغيل التالية:
- أندرويد (بسبب مشاكل تتعلق بتثبيت الشهادات)
- لينكس
- أنظمة التشغيل غير المعروفة
تتضمن Cato عدة تطبيقات في قاعدة تجاوز دائم يتم استبعادها تلقائيًا من فحص TLS. لقائمة هذه التطبيقات، انظر أدناه قواعد تجاوز الافتراضية.
من المتوقع حدوث بعض التأخير الأولي عند الاتصال بسبب عمليات المصافحة TCP وTLS التي تحدث قبل تدفق البيانات إلى الشبكة المناسبة أو محرك الأمان في PoP. يبلغ هذا التأخير حتى 10 ميلي ثانية لكل حزمة.
يقوم محرك فحص TLS بفحص الاتصالات بشكل تسلسلي، ويتحقق مما إذا كانت الاتصال تطابق قاعدة. القاعدة النهائية في قاعدة القواعد هي قاعدة افتراضية ض隐 - ض隐 فحص - لذلك إذا لم تطابق الاتصال قاعدة، يتم فحصه تلقائيًا.
يمكنك مراجعة إعدادات القاعدة الافتراضية في قسم القواعد الافتراضية بنهاية قاعدة القواعد. لا يمكن تعديل إعدادات القواعد إلا بإستثناء إجراء شهادة الخادم غير الموثوق بها. لمزيد من المعلومات حول إجراء شهادة الخادم غير الموثوق بها، انظر أدناه إضافة قواعد لتخصيص سياسة فحص TLS.
القواعد التي تكون في الجزء العلوي من قاعدة القواعد لها أولوية أعلى لأنها تُطبق على الاتصالات قبل القواعد الأقل في قاعدة القواعد. على سبيل المثال، إذا تطابقت الاتصال مع القاعدة #2، يتم تطبيق الإجراء لهذه القاعدة على الاتصال وتوقف محرك فحص TLS عن تطبيق السياسة على الاتصال. وهذا يعني أن القواعد #3 وما أدناها لا تُطبق على الاتصال.
تسمح سياسة فحص TLS لمختلف المسؤولين بتعديل السياسة بالتوازي. يمكن لكل مسؤول تعديل القواعد وحفظ التغييرات في قاعدة القواعد في المراجعة الخاصة به، ثم نشرها على سياسة الحساب (المراجعة المنشورة). للمزيد من المعلومات عن كيفية إدارة المراجعات السياسة، انظر العمل مع مراجعات السياسة.
العمل مع معالج تكوين فحص TLS
يقوم المعالج تكوين فحص TLS بمراجعة سياستك بشكل مستقل باستخدام هذه الفحوصات والرؤى. عندما يفشل فحص، يمكنك مراجعة وتحديث سياستك مباشرة في المعالج دون تعديل قواعد فردية. هذا يساعدك على البقاء آمنًا بينما يُبسط إدارة السياسة. للمزيد من المعلومات، انظر استخدام لوحة تحكم الجهاز.
استخدم صفحة سياسة فحص TLS لتكوين سياسة فحص TLS لجميع الحركة المرورية في حسابك.
التعامل مع عناصر متعددة
عندما يكون هناك عناصر متعددة في حقل المصدر، أو حقل ما، مثل مجموعتين أو فئتين، فهناك علاقة OR بين هذه العناصر.
تثبيت شهادة جذر Cato على أجهزة المستخدم
يجب تثبيت شهادة جذر Cato كشهادة موثوقة على كل جهاز وحاسوب يتصل بـ Cato Cloud. للمزيد من المعلومات حول تثبيت شهادة Cato، انظر تثبيت شهادة الجذر لفحص TLS.
- لا يمكن تثبيت شهادة Cato على معظم أنظمة التشغيل المضمنة (OS)، لذلك تفقد العديد من الأجهزة التي تستخدم أنظمة تشغيل مضمنة الاتصال عند تمكين فحص TLS. لمزيد من المعلومات حول نظام التشغيل الذي يدعمه Cato لفحص TLS، انظر أفضل الممارسات لفحص TLS.
بشكل افتراضي، يتم السماح بجميع إصدارات TLS وأطقم التشفير. لحجب إصدارات TLS القديمة وغير الآمنة أو لمنع استخدام أطقم التشفير الضعيفة في الحركة المشفرة، يمكن لسياسة فحص TLS فرض الحد الأدنى لإصدارات بروتوكول TLS وقوة أطقم التشفير لحركة الحساب.
يتم تقسيم خيارات تكوين أطقم التشفير إلى ثلاثة مستويات، بناءً على إعدادات Mozilla الموصى بها. بعض إصدارات TLS غير متوافقة مع مستويات معينة. للمزيد من المعلومات وقائمة مجموعات الشفرات في كل مستوى، انظر توثیق Mozilla.
QUIC و GQUIC هما بروتوكولات نقل طورتها Google ولا تعمل عبر الاتصالات TCP، ولا يمكن فحص الحركة باستخدام هذه البروتوكولات بواسطة خدمة فحص TLS. لذلك نوصي بأن تقوم الحسابات التي تقوم بتمكين فحص TLS بحظر حركة QUIC و GQUIC باستخدام قواعد جدار الحماية الإنترنت. القواعد التي تحظر هذه الحركة تجبر التدفقات على الاتصال فقط باستخدام بروتوكولات يمكن فحصها بواسطة خدمة فحص TLS. إذا سمحت بحركة المرور باستخدام بروتوكولات QUIC و GQUIC، فلن يتم فحص التدفقات وسيتم حظرها بلا داعي.
في المرة الأولى لتمكين سياسة فحص TLS، يتم إضافة قواعد لحظر حركة QUIC و GQUIC تلقائيًا إلى سياسة جدار الحماية الإنترنت. إذا كانت سياسة جدار الحماية الإنترنت تحظر بالفعل حركة QUIC بحيث يمكن فحصها بشكل صحيح، فلن يتم إضافة قواعد جديدة.
للمزيد من المعلومات حول حركة المرور QUIC وGQUIC، انظر .
عند تكوين سياسة فحص TLS، يمكنك تمكين سياسة فحص Cato TLS الافتراضية أو تخصيص السياسة بإضافة قواعدك الخاصة.
السياسة الافتراضية لفحص TLS من Cato تفحص جميع الحركة (باستثناء التطبيقات التي تم تجاوزها تلقائيًا). يمكنك استخدام السياسة الافتراضية بتمكين فحص TLS ولا حاجة لإضافة أي قواعد للسياسة.
يوجد قاعدة ضمنية نهائية تطابق جميع الحركة باستخدام إجراء فحص.
يمكنك تخصيص سياسة فحص TLS لتفحص أنواع الحركة المحددة حسب احتياجات مؤسستك. أضف قواعد إلى السياسة بإجراءات فحص وتجاوز لتحديد أي حركة تُفك شيفرتها وتفحص.
- Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
- قم بإنشاء قواعد بإجراء تجاوز لاستبعاد حركة المرور المحددة من محركات فحص TLS الخاصة بـCato. على سبيل المثال، يمكنك إضافة قاعدة تجاوز لتطبيق RingCentral لاستبعاد حركة مرور RingCentral من فحص TLS.
عند إنشاء القواعد، استخدم المصدر وما لتحديد نطاق حركة TLS والإجراء لتكوين ما إذا كانت القاعدة تفحص أو تتجاوز الحركة. تأكد من أن قاعدة التجاوز لها أولوية أعلى (أقرب إلى أعلى قاعدة القواعد) من قاعدة الفحص التي تطابق نفس الحركة. الحركة التي تطابق قاعدة تجاوز فحص TLS تُستثنى أيضًا من عمليات المسح الأمني بواسطة محركات البرامج الضارة.
عند تكوين قاعدة بإجراء فحص، يجب أيضًا تحديد السلوك لكيفية تعامل القاعدة مع شهادات الخادم غير الموثوق بها.
هذه هي الخيارات لهذا الإعداد:
- سماح - يُسمح للحركة بالوصول إلى الموقع بشهادة غير موثوق بها، وتُفحص (هذا هو الإعداد الافتراضي).
- تحذير - يتم عرض تحذير للمستخدمين يطلب منهم تأكيد رغبتهم في الاستمرار والذهاب إلى الموقع بشهادة غير موثوق بها. إذا استمر المستخدم في الذهاب إلى الموقع، تُفحص الحركة
- حظر - تُحظر الحركة إلى الموقع بشهادة غير موثوق بها
ملاحظة
ملاحظة: بالنسبة للتطبيقات التي تستخدم تثبيت الشهادات لمنع فحص TLS، أضفها إلى قاعدة التجاوز لتعمل بشكل صحيح للمستخدمين النهائيين.
لإضافة قواعد إلى سياسة فحص TLS:
- من قائمة التنقل، انقر على الأمان > فحص TLS.
- انقر على جديد.
- ادخل اسم للقاعدة.
-
استخدم مفتاح التمكين المُمَكن لتمكين أو تعطيل القاعدة.
التبديل أخضر
عند التفعيل.
- قم بتكوين ترتيب القاعدة لهذه القاعدة.
-
قم بتوسيع المصدر واختر نوع المصدر.
- اختر النوع (مثال: المضيف، واجهة الشبكة، IP، أي). القيمة الافتراضية هي أي.
- عند الحاجة، اختر كائنًا محددًا من القائمة المنسدلة لذلك النوع.
-
في قسم المعايير، قم بتكوين المنصات، البلدان، ملفات تعريف وضعية الجهاز ، ومصدر الاتصال المطلوب لمطابقة هذه القاعدة.
للمزيد من المعلومات حول شروط الأجهزة، انظر إضافة شروط الجهاز لفحص TLS.
- تعريف الوجهة التي تنطبق عليها القاعدة. على سبيل المثال، خدمة، تطبيق، فئة مخصصة أو محددة مسبقًا.
-
اختر الحد الأدنى من إصدارات TLS وأطقم التشفير.
ملحوظة: بعض إصدارات TLS غير متوافقة مع مستويات أطقم التشفير. للمزيد من المعلومات، انظر فرض إصدارات TLS ومجموعات الشفرات
-
قم بتكوين الإجراء باختيار فحص أو تجاوز.
- إذا اخترت فحص، من الشهادات الخادعة غير الموثوق بها القائمة المنسدلة، اختر الإجراء للحركة التي تحتوي على شهادات مشكلة: سماح، حظر، أو تحذير. القيمة الافتراضية هي سماح.
- انقر تطبيق.
- انقر حفظ. يتم حفظ قاعدة فحص TLS في قاعدة القواعد.
تدير Cato قواعد تفتيش TLS الافتراضية التي تتجاوز تطبيقات وأنظمة تشغيل وعملاء محددة قد تسبب مشاكل. تتموضع هذه القواعد في الجزء العلوي من القاعدة ولا يمكن تحريرها. لمساعدتك في التخطيط واتخاذ القرارات بشأن سياسة تفتيش TLS، يمكنك عرض الإعدادات لهذه القواعد في قسم قواعد التجاوز الافتراضية.
عندما تكون هناك عناصر متعددة في حقل ما، مثل تطبيق و FQDN، هناك علاقة AND بين هذه العناصر.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.