নেটওয়ার্ক স্ক্যানার রিপোর্টগুলি অপ্রত্যাশিত ওপেন TCP পোর্টস

সমস্যা

একটি নেটওয়ার্ক স্ক্যানার সাইটগুলির মধ্যে WAN-এ খোলা TCP পোর্টগুলি আবিষ্কার করেছে, যা অপ্রাপ্ত অভ্যন্তরীণ হোস্টগুলিতে রিপোর্ট করছে।

পরিবেশ

• সাইটগুলির মধ্যে অনুমোদিত বা ব্লকড TCP সংযোগ সমূহ।
• অ্যাকাউন্ট বা সাইট স্তরে SYN-এ WAN ট্রাফিকের জন্য TCP ত্বরণ চালু করা হয়েছে

সমস্যার সমাধান

Cato TCP ত্বরণ এবং সর্বোত্তম অনুশীলনসমূহ সম্পর্কে উল্লেখ করা হয়েছে যে সাইটগুলির মধ্যে TCP সংযোগগুলি TCP প্রক্সি দ্বারা প্রভাবিত হতে পারে। বিধান TCP সংযোগটি WAN ফায়ারওয়াল দ্বারা অনুমোদিত বা ব্লকড এবং সংশ্লিষ্ট TCP প্রক্সি মোডের উপর নির্ভর করবে।

TCP সংযোগ অনুমোদিত বা ব্লকড ছিল কিনা নির্ধারণের জন্য CMA ইভেন্টগুলি পর্যালোচনা করুন।

অনুমোদিত TCP সংযোগ

Cato Cloud এর উপরে WAN ট্রাফিক দুটি উপলব্ধ TCP প্রক্সি মোডের সাথে পরিচালিত হয় যা উন্নত কনফিগারেশন পৃষ্ঠায় TCP Acceleration on SYN for WAN Traffic সেটিংসে দ্বারা নিয়ন্ত্রিত হয় (সমাধান বিভাগে আরো)।

এই মোডটি প্রতিটি সংযোগের জন্য প্রথম SYN প্যাকেট প্রাপ্ত হওয়ার পর TCP প্রক্সি অবিলম্বে শুরু করে। এটি সমস্ত ট্রাফিকের উপর TCP প্রক্সি প্রয়োগ করে, ত্বরণ সেটিংস বিবেচনা করে না।
ফলস্বরূপ, এমনকি যদি গন্তব্য IP SYN-ACK দিয়ে প্রতিক্রিয়া না করে, PoP নেটওয়ার্ক স্ক্যানারের সঙ্গে 3-ওয়ে হ্যান্ডশেক সম্পন্ন করে। এর ফলে ভুল ইতিবাচক পরিস্থিতি হতে পারে, যেখানে স্ক্যানার অপ্রাপ্ত হোস্টগুলিতে খোলা TCP পোর্টগুলি রিপোর্ট করে।

মূল WAN TCP আলাপ চুক্তি সংরক্ষণ এবং TCP প্রক্সি বিলম্বিত করা

এই মোডে, TCP প্রক্সি গন্তব্য IP এর সাথে TCP হ্যান্ডশেক সম্পূর্ণ হওয়ার পরে বিলম্বিত হয়। ত্বরণ সেটিংসের ওপর নির্ভর না করে TCP প্রক্সি প্রয়োগ করা হয় না।

গন্তব্য IP SYN-ACK দিয়ে প্রতিক্রিয়া জানালে কেবল স্ক্যানারের সঙ্গে 3-ওয়ে হ্যান্ডশেক ঘটে।

TCP প্রক্সি মোড শনাক্তকরণ

WAN ফায়ারওয়াল ইভেন্টগুলি মাধ্যমে সচল TCP প্রক্সি মোড সরাসরি শনাক্ত করা যেতে পারে। 'TCP ত্বরণ = 1' এর অর্থ সম্পূর্ণ WAN TCP Proxy চালু হয়েছে।

নভেম্বর 2023 থেকে, সম্পূর্ণ WAN TCP Proxy নতুন অ্যাকাউন্টের জন্য ডিফল্ট মোড। এই তারিখের আগে তৈরি অ্যাকাউন্টগুলির জন্য, মূল WAN TCP আলাপ চুক্তি সংরক্ষণ ডিফল্ট মোড।

ব্লকড TCP সংযোগসমূহ

অবরুদ্ধ WAN ট্রাফিকের উপর Cato ক্লাউড "পূর্ণ WAN TCP প্রক্সি মোড ব্যবহার করবে, যেটি PoP নেটওয়ার্ক স্ক্যানারের সাথে ৩-ভাব হ্যান্ডশেক সম্পন্ন করে, কিন্তু কোন SYN প্যাকেট গন্তব্যস্থলে পাঠায় না। এই পদ্ধতিটি উৎসকে একটি ব্লক করা পৃষ্ঠা বিতরণ করতে ব্যবহৃত হয়।

সমাধান

অনুমোদিত TCP সংযোগের জন্য

প্রশাসকগণ WAN TCP প্রক্সি মোড সংশোধন করতে পারেন উন্নত কনফিগারেশন পৃষ্ঠায় WAN ট্রাফিকের জন্য SYN-এ TCP ত্বরান্বিতকরণ সেটিং সামঞ্জস্য করে, যা অ্যাকাউন্ট এবং সাইট স্তরে প্রযোজ্য।

• চালু - পূর্ণ WAN TCP প্রক্সি।
• বন্ধ/নিষ্ক্রিয় - মূল WAN TCP আলোচনার সংরক্ষণ এবং TCP প্রক্সি প্রলম্বিত করা।

পূর্ণ WAN TCP প্রক্সি মোড সর্বোত্তম কার্যকারিতার জন্য সুপারিশ করা হয়। তবে, খোলা TCP পোর্টের জন্য ভুল ইতিবাচক এড়াতে প্রয়োজন অনুসারে প্রশাসকগণ এই মোড নিষ্ক্রিয় করতে পারেন।

পোর্ট TCP/443 এ ভুল ইতিবাচক প্রতিরোধ করতে, নিশ্চিত করুন যে TLS পরিদর্শন নিষ্ক্রিয়। বিকল্পভাবে, আপনি Cato সাপোর্ট এর সাথে যোগাযোগ করতে পারেন সিস্টেম কনফিগার করতে যাতে নেটওয়ার্ক স্ক্যানারের আইপি ঠিকানাকে হোয়াইটলিস্টের জন্য রাখা হয়, যা কার্যকরভাবে ভুল ইতিবাচক প্রতিরোধ করে।

অবরুদ্ধ TCP সংযোগের জন্য

অবরুদ্ধ TCP সংযোগে ৩-ভাব হ্যান্ডশেক আচরণ পূর্ণ WAN TCP প্রক্সি মোডের অধীনে আশা করা হয়। তবে, যদি এই আচরণ সমস্যা হয়, আপনি Cato সাপোর্ট এ যোগাযোগ করে সিস্টেম প্রথম TCP প্যাকেট বাতিল করুন করার জন্য কনফিগার করুন, স্ক্যানারের সাথে হ্যান্ডশেক সম্পন্ন করার পরিবর্তে। এটি Traditional vs. NG Firewall Rules এ বর্ণিত ঐতিহ্যগত নিয়মগুলির জন্য প্রযোজ্য।