Cloudflare-এ হোস্ট করা ওয়েবসাইট Cato ফায়ারওয়ালকে বাইপাস করে

সমস্যা

Cato ফায়ারওয়াল ব্যর্থ হয়েছে ফায়ারওয়াল নিয়মগুলিকে প্রয়োগ করার জন্য Cloudflare-এ হোস্ট করা ওয়েবসাইটগুলিতে। উদাহরণস্বরূপ, ওয়েবসাইট research.cloudflare.com, ডেটাবেস হিসেবে শ্রেণীবদ্ধ করা সত্ত্বেও এটি অনুমোদিত হচ্ছে, যদিও এই বিভাগটিকে ব্লক করে এমন একটি ফায়ারওয়াল নিয়ম রয়েছে।

প্রাসঙ্গিক ইভেন্টটি ভিন্ন একটি ডোমেইন নাম দেখায়, cloudflare-ech.com, যা উদ্দেশ্যপ্রণোদিত সাইটের সাথে মেলে না এবং ফায়ারওয়াল নিয়মকে বাইপাস করে। এই ইভেন্টটি ফিল্টার করে ওয়েবসাইটের গন্তব্যস্থল IP ঠিকানা দেখে পাওয়া যেতে পারে।

পরিবেশ

• ফায়ারওয়াল নিয়ম একটি নির্দিষ্ট বিভাগ ব্লক করছে।
• কোন TLS পরিদর্শন সক্রিয় নয়।

সমস্যার সমাধান

ইভেন্টে ডোমেইন নাম cloudflare-ech.com এর উপস্থিতি এনক্রিপ্টেড ক্লায়েন্ট হেলো (ECH) প্রোটোকল ব্যবহৃত হচ্ছে তা নির্দেশ করে।

ECH কি?

Cloudflare ডকুমেন্টেশন অনুযায়ী, ECH TLS ক্লায়েন্ট হেলো প্যাকেটের কিছু অংশ এনক্রিপ্ট করে, যেমন সার্ভার নাম সূচক (SNI) মাস্ক করা, যা সাধারণত TLS সেশন প্রতিষ্ঠার জন্য ব্যবহৃত হয়। এর অর্থ হল যখন Cato Cloudflare এর সাথে সংযোগটি দেখে, এটি নির্দিষ্ট ওয়েবসাইটকে সনাক্ত করতে পারে না। এটি কাজ করার জন্য ব্রাউজার এবং ওয়েবসাইট উভয়কেই ECH সমর্থন করতে হবে।

ECH কিভাবে কাজ করে

1. পাবলিক কী বিতরণ: সার্ভারগুলি DNS এর মাধ্যমে পাবলিক কী ভাগ করে (ECH কনফিগারেশন এর মধ্যে), প্রায়ই ডিএনএস-ওভার-HTTPS (DoH) বা ডিএনএস-ওভার-TLS (DoT) এর মত সুরক্ষিত DNS প্রোটোকল ব্যবহার করে। তবে, অনএনক্রিপ্টেড DNS UDP এর মাধ্যমে ব্যবহার করা যেতে পারে। ক্লায়েন্ট হেলো বার্তা এনক্রিপ্ট করতে ক্লায়েন্ট এই কীটি ব্যবহার করে। নিচে ECH কনফিগারেশন সহ একটি HTTPS-টাইপ DNS প্রতিক্রিয়ার একটি উদাহরণ দেয়া হল।
   
2. ক্লায়েন্ট হেলো এনক্রিপশন: সংযুক্ত করার সময়, ক্লায়েন্ট সংবেদনশীল অংশগুলি, যেমন SNI, সার্ভারের পাবলিক কী ব্যবহার করে এনক্রিপ্ট করে। শুধুমাত্র সার্ভার এই তথ্য ডিক্রিপ্ট করতে পারে। একটি অনএনক্রিপ্টেড আউটার ক্লায়েন্ট হেলোও প্রেরিত হয়, যা ডিফল্ট SNI এর মত জেনেরিক তথ্য প্রদর্শন করে, যা আসল লক্ষ্য প্রকাশ করতে পারে না। নিচের উদাহরণে, ডিফল্ট SNI হল cloudflare-ech.com
   
3. ফলব্যাক পদ্ধতি: যদি ECH সমর্থিত হয়, সার্ভার এনক্রিপ্টেড ক্লায়েন্ট হেলো প্রক্রিয়াকরণ করে এবং সংযোগ চালিয়ে যায়। যদি না হয়, একটি ফলব্যাক মেকানিজম অনএনক্রিপ্টেড ক্লায়েন্ট হেলো সহ সংযোগটি পুনরায় চেষ্টা করে, প্রথাগত TLS 1.3 সার্ভারগুলির সঙ্গে পশ্চাদপট সামঞ্জস্য বজায় রাখে।

সমাধান

বর্তমানে Cato ECH সমর্থন করে না, তাই আপনার নেটওয়ার্ক সেটআপের উপর ভিত্তি করে নিম্নলিখিত বৈশাপায় প্রতিকারগুলি প্রস্তাবিত হয় যা এনক্রিপ্টেড-SNI TLS সংযোগগুলিতে ফেরত চলে যায়:

• ইন্টারনেট ফায়ারওয়ালে DoH, DoT এবং QUIC প্রোটোকলগুলি ব্লক করুন। এটি ECH কনফিগারেশন বিনিময় করার জন্য সুরক্ষিত DNS প্রোটোকলের ব্যবহার প্রতিরোধ করবে।
  
• ব্রাউজারের উপর নির্ভর করে, ক্লায়েন্ট ECH কনফিগারেশন বিনিময় করার জন্য UDP-ভিত্তিক DNS এ ফেরত যেতে পারে। যদি তাই হয়, প্রভাবিত সাইট অথবা ব্যবহারকারীদের জন্য TLS পরিদর্শন সক্রিয় করুন। ECH ম্যান-ইন-দ্যা-মিডল (MITM) কৌশলের সহায়তা করে না, তাই সংযোগটি অপ্রত্যাহারিত SNI ব্যবহার করতে ব্যাকআপ হবে।
• শেষ উপায় হিসেবে, ইন্টারনেট ফায়ারওয়ালে cloudflare-ech.com ডোমেইন ব্লক করুন। এটি ব্রাউজারগুলোকে অপ্রত্যাহারিত SNI তে ফিরে যাওয়ার জন্য বাধ্য করে, যাতে সঠিক ফায়ারওয়াল নিয়ম কার্যকর হয়।