এই প্রবন্ধে আপনার নেটওয়ার্কের নির্দিষ্ট প্রয়োজনীয়তাগুলি মেটানোর জন্য TLS পরিদর্শন নীতি কীভাবে কনফিগার করুন এবং কাস্টমাইজ করবেন তা আলোচনা করা হয়েছে।
আজকের দিনে বেশিরভাগ নেটওয়ার্ক ট্রাফিক এনক্রিপ্টেড (TLS, HTTPS), যা প্রায়ই IPS, ইন্টারনেট ফায়ারওয়াল, অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতি, এবং এন্টি-ম্যালওয়্যার ট্রাফিক স্ক্যান করার সুবিধা কমিয়ে দেয়। যদি ট্রাফিক ক্ষতিকারক বিষয়বস্তু অন্তর্ভুক্ত করে, তবে এটি এনক্রিপ্টেড থাকে এবং Cato নিরাপত্তা ইঞ্জিনগুলি এটি পরীক্ষা বা স্ক্যান করতে পারে না।
আপনার অ্যাকাউন্টের জন্য TLS পরিদর্শন সক্রিয় করলে, Cato নিরাপদভাবে ট্রাফিককে ডিক্রিপ্ট করে যা একটি PoP মাধ্যমে প্রবাহিত হয় এবং Cato নিরাপত্তা ইঞ্জিনগুলি ম্যালওয়্যার পরীক্ষানিরীক্ষা করে এবং ডাউনলোড করা ফাইলগুলি স্ক্যান করে। যদি ট্রাফিকের বিষয়বস্তু নিরাপদ হিসেবে নিশ্চিত করা হয়, Cato তারপর আবার ট্রাফিককে এনক্রিপ্ট করে এবং গন্তব্যে পাঠায়। তবে, যদি বিষয়বস্তুতে প্রকৃত বা সন্দেহজনক ম্যালওয়্যার থাকে, তবে Cato নিরাপত্তা ইঞ্জিনগুলি ট্রাফিককে ব্লক করে।
আপনি সমস্ত ট্রাফিক পরীক্ষনীর পরিদর্শন করার জন্য ডিফল্ট Cato নীতি ব্যবহারের নির্বাচন করতে পারেন। আপনি নির্দিষ্ট TLS পরিদর্শন নিয়ম তৈরি করতে পারেন যা নির্ধারণ করে কোন ট্রাফিক পরিদর্শন করা হয় এবং কোন ট্রাফিক TLS পরিদর্শন এড়িয়ে যায়।
নোট
নোট: ডিফল্টভাবে, TLS পরিদর্শন নিম্নলিখিত অপারেটিং সিস্টেমগুলির জন্য বাইপাস করা হয়েছে:
- অ্যান্ড্রয়েড (সার্টিফিকেট পিনিং সম্পর্কিত সমস্যার কারণে)
- লিনাক্স
- অজানা অপারেটিং সিস্টেমসমূহ
Cato অন্তর্ভুক্ত কয়েকটি অ্যাপ্লিকেশন একটি অন্তর্নিহিত বাইপাস নিয়মে যা স্বয়ংক্রিয়ভাবে TLS পরিদর্শন থেকে বাদ দেওয়া হয়। এই অ্যাপ্লিকেশনগুলির তালিকার জন্য নিচে দেখুন ডিফল্ট বাইপাস নিয়মাবলী.
TCP এবং TLS হাত মিলানোর প্রক্রিয়ার কারণে প্রাথমিক সংযুক্তিতে কিছু অল্প বিলম্ব সম্ভব, যা ডেটা উপযুক্ত নেটওয়ার্ক বা নিরাপত্তা ইঞ্জিনে প্রবাহিত হওয়ার আগে ঘটে। এই বিলম্ব প্রতিটি প্যাকেটে 10 মিলিসেকেন্ড পর্যন্ত হয়।
TLS পরিদর্শন ইঞ্জিন ক্রমাগত সংযোগগুলি পরীক্ষা করে এবং এটি কোনো নিয়মের সাথে মেলে কিনা তা পরীক্ষা করে। নিয়মের ভিত্তিতে শেষ নিয়ম হল একটি ডিফল্ট অন্তর্নিহিত যেকোনো - যেকোনো পরিদর্শন নিয়ম - তাই যদি কোনো সংযোগ কোনো নিয়মে মেলে না, তাহলে এটি স্বয়ংক্রিয়ভাবে পরিদর্শন করা হয়।
নিয়ম ভিত্তির শেষে ডিফল্ট নিয়ম বিভাগের মধ্যে ডিফল্ট নিয়ম সেটিংস পর্যালোচনা করতে পারেন। নিয়ম সেটিংস সম্পাদিত করা যাবে না, শুধুমাত্র অবিশ্বাস্য সার্ভার সার্টিফিকেট কার্য ছাড়া। অবিশ্বাস্য সার্ভার সার্টিফিকেট কার্য সম্পর্কে আরও জানার জন্য, নিচে দেখুন TLS পরিদর্শন নীতি কাস্টমাইজ করার জন্য নিয়ম যোগ করা.
নিয়ম ভিত্তির শীর্ষে থাকা নিয়মগুলি উচ্চ অগ্রাধিকার রাখে কারণ তারা সংযোগগুলির কাছে নিয়মের নিচে যাওয়ার আগে প্রয়োগ হয়। উদাহরণস্বরূপ, যদি কোনো সংযোগ নিয়ম #2 তে মেলে, এই নিয়মের কার্য সংযোগে প্রয়োগ করা হয় এবং TLS পরিদর্শন ইঞ্জিন এই সংযোগে নীতি প্রয়োগ করা বন্ধ করে। এটি মানে যে নিয়ম #3 এবং এর নিচে সংযোগে প্রয়োগ করা হয় না।
TLS পরিদর্শন নীতি বিভিন্ন প্রশাসকদের সমান্তরালভাবে নীতি সম্পাদনা করতে দেয়। প্রতিটি প্রশাসক নিয়মগুলি সম্পাদনা করতে পারেন এবং নিজস্ব ব্যক্তিগত সংস্করণে পরিবর্তনগুলি সংরক্ষণ করতে পারেন, তারপর অ্যাকাউন্ট নীতিতে (প্রকাশিত সংস্করণ) প্রকাশ করতে পারেন। নীতি সংশোধনগুলি ব্যবস্থাপনা কিভাবে করবেন সে বিষয়ে আরও জানতে, দেখুন নীতি সংশোধনের সাথে কাজ করা.
TLS পরিদর্শন কনফিগারেশন উইজার্ডের সাথে কাজ করা
TLS পরিদর্শন কনফিগারেশন উইজার্ড স্বয়ংক্রিয়ভাবে আপনার নীতি এই যাচাইকরণ এবং অন্তর্দৃষ্টি ব্যবহার করে পর্যালোচনা করে। যখন একটি যাচাইকরণ ব্যর্থ হয়, আপনি উইজার্ডে সরাসরি আপনার নীতি পর্যালোচনা এবং আপডেট করতে পারেন, আলাদা নিয়ম সম্পাদিত না করেই। এটি নীতি ব্যবস্থাপনা সরলীকরণ করার সময় আপনাকে নিরাপদ থাকতে সাহায্য করে। আরও তথ্যের জন্য দেখুন কনফিগারেশন উইজার্ড ব্যবহার.
আপনার অ্যাকাউন্টের সকল ট্রাফিকের জন্য TLS পরিদর্শন নীতি কনফিগার করতে TLS পরিদর্শন নীতি পৃষ্ঠা ব্যবহার করুন।
একাধিক আইটেমের সাথে কাজ করা
যখন উৎস অথবা কি ক্ষেত্র, যেমন দুটি গ্রুপ বা শ্রেণী ক্ষেত্রে একাধিক আইটেম থাকে, তখন এই আইটেমগুলির মধ্যে একটি অথবা সম্পর্ক থাকে।
এন্ড-ব্যবহারকারী ডিভাইসে Cato রুট সার্টিফিকেট ইনস্টল করা
Cato রুট সার্টিফিকেট প্রতিটি ডিভাইস এবং কম্পিউটারে একটি বিশ্বাসযোগ্য সার্টিফিকেট হিসাবে ইনস্টল করতে হবে যা Cato ক্লাউডে সংযোগ স্থাপন করে। Cato সার্টিফিকেট ইনস্টল সম্পর্কে আরও তথ্যের জন্য দেখুন TLS পরিদর্শনের জন্য রুট সার্টিফিকেট ইনস্টল করা.
- Cato সার্টিফিকেট বেশিরভাগ এম্বেডেড অপারেটিং সিস্টেমে (OS) ইনস্টল করা যায় না, তাই TLS পরিদর্শন সক্রিয় থাকলে অনেক এম্বেডেড OS ব্যবহারকারী ডিভাইস সংযোগকারিতা হারায়। TLS পরিদর্শনের জন্য কোন OS Cato সমর্থন করে সম্পর্কে জানতে, দেখুন TLS পরিদর্শনের জন্য সর্বোত্তম অনুশীলন.
ডিফল্টরূপে, সকল TLS সংস্করণ এবং সাইফার স্যুটস অনুমোদিত। পুরাতন এবং অনিরাপদ TLS সংস্করণগুলি ব্লক করতে বা এনক্রিপ্টেড ট্রাফিকে দুর্বল সাইফার স্যুটস ব্যবহার প্রতিরোধ করতে TLS পরিদর্শন নীতির মাধ্যমে আপনার অ্যাকাউন্টের ট্রাফিকের সর্বনিম্ন TLS প্রোটোকল সংস্করণ এবং সাইফার স্যুট শক্তি প্রয়োগ করা যেতে পারে।
সাইফার স্যুট কনফিগারেশন অপশনগুলি Mozilla এর সুপারিশকৃত সেটিংসের উপর ভিত্তি করে তিনটি স্তরে বিভক্ত। কিছু TLS সংস্করণের সাথে নির্দিষ্ট স্তরসমূহ অসামঞ্জস্যপূর্ণ। আরও তথ্য এবং প্রতিটি স্তরে সাইফার স্যুটগুলির একটি তালিকার জন্য, দেখুন Mozilla ডকুমেন্টেশন.
QUIC এবং GQUIC হল গুগল দ্বারা বিকশিত পরিবহন প্রোটোকল যা TCP সংযোগের মাধ্যমে কাজ করে না, এবং এই প্রোটোকলগুলি ব্যবহৃত ট্রাফিক TLS পরিদর্শন সেবা দ্বারা পরীক্ষা করা যায় না। অতএব আমরা সুপারিশ করি যে অ্যাকাউন্টসমূহ যারা TLS পরিদর্শন সক্রিয় করে তারা ইন্টারনেট ফায়ারওয়াল নিয়ম ব্যবহার করে QUIC এবং GQUIC ট্রাফিক ব্লক করে। এজন্য এই ট্রাফিক ব্লক করার নিয়মগুলি প্রবাহকে বাধ্য করে শুধুমাত্র সেই প্রোটোকল ব্যবহার করতে যা TLS পরিদর্শন সেবা দ্বারা পরীক্ষা করা যায়। যদি আপনি QUIC এবং GQUIC প্রোটোকল ব্যবহার করে ট্রাফিক অনুমতি দেন, তাহলে প্রবাহ পরীক্ষা করা যাবে না এবং অপ্রয়োজনীয়ভাবে ব্লক হবে।
আপনি প্রথমবার TLS পরিদর্শন নীতি সক্রিয় করলে, QUIC এবং GQUIC ট্রাফিক ব্লক করার নিয়ম স্বয়ংক্রিয়ভাবে ইন্টারনেট ফায়ারওয়াল নীতিতে যোগ করা হয়। যদি ইন্টারনেট ফায়ারওয়াল নীতি ইতিমধ্যেই QUIC ট্রাফিক ঠিকঠাক পরীক্ষার জন্য ব্লক করে থাকে, তাহলে নতুন নিয়ম যোগ করা হয় না।
QUIC এবং GQUIC ট্রাফিক সম্পর্কে আরও জানতে, দেখুন ইন্টারনেট এবং WAN ফায়ারওয়াল নীতিমালা – সর্বোত্তম অনুশীলন.
TLS পরিদর্শন নীতি কনফিগার করার সময়, আপনি ডিফল্ট Cato TLS পরিদর্শন নীতি সক্রিয় করতে পারেন বা নিজস্ব নিয়ম যোগ করে নীতি কাস্টমাইজ করতে পারেন।
ডিফল্ট ক্যাটো TLS পরিদর্শন নীতি সকল ট্রাফিক পরিদর্শন করে (স্বয়ংক্রিয়ভাবে বাইপাস হওয়া অ্যাপ্লিকেশন ব্যতীত)। TLS পরিদর্শন সক্রিয় করে আপনি ডিফল্ট নীতি ব্যবহার করতে পারেন এবং নীতিতে কোন নিয়ম যোগ করার প্রয়োজন নেই।
সকল ট্রাফিকের সাথে মিলে যাওয়া পরীক্ষা করুন ক্রিয়ার জন্য একটি চূড়ান্ত অন্তর্নিহিত নিয়ম আছে।
আপনার প্রতিষ্ঠানের প্রয়োজনীয়তা অনুযায়ী শুধুমাত্র নির্দিষ্ট ট্রাফিক প্রকারের পরিদর্শন করতে TLS পরিদর্শন নীতি অনুকূল করতে পারেন। নীতিতে পরীক্ষা করুন এবং বাইপাস কার্যক্রম সহ নিয়ম যোগ করুন যাতে কোন ট্রাফিক ডিক্রিপ্ট এবং পরীক্ষা হবে তা নির্ধারণ করা যায়।
- Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
- ক্যাটো TLS পরিদর্শন ইঞ্জিন থেকে নির্দিষ্ট ট্রাফিক বাদ দেওয়ার জন্য বাইপাস ক্রিয়ার সাথে নিয়ম তৈরি করুন। উদাহরণ স্বরূপ, আপনি RingCentral অ্যাপ্লিকেশনটির জন্য বাইপাস নিয়ম যোগ করে RingCentral ট্রাফিককে TLS পরিদর্শন থেকে বাদ দিতে পারেন।
নিয়ম তৈরি করার সময়, TLS ট্রাফিকের পরিসর নির্ধারণ করার জন্য উৎস এবং কি ব্যবহার করুন এবং নিয়মটি ট্রাফিক পরীক্ষা করবে না বাইপাস করবে তা কনফিগার করার জন্য কার্য ব্যবহার করুন। নিশ্চিত করুন যে বাইপাস নিয়মের অগ্রাধিকার উচ্চতর রয়েছে (নিয়মমূলের শীর্ষের কাছাকাছি) প্রমাণ করার নিয়মের তুলনায় যা একই ট্রাফিকের সাথে মেলে। যে ট্রাফিকটি TLS পরিদর্শন বাইপাস নিয়মের সাথে মিলিত হয় সেটিও এন্টি-ম্যালওয়্যার ইঞ্জিন দ্বারা নিরাপত্তা স্ক্যান থেকে বাদ দেওয়া হয়।
আপনি যখন পরীক্ষা করুন কার্যক্রমের সাথে নিয়ম কনফিগার করেন, আপনাকে অবশ্যই অনিশ্চিত সার্ভার সার্টিফিকেটগুলি কীভাবে নিয়ম পরিচালনা করবে তার আচরণও সংজ্ঞায়িত করতে হবে।
এই সেটিংসের জন্য বিকল্পগুলি হলঃ
- অনুমতি দিন - অনিশ্চিত সার্টিফিকেট সহ সাইটের জন্য ট্রাফিক অনুমতি দেওয়া হয়েছে এবং পরীক্ষা করা হয়েছে (এটি ডিফল্ট সেটিংস)।
- প্রম্পট - ব্যবহারকারীদের একটি প্রম্পট দেখানো হয় যাতে তাদের জানা হয় তারা কি চালিয়ে যেতে এবং অনিশ্চিত সার্টিফিকেট সহ সাইটে যেতে চায়। যদি ব্যবহারকারী সাইটে যেতে থাকে, তবে ট্রাফিক পরীক্ষা করা হয়
- ব্লক করুন - অনিশ্চিত সার্টিফিকেট সহ সাইটে যাওয়ার জন্য ট্রাফিক ব্লক করা হয়েছে
নোট
নোট: অ্যাপ্লিকেশনগুলির জন্য যেগুলি TLS পরিদর্শন রোধ করার জন্য সার্টিফিকেট পিনিং ব্যবহার করে, তাদের একটি বাইপাস নিয়মে যোগ করুন যাতে তারা শেষ ব্যবহারকারীদের জন্য সঠিকভাবে কাজ করে।
TLS পরিদর্শন নীতিতে নিয়ম যোগ করতে:
- নেভিগেশন মেনু থেকে, নিরাপত্তা > TLS পরিদর্শন ক্লিক করুন।
- নতুন ক্লিক করুন।
- নিয়মের জন্য একটি নাম লিখুন।
-
নিয়ম সক্রিয় বা নিষ্ক্রিয় করতে সক্রিয় সুইচ ব্যবহার করুন।
টগল সক্রিয়
হলে সবুজ থাকে।
- এই নিয়মের জন্য নিয়মের ক্রম কনফিগার করুন।
-
উৎস সম্প্রসারিত করুন এবং উৎসের ধরন নির্বাচন করুন।
- ধরন নির্বাচন করুন (উদাহরণস্বরূপ: হোস্ট, নেটওয়ার্ক ইন্টারফেস, IP, যেকোনো)। ডিফল্ট মান হল যেকোনো।
- যেখানে প্রয়োজন, নির্দিষ্ট ধরণের ড্রপ-ডাউন তালিকা থেকে একটি নির্দিষ্ট বস্তুর নির্বাচন করুন।
-
বিচারবিধি বিভাগে নিয়মটি মেলানোর জন্য প্রয়োজনীয় প্ল্যাটফর্ম, দেশসমূহ, ডিভাইস ভঙ্গিমা প্রোফাইলগুলি এবং সংযোগের উৎপত্তি কনফিগার করুন।
ডিভাইসের কন্ডিশন সম্পর্কে আরো জানুন TLS পরিদর্শনের জন্য ডিভাইস কন্ডিশন যোগ করা.
- নিয়মটি যেসব গন্তব্যের ক্ষেত্রে প্রযোজ্য তা নির্ধারণ করুন। উদাহরণস্বরূপ, একটি সার্ভিস, একটি অ্যাপ্লিকেশন, একটি কাস্টম বা পূর্বনির্ধারিত বিভাগ।
-
সর্বনিম্ন TLS সংস্করণ এবং সাইফার স্যুটস নির্বাচন করুন।
দ্রষ্টব্য: কিছু TLS সংস্করণ সাইফার স্যুট স্তরগুলির সাথে অসামঞ্জস্যপূর্ণ। অধিক তথ্যের জন্য, দেখুন TLS সংস্করণ এবং সাইফার স্যুটগুলি কার্যকর করা
-
ক্রিয়া কনফিগার করুন এবং পরীক্ষা করুন অথবা বাইপাস নির্বাচন করুন।
- যদি আপনি পরীক্ষা করুন নির্বাচন করেন, তাহলে অবিশ্বাস্য সার্ভার সার্টিফিকেট ড্রপডাউন মেনু থেকে সমস্যাযুক্ত সার্টিফিকেট সহ ট্রাফিকের জন্য ক্রিয়া নির্বাচন করুন: অনুমতি দিন, ব্লক করুন, অথবা প্রম্পট। ডিফল্ট মান অনুমতি দিন।
- প্রয়োগ করুন এ ক্লিক করুন।
- সংরক্ষণ করুন এ ক্লিক করুন। TLS পরিদর্শন নিয়ম নিয়মভিত্তিতে সংরক্ষিত হয়।
ক্যাটো নির্দিষ্ট অ্যাপস, অপারেটিং সিস্টেম এবং ক্লায়েন্ট সফটওয়্যারকে বাইপাস করার জন্য ডিফল্ট TLS পরিদর্শন নিয়মের পরিচালনা করে যা সমস্যা সৃষ্টি করতে পারে। এই নিয়মগুলি রুলবেসের শীর্ষে স্থাপিত হয় এবং সম্পাদনা করা যাবে না। TLS পরিদর্শন নীতির জন্য পরিকল্পনা এবং সিদ্ধান্ত নিতে আপনাকে সাহায্য করার জন্য, আপনি ডিফল্ট বাইপাস নিয়মাবলী অংশে এসব নিয়মের সেটিংস দেখতে পারেন।
যখন কী ক্ষেত্রের মধ্যে একাধিক আইটেম থাকে, যেমন একটি অ্যাপ্লিকেশন এবং পুরো ডোমেইন নাম, তখন এই আইটেমগুলির মধ্যে একটি AND সম্পর্ক থাকে।
0 মন্তব্য
একটি মন্তব্য করার জন্য সাইন ইন করুন করুন।