অ্যাকাউন্টের জন্য TLS পরিদর্শন নীতি কনফিগার করা

এই প্রবন্ধে আপনার নেটওয়ার্কের নির্দিষ্ট প্রয়োজনীয়তাগুলি মেটানোর জন্য TLS পরিদর্শন নীতি কীভাবে কনফিগার করুন এবং কাস্টমাইজ করবেন তা আলোচনা করা হয়েছে।

Cato TLS পরিদর্শন নীতি সংক্ষেপ

আজ বেশিরভাগ নেটওয়ার্ক ট্রাফিক এনক্রিপ্টেড (TLS, HTTPS), যা প্রায়শই আই.পি.এস., ইন্টারনেট ফায়ারওয়াল, অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতি এবং এন্টি-ম্যালওয়্যার ট্র্যাফিকের সাথে ট্রাফিক স্ক্যান করার সুবিধা কমায়। যদি ট্রাফিক ক্ষতিকারক বিষয়বস্তু ধারণ করে, তবে এটি এনক্রিপ্টেড থাকে এবং কাটো নিরাপত্তা ইঞ্জিনগুলি এটি পরিদর্শন বা স্ক্যান করতে পারে না।

যখন আপনি আপনার অ্যাকাউন্টের জন্য TLS পরিদর্শন সক্রিয় করেন, কাটো একটি PoP এর মাধ্যমে যাওয়া ট্রাফিককে নিরাপদে ডিক্রিপ্ট করে এবং কাটো নিরাপত্তা ইঞ্জিনগুলি ম্যালওয়্যার এবং ডাউনলোড করা ফাইলগুলির জন্য এটি পরিদর্শন করে। যদি ট্রাফিকের বিষয়বস্তু নিরাপদ হিসেবে নিশ্চিত করা হয়, কাটো ট্রাফিককে পুনরায় এনক্রিপ্ট করে এবং এটি গন্তব্যে পাঠায়। যাইহোক, যদি বিষয়বস্তুতে আসল বা সন্দেহজনক ম্যালওয়্যার থাকে, তাহলে কাটো নিরাপত্তা ইঞ্জিনগুলি ট্রাফিককে ব্লক করে।

আপনি সমস্ত ট্রাফিক পরিদর্শন করা ডিফল্ট কাটো নীতি ব্যবহার করার জন্য বেছে নিতে পারেন। আপনি নির্দিষ্ট TLS পরিদর্শন নিয়ম তৈরি করতে পারেন যা নির্ধারণ করে কোন ট্রাফিক পরিদর্শন করা হয় এবং কোন ট্রাফিক TLS পরিদর্শন বাইপাস করে।

নোট

নোট: ডিফল্টভাবে, এই অপারেটিং সিস্টেমগুলির জন্য TLS পরিদর্শন বাইপাস করা হয়:

Android (সার্টিফিকেট পিনিং সংক্রান্ত সমস্যার কারণে)
Linux
অজ্ঞাত অপারেটিং সিস্টেম

অ্যাপ্লিকেশনগুলির জন্য Cato ডিফল্ট বাইপাস নিয়ম

কাটো একটি অযাচিত বাইপাস নিয়মের মধ্যে একাধিক অ্যাপ্লিকেশন অন্তর্ভুক্ত করে যা স্বয়ংক্রিয়ভাবে TLS পরিদর্শন থেকে বাদ দেওয়া হয়। For a list of these applications, see below Default Bypass Rules.

TLS পরিদর্শনের জন্য ল্যাটেন্সি

Some minimal latency is expected at the initial connection due to the TCP and TLS handshakes that occur before data can flow to the appropriate network or security engine in the PoP. এই বিলম্ব প্রতি প্যাকেট ১০ মিলিসেকেন্ড পর্যন্ত।

একটি ক্রমান্বিত TLS পরিদর্শন নিয়ম ভিক্তির সাথে কাজ করা

TLS পরিদর্শন ইঞ্জিন সংযোগগুলি ধারাবাহিকভাবে পরীক্ষানিরীক্ষা করে এবং পরীক্ষা করে যে সংযোগটি নিয়মের সাথে মেলে কিনা। নিয়ম ভিত্তিতে চূড়ান্ত নিয়মটি একটি ডিফল্ট অযাচিত যেকোনো-যেকোনো পরিদর্শন নিয়ম - তাই যদি কোনো সংযোগ কোনো নিয়মের সাথে মেলে না, তবে এটি স্বয়ংক্রিয়ভাবে পরিদর্শিত হয়।

আপনি নিয়ম ভিত্তির শেষে ডিফল্ট নিয়ম বিভাগে ডিফল্ট নিয়ম সেটিংস পর্যালোচনা করতে পারেন। অবিশ্বাস্য সার্ভার সার্টিফিকেট ক্রিয়া ব্যতীত নিয়ম সেটিংস সম্পাদনা করা যাবে না। For more about the Untrusted Server Certificate action, see below Adding Rules to Customize the TLS Inspection Policy.

নিয়মগুলি যা নিয়মের বেসের শীর্ষে থাকে তাদের উচ্চ অগ্রাধিকার থাকে কারণ এটি সংযোগগুলিতে প্রয়োগ হয় অন্য নিয়মগুলির চেয়ে নীচে। উদাহরণস্বরূপ, যদি একটি সংযোগ নিয়ম #2 এর সাথে মিলে যায়, তাহলে এই নিয়মের জন্য কার্যটি সংযোগে প্রয়োগ হয় এবং TLS পরিদর্শন ইঞ্জিন এই সংযোগে নীতি প্রয়োগ করা বন্ধ করে দেয়। এটির অর্থ হল নিয়ম #3 এবং নীচে সংযোগে প্রযোজ্য নয়।

নীতির সংশোধন এবং একাধিক প্রশাসকের দ্বারা একত্রে সম্পাদনা করা

TLS পরিদর্শন নীতি বিভিন্ন প্রশাসকদের প্যারালালে নীতি সম্পাদনা করতে দেয়। প্রতিটি প্রশাসক নিয়মগুলি সম্পাদনা করতে পারে এবং তাদের নিজস্ব প্রাইভেট সংশোধনে নিয়ম ভিক্তির পরিবর্তনগুলি সংরক্ষণ করতে পারে, তারপর তাদের অ্যাকাউন্ট নীতি প্রকাশ করতে পারে (প্রকাশিত সংশোধন)। নীতির সংশোধনগুলি পরিচালনার বিষয়ে আরও তথ্যের জন্য দেখুন নীতির সংশোধনগুলির সাথে কাজ করা।

TLS পরিদর্শন নীতির বোঝাপড়া

আপনার অ্যাকাউন্টের সকল ট্রাফিকের জন্য TLS পরিদর্শন নীতি কনফিগার করতে TLS পরিদর্শন নীতি পৃষ্ঠা ব্যবহার করুন।

একাধিক আইটেমের সাথে কাজ করা

যখন উৎস অথবা কি ক্ষেত্র, যেমন দুটি গ্রুপ বা শ্রেণী ক্ষেত্রে একাধিক আইটেম থাকে, তখন এই আইটেমগুলির মধ্যে একটি অথবা সম্পর্ক থাকে।

এন্ড-ব্যবহারকারী ডিভাইসে Cato রুট সার্টিফিকেট ইনস্টল করা

Cato রুট সার্টিফিকেট প্রতিটি ডিভাইস এবং কম্পিউটারে একটি বিশ্বাসযোগ্য সার্টিফিকেট হিসাবে ইনস্টল করতে হবে যা Cato ক্লাউডে সংযোগ স্থাপন করে। For more information about installing the Cato certificate, see Installing the Root Certificate for TLS Inspection.

Cato সার্টিফিকেট বেশিরভাগ এম্বেডেড অপারেটিং সিস্টেমে (OS) ইনস্টল করা যায় না, তাই TLS পরিদর্শন সক্রিয় থাকলে অনেক এম্বেডেড OS ব্যবহারকারী ডিভাইস সংযোগকারিতা হারায়। For more about which OS Cato supports for TLS Inspection, see Best Practices for TLS Inspection.

TLS সংস্করণ এবং সাইফার স্যুটস প্রয়োগ

ডিফল্টরূপে, সকল TLS সংস্করণ এবং সাইফার স্যুটস অনুমোদিত। পুরাতন এবং অনিরাপদ TLS সংস্করণগুলি ব্লক করতে বা এনক্রিপ্টেড ট্রাফিকে দুর্বল সাইফার স্যুটস ব্যবহার প্রতিরোধ করতে TLS পরিদর্শন নীতির মাধ্যমে আপনার অ্যাকাউন্টের ট্রাফিকের সর্বনিম্ন TLS প্রোটোকল সংস্করণ এবং সাইফার স্যুট শক্তি প্রয়োগ করা যেতে পারে।

সাইফার স্যুট কনফিগারেশন অপশনগুলি Mozilla এর সুপারিশকৃত সেটিংসের উপর ভিত্তি করে তিনটি স্তরে বিভক্ত। কিছু TLS সংস্করণের সাথে নির্দিষ্ট স্তরসমূহ অসামঞ্জস্যপূর্ণ। প্রতিটি স্তরে সাইফার স্যুটসের তালিকা এবং আরও তথ্যের জন্য, Mozilla ডকুমেন্টেশন দেখুন।

Blocking QUIC and GQUIC Traffic for TLS Inspection

QUIC এবং GQUIC হল গুগল দ্বারা বিকশিত পরিবহন প্রোটোকল যা TCP সংযোগের মাধ্যমে কাজ করে না, এবং এই প্রোটোকলগুলি ব্যবহৃত ট্রাফিক TLS পরিদর্শন সেবা দ্বারা পরীক্ষা করা যায় না। অতএব আমরা সুপারিশ করি যে অ্যাকাউন্টসমূহ যারা TLS পরিদর্শন সক্রিয় করে তারা ইন্টারনেট ফায়ারওয়াল নিয়ম ব্যবহার করে QUIC এবং GQUIC ট্রাফিক ব্লক করে। এজন্য এই ট্রাফিক ব্লক করার নিয়মগুলি প্রবাহকে বাধ্য করে শুধুমাত্র সেই প্রোটোকল ব্যবহার করতে যা TLS পরিদর্শন সেবা দ্বারা পরীক্ষা করা যায়। যদি আপনি QUIC এবং GQUIC প্রোটোকল ব্যবহার করে ট্রাফিক অনুমতি দেন, তাহলে প্রবাহ পরীক্ষা করা যাবে না এবং অপ্রয়োজনীয়ভাবে ব্লক হবে।

আপনি প্রথমবার TLS পরিদর্শন নীতি সক্রিয় করলে, QUIC এবং GQUIC ট্রাফিক ব্লক করার নিয়ম স্বয়ংক্রিয়ভাবে ইন্টারনেট ফায়ারওয়াল নীতিতে যোগ করা হয়। যদি ইন্টারনেট ফায়ারওয়াল নীতি ইতিমধ্যেই QUIC ট্রাফিক ঠিকঠাক পরীক্ষার জন্য ব্লক করে থাকে, তাহলে নতুন নিয়ম যোগ করা হয় না।

For more about QUIC and GQUIC traffic, see Internet and WAN Firewall Policies – Best Practices.

Configuring the TLS Inspection Policy

TLS পরিদর্শন নীতি কনফিগার করার সময়, আপনি ডিফল্ট Cato TLS পরিদর্শন নীতি সক্রিয় করতে পারেন বা নিজস্ব নিয়ম যোগ করে নীতি কাস্টমাইজ করতে পারেন।

Using the Default TLS Inspection Policy

ডিফল্ট ক্যাটো TLS পরিদর্শন নীতি সকল ট্রাফিক পরিদর্শন করে (স্বয়ংক্রিয়ভাবে বাইপাস হওয়া অ্যাপ্লিকেশন ব্যতীত)। TLS পরিদর্শন সক্রিয় করে আপনি ডিফল্ট নীতি ব্যবহার করতে পারেন এবং নীতিতে কোন নিয়ম যোগ করার প্রয়োজন নেই।

সকল ট্রাফিকের সাথে মিলে যাওয়া পরীক্ষা করুন ক্রিয়ার জন্য একটি চূড়ান্ত অন্তর্নিহিত নিয়ম আছে।

ডিফল্ট Cato TLS পরিদর্শন নীতি ব্যবহারের জন্য:

নেভিগেশন মেনু থেকে ক্লিক করুন নিরাপত্তা > TLS পরিদর্শন।
TLS পরিদর্শন সক্রিয় করুন স্লাইডারে ক্লিক করুন।
সংরক্ষণ করুন ক্লিক করুন। ডিফল্ট নীতি ব্যবহার করে TLS পরিদর্শন সক্রিয় করা হয়েছে।

Adding Rules to Customize the TLS Inspection Policy

আপনার প্রতিষ্ঠানের প্রয়োজনীয়তা অনুযায়ী শুধুমাত্র নির্দিষ্ট ট্রাফিক প্রকারের পরিদর্শন করতে TLS পরিদর্শন নীতি অনুকূল করতে পারেন। নীতিতে পরীক্ষা করুন এবং বাইপাস কার্যক্রম সহ নিয়ম যোগ করুন যাতে কোন ট্রাফিক ডিক্রিপ্ট এবং পরীক্ষা হবে তা নির্ধারণ করা যায়।

Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
ক্যাটো TLS পরিদর্শন ইঞ্জিন থেকে নির্দিষ্ট ট্রাফিক বাদ দেওয়ার জন্য বাইপাস ক্রিয়ার সাথে নিয়ম তৈরি করুন। উদাহরণ স্বরূপ, আপনি RingCentral অ্যাপ্লিকেশনটির জন্য বাইপাস নিয়ম যোগ করে RingCentral ট্রাফিককে TLS পরিদর্শন থেকে বাদ দিতে পারেন।

নিয়ম তৈরি করার সময়, TLS ট্রাফিকের পরিসর নির্ধারণ করার জন্য উৎস এবং কি ব্যবহার করুন এবং নিয়মটি ট্রাফিক পরীক্ষা করবে না বাইপাস করবে তা কনফিগার করার জন্য কার্য ব্যবহার করুন। নিশ্চিত করুন যে বাইপাস নিয়মের অগ্রাধিকার উচ্চতর রয়েছে (নিয়মমূলের শীর্ষের কাছাকাছি) প্রমাণ করার নিয়মের তুলনায় যা একই ট্রাফিকের সাথে মেলে। যে ট্রাফিকটি TLS পরিদর্শন বাইপাস নিয়মের সাথে মিলিত হয় সেটিও এন্টি-ম্যালওয়্যার ইঞ্জিন দ্বারা নিরাপত্তা স্ক্যান থেকে বাদ দেওয়া হয়।

আপনি যখন পরীক্ষা করুন কার্যক্রমের সাথে নিয়ম কনফিগার করেন, আপনাকে অবশ্যই অনিশ্চিত সার্ভার সার্টিফিকেটগুলি কীভাবে নিয়ম পরিচালনা করবে তার আচরণও সংজ্ঞায়িত করতে হবে।

এই সেটিংসের জন্য বিকল্পগুলি হলঃ

অনুমতি দিন - অনিশ্চিত সার্টিফিকেট সহ সাইটের জন্য ট্রাফিক অনুমতি দেওয়া হয়েছে এবং পরীক্ষা করা হয়েছে (এটি ডিফল্ট সেটিংস)।
প্রম্পট - ব্যবহারকারীদের একটি প্রম্পট দেখানো হয় যাতে তাদের জানা হয় তারা কি চালিয়ে যেতে এবং অনিশ্চিত সার্টিফিকেট সহ সাইটে যেতে চায়। যদি ব্যবহারকারী সাইটে যেতে থাকে, তবে ট্রাফিক পরীক্ষা করা হয়
ব্লক করুন - অনিশ্চিত সার্টিফিকেট সহ সাইটে যাওয়ার জন্য ট্রাফিক ব্লক করা হয়েছে

Note

নোট: অ্যাপ্লিকেশনগুলির জন্য যেগুলি TLS পরিদর্শন রোধ করার জন্য সার্টিফিকেট পিনিং ব্যবহার করে, তাদের একটি বাইপাস নিয়মে যোগ করুন যাতে তারা শেষ ব্যবহারকারীদের জন্য সঠিকভাবে কাজ করে।

TLS পরিদর্শন নীতিতে নিয়ম যোগ করতে:

নেভিগেশন মেনু থেকে, নিরাপত্তা > TLS পরিদর্শন ক্লিক করুন।
নতুন ক্লিক করুন।
নিয়মের জন্য একটি নাম লিখুন।
নিয়ম সক্রিয় বা নিষ্ক্রিয় করতে সক্রিয় সুইচ ব্যবহার করুন।

টগলটি সক্রিয় হলে সবুজ থাকে।
এই নিয়মের জন্য নিয়মের ক্রম কনফিগার করুন।
উৎস সম্প্রসারিত করুন এবং উৎসের ধরন নির্বাচন করুন।
- ধরন নির্বাচন করুন (উদাহরণস্বরূপ: হোস্ট, নেটওয়ার্ক ইন্টারফেস, IP, যেকোনো)। ডিফল্ট মান হল যেকোনো।
- যেখানে প্রয়োজন, নির্দিষ্ট ধরণের ড্রপ-ডাউন তালিকা থেকে একটি নির্দিষ্ট বস্তুর নির্বাচন করুন।
বিচারবিধি বিভাগে নিয়মটি মেলানোর জন্য প্রয়োজনীয় প্ল্যাটফর্ম, দেশসমূহ, ডিভাইস ভঙ্গিমা প্রোফাইলগুলি এবং সংযোগের উৎপত্তি কনফিগার করুন।

For more about Device Conditions, see Adding Device Conditions for TLS Inspection.
নিয়মটি যেসব গন্তব্যের ক্ষেত্রে প্রযোজ্য তা নির্ধারণ করুন। উদাহরণস্বরূপ, একটি সার্ভিস, একটি অ্যাপ্লিকেশন, একটি কাস্টম বা পূর্বনির্ধারিত বিভাগ।
সর্বনিম্ন TLS সংস্করণ এবং সাইফার স্যুটস নির্বাচন করুন।

দ্রষ্টব্য: কিছু TLS সংস্করণ সাইফার স্যুট স্তরগুলির সাথে অসামঞ্জস্যপূর্ণ। আরও তথ্যের জন্য, TLS সংস্করণ এবং সাইফার স্যুটস প্রয়োগ দেখুন
ক্রিয়া কনফিগার করুন এবং পরীক্ষা করুন অথবা বাইপাস নির্বাচন করুন।
- যদি আপনি পরীক্ষা করুন নির্বাচন করেন, তাহলে অবিশ্বাস্য সার্ভার সার্টিফিকেট ড্রপডাউন মেনু থেকে সমস্যাযুক্ত সার্টিফিকেট সহ ট্রাফিকের জন্য ক্রিয়া নির্বাচন করুন: অনুমতি দিন, ব্লক করুন, অথবা প্রম্পট। ডিফল্ট মান অনুমতি দিন।
প্রয়োগ করুন এ ক্লিক করুন।
সংরক্ষণ করুন এ ক্লিক করুন। TLS পরিদর্শন নিয়ম নিয়মভিত্তিতে সংরক্ষিত হয়।

Default Bypass Rules

কাটো সমস্যা সৃষ্টি করতে পারে এমন নির্দিষ্ট অ্যাপস, অপারেটিং সিস্টেমসমূহ এবং ক্লায়েন্টদের বাইপাস করে ডিফল্ট TLS পরিদর্শন নিয়মগুলিকে পরিচালনা করে। এই নিয়মগুলি নিয়মের ভিত্তির শীর্ষে স্থাপিত থাকে এবং সম্পাদনা করা যাবে না। আপনার পরিকল্পনা এবং TLS পরিদর্শন নীতি জন্য সিদ্ধান্ত নিতে সাহায্য করার জন্য, আপনি ডিফল্ট বাইপাস নিয়মাবলী সেকশন-এ এই নিয়মগুলির সেটিংস দেখুন।