এই নিবন্ধটি আলোচনা করে কিভাবে আপনার নেটওয়ার্কের নির্দিষ্ট প্রয়োজনীয়তা পূরণের জন্য TLS পরিদর্শন নীতি কনফিগার এবং কাস্টমাইজ করবেন।
আজকাল বেশিরভাগ নেটওয়ার্ক ট্রাফিক এনক্রিপ্ট করা থাকে (TLS, HTTPS), যা প্রায়শই IPS, ইন্টারনেট ফায়ারওয়াল, অ্যাপ্লিকেশন কন্ট্রোল পলিসি, এবং অ্যান্টি-ম্যালওয়্যার ট্রাফিক স্ক্যানের সুবিধা কমিয়ে দেয়। যদি ট্রাফিকের মধ্যে ক্ষতিকারক বিষয়বস্তু থাকে, তবে সেটিও এনক্রিপ্ট করা হয়, এবং Cato নিরাপত্তা ইঞ্জিনগুলি এটি পরিদর্শন বা স্ক্যান করতে পারে না।
যখন আপনি আপনার অ্যাকাউন্টের জন্য TLS পরিদর্শন সক্রিয় করেন, Cato নিরাপদে সেই ট্রাফিক ডিক্রিপ্ট করে যেটি PoP এর মধ্য দিয়ে যায় এবং Cato নিরাপত্তা ইঞ্জিনগুলি সেটিকে ম্যালওয়্যার জন্য পরিদর্শন করে এবং ডাউনলোড করা ফাইলগুলি স্ক্যান করে। যদি ট্রাফিকের বিষয়বস্তু নিরাপদ বলে নিশ্চিত করা হয়, Cato তখন ট্রাফিক পুনরায় এনক্রিপ্ট করে এবং গন্তব্যে পাঠায়। যদিও, যদি বিষয়বস্তুতে প্রকৃত বা সন্দেহজনক ম্যালওয়্যার থাকে, তাহলে Cato নিরাপত্তা ইঞ্জিনগুলি ট্রাফিক ব্লক করে।
আপনি সমস্ত ট্রাফিক পরিদর্শন করে এমন ডিফল্ট Cato নীতি ব্যবহার করতে পারেন। আপনি নির্দিষ্ট TLS পরিদর্শন নিয়ম তৈরি করতে পারেন যা নির্ধারণ করে যে কোন ট্রাফিক পরিদর্শন করা হবে এবং কোন ট্রাফিক TLS পরিদর্শন পাশ কাটাবে।
নোট
নোট: ডিফল্টভাবে, এই অপারেটিং সিস্টেমগুলির জন্য TLS পরিদর্শন পাশ কাটানো হয়:
-
Android (শংসাপত্র পিনিং সম্পর্কিত সমস্যার কারণে)
-
Linux
-
অজ্ঞাত অপারেটিং সিস্টেম
Cato কিছু অ্যাপ্লিকেশন অন্তর্ভুক্ত করে একটি অন্তর্নিহিত পাশ কাটানোর নিয়মে যা স্বয়ংক্রিয়ভাবে TLS পরিদর্শন থেকে অন্তর্ভুক্ত না হয়। এই অ্যাপ্লিকেশনগুলির তালিকার জন্য, নিচে দেখুন ডিফল্ট বাইপাস নিয়ম.
TCP এবং TLS হ্যান্ডশেকের কারণে প্রাথমিক সংযোগের সময় কিছু ক্ষুদ্র বিলম্ব প্রত্যাশিত হয়, যা ডেটা PoP এর যথাযথ নেটওয়ার্ক বা নিরাপত্তা ইঞ্জিনে প্রবাহিত হওয়ার আগে ঘটে। এই বিলম্ব প্রতি প্যাকেটের জন্য সর্বোচ্চ ৮ মিলিসেকেন্ড হয়।
TLS পরিদর্শন ইঞ্জিন সংযোগগুলোকে ধারাবাহিকভাবে পরিদর্শন করে এবং দেখে যদি সংযোগটি একটি নিয়মের সাথে মিলে। নিয়ম ভিত্তির সর্বশেষ নিয়ম একটি ডিফল্ট অন্তর্নিহিত ANY - ANY পরিদর্শন নিয়ম - তাই যদি একটি সংযোগ নিয়মের সাথে মেলে না, তবে এটি স্বয়ংক্রিয়ভাবে পরিদর্শন করা হয়।
আপনি নিয়ম ভিত্তির শেষের ডিফল্ট নিয়ম শাখায় ডিফল্ট নিয়ম সেটিংস পর্যালোচনা করতে পারেন। নিয়ম সেটিংস সম্পাদনা করা যায় না, শুধুমাত্র অবিশ্বস্ত সার্ভার শংসাপত্র ক্রিয়াকলাপ বাদে। অবিশ্বস্ত সার্ভার সার্টিফিকেট কার্যসংক্রান্ত আরো জানুন নিচে দেখুন TLS পরিদর্শন নীতিকে কাস্টমাইজ করার নিয়ম যোগ করা.
নিয়মের বেসের উপরে থাকা নিয়মগুলির উচ্চ অগ্রাধিকার থাকে কারণ সেগুলি নিয়মের বেসের নিচের নিয়মগুলির আগে সংযোগগুলিতে প্রয়োগ করা হয়। উদাহরণস্বরূপ, যদি একটি সংযোগ নিয়ম #2 এর সাথে মেলে, তবে এই নিয়মের জন্য পদক্ষেপটি সংযোগে প্রয়োগ করা হয় এবং TLS ইনস্পেকশন ইঞ্জিনটি এই সংযোগের জন্য নীতি প্রয়োগ করা বন্ধ করে। এর মানে হল যে নিয়ম #3 এবং তার নিচে সংযোগে প্রয়োগ করা হয় না।
TLS ইনস্পেকশন নিয়মগুলি আপনাকে TLS ট্রাফিকের জন্য একটি ইন্সপেক্ট বা পাসযোগ্য কাজ ব্যবহার করতে দেয়।
TLS ইনস্পেকশন নিয়মগুলি নির্ধারণ করতে Inspect পদক্ষেপটি ব্যবহার করুন যা সংযোগগুলি ডিক্রিপ্ট করে এবং সম্পর্কিত সিকিউরিটি ইঞ্জিনকে ক্ষতিকারক উপাদানের জন্য ট্রাফিক পরীক্ষা করতে দেয়।
TLS ইনস্পেকশন নিয়মগুলিকে পাস করার ট্রাফিক সংজ্ঞায়িত করতে Bypass পদক্ষেপটি ব্যবহার করুন। পাসযোগ্য ট্রাফিক Cato সিকিউরিটি ইঞ্জিনগুলি দ্বারা পরীক্ষা করার জন্য ডিক্রিপ্ট করা হয় না। মনে রাখবেন যে একটি পাসযোগ্য নিয়ম কেবল একটি সংযোগ বাদ দিতে পারে যা নিয়মের বেসের উপরে থাকা একটি ইনস্পেক্ট নিয়মের সাথে মেলে না।
আপনি বাইপাস নিয়মের অগ্রাধিকার পরিবর্তন করতে পারেন যাতে এটি একটি পরিদর্শন নিয়মের তুলনায় উচ্চতর অগ্রাধিকার পায়।
আপনার অ্যাকাউন্টের সমস্ত ট্রাফিকের জন্য TLS ইনস্পেকশন পলিসি কনফিগার করতে TLS ইনস্পেকশন পলিসি উইন্ডোটি ব্যবহার করুন। আপনি সমস্ত ট্রাফিক পরীক্ষা করা ডিফল্ট পলিসি ব্যবহার করতে বেছে নিতে পারেন, অথবা একটি কাস্টম পলিসি তৈরি করতে ইনস্পেকশন এবং পাসযোগ্য নিয়মগুলি যোগ করতে পারেন।
একাধিক আইটেম নিয়ে কাজ করা
যখন কোনও Source ফিল্ডে বা What ফিল্ডে একাধিক আইটেম থাকে, যেমন দুটি গ্রুপ বা কেটেগরি, তখন সেই আইটেমগুলির মধ্যে একটি OR সম্পর্ক থাকে।
এন্ড-ইউজার ডিভাইসে Cato রুট সার্টিফিকেট ইন্সটল করা
Cato রুট সার্টিফিকেট প্রতিটি ডিভাইস এবং কম্পিউটারে একটি বিশ্বাসযোগ্য সার্টিফিকেট হিসাবে ইনস্টল করতে হবে যা Cato Cloud-এ সংযোগ করে। Cato সার্টিফিকেট ইনস্টল করার আরো তথ্যের জন্য দেখুন TLS পরিদর্শনের জন্য মূল সার্টিফিকেট ইনস্টল করা হচ্ছে.
-
Cato সার্টিফিকেট বেশিরভাগ এমবেডেড অপারেটিং সিস্টেমে (OS) ইন্সটল করা যায় না, তাই TLS ইন্সপেকশন সক্রিয় হলে এমবেডেড OS ব্যবহার করা অনেক ডিভাইস সংযোগ হারায়। Cato কোন OS TLS পরিদর্শনের জন্য সাপোর্ট করে তার বিস্তারিত জানতে দেখুন TLS পরিদর্শনের জন্য সেরা পদক্ষেপগুলি.
QUIC এবং GQUIC হল গুগল দ্বারা উন্নত পরিবহন প্রোটোকল যা TCP সংযোগের উপর কাজ করে না এবং এই প্রোটোকলগুলি ব্যবহার করা ট্রাফিক TLS পরিদর্শন পরিষেবার মাধ্যমে পরিদর্শন করা যায় না। তাই আমরা সুপারিশ করি যে TLS পরিদর্শন সক্ষম করা অ্যাকাউন্টগুলি ইন্টারনেট ফায়ারওয়াল নিয়ম ব্যবহার করে QUIC এবং GQUIC ট্রাফিক ব্লক করে। এই ট্রাফিক ব্লক করে এমন নিয়মগুলি TLS পরিদর্শন পরিষেবা দ্বারা পরিদর্শন করা যেতে পারে এমন প্রোটোকল ব্যবহার করেই সংযোগ করতে প্রবাহকে বাধ্য করে। আপনি যদি QUIC এবং GQUIC প্রোটোকল ব্যবহার করে ট্রাফিক অনুমতি দেন তবে প্রবাহ পরিদর্শন করা যাবে না এবং অপ্রয়োজনীয়ভাবে ব্লক হবে।
আপনি যখন প্রথমবার TLS পরিদর্শন নীতি সক্ষম করেন, তখন QUIC এবং GQUIC ট্রাফিক ব্লক করার নিয়মগুলি স্বয়ংক্রিয়ভাবে ইন্টারনেট ফায়ারওয়াল নীতিতে যোগ করা হয়। যদি ইন্টারনেট ফায়ারওয়াল নীতি ইতিমধ্যেই QUIC ট্রাফিক ব্লক করে যাতে এটি সঠিকভাবে পরিদর্শন করা যায়, তবে কোনও নতুন নিয়ম যোগ করা হবে না।
QUIC এবং GQUIC ট্রাফিক সম্পর্কে আরো জানুন ইন্টারনেট এবং WAN ফায়ারওয়াল নীতিমালা – শ্রেষ্ঠ চর্চা.
ডিফল্ট Cato TLS পরিদর্শন নীতি সমস্ত ট্রাফিক পরিদর্শন করে (স্বয়ংক্রিয়ভাবে বাইপাস হওয়া অ্যাপ্লিকেশনগুলির জন্য ব্যতীত)। TLS পরিদর্শন সক্ষম করলে আপনি ডিফল্ট নীতি ব্যবহার করতে পারেন এবং নীতিতে কোনো নিয়ম যোগ করার প্রয়োজন নেই।
একটি চূড়ান্ত আদর্শ নিয়ম আছে যা পরিদর্শন ক্রিয়া সহ সমস্ত ট্রাফিক মেলে।
আপনি আপনার প্রতিষ্ঠানের চাহিদা অনুযায়ী শুধুমাত্র নির্দিষ্ট ট্রাফিক প্রকারগুলি পরিদর্শন করতে TLS পরিদর্শন নীতি কাস্টমাইজ করতে পারেন। পরিদর্শন এবং বাইপাস কার্যক্রমের সাথে নীতিতে নিয়ম যোগ করুন যাতে কোন ট্রাফিক ডিক্রিপ্ট করা হয় এবং পরিদর্শন করা হয় তা সংজ্ঞায়িত করতে।
-
Cato Cloud সন্দেহজনক এবং ক্ষতিকর সামগ্রীর জন্য পরিদর্শন করা ট্রাফিক সংজ্ঞায়িত করতে পরিদর্শন কর্মের সাথে নিয়ম তৈরি করুন।
-
Cato TLS পরিদর্শন ইঞ্জিন থেকে নির্দিষ্ট ট্রাফিক বাদ দেওয়ার জন্য বাইপাস কর্মের সাথে নিয়ম তৈরি করুন। উদাহরণস্বরূপ, আপনি RingCentral ট্রাফিককে TLS পরিদর্শন থেকে বাদ দেওয়ার জন্য RingCentral অ্যাপ্লিকেশনের জন্য একটি বাইপাস নিয়ম যোগ করতে পারেন।
নিয়ম তৈরি করার সময়, TLS ট্রাফিকের সুযোগ নির্ধারণ করতে উৎস এবং কি ব্যবহার করুন এবং নিয়মটি ট্রাফিক পরিদর্শন করে বা বাইপাস করে কিনা তা কনফিগার করতে ক্রিয়া ব্যবহার করুন। নিশ্চিত হয়ে নিন যে বাইপাস নিয়মের অগ্রাধিকার একটি ইনস্পেক্ট নিয়মের চেয়ে বেশি (নিয়ম বেসের শীর্ষে থাকা) যা একই ট্রাফিকের সাথে মেলে। একটি TLS ইনস্পেকশন বাইপাস নিয়মের সাথে মেলানো ট্রাফিকও অ্যান্টি-ম্যালওয়্যার ইঞ্জিন দ্বারা সিকিউরিটি স্ক্যান থেকে বাদ দেওয়া হয়।
যখন আপনি একটি নিয়ম ইনস্পেক্ট করুন অ্যাকশন সহ কনফিগার করেন, তখন আপনাকে অপ্রমাণিত সার্ভার সার্টিফিকেটগুলি কিভাবে হ্যান্ডেল করতে হয় সেই আচরণটিও সংজ্ঞায়িত করতে হবে।
এই সেটিং-এর জন্য বিকল্পগুলি হল:
-
অনুমতি দিন - অপ্রমাণিত সার্টিফিকেট সহ সাইটে ট্রাফিককে অনুমতি দেওয়া হয় এবং ইনস্পেক্ট করা হয় (এটি ডিফল্ট সেটিং)।
-
প্রম্পট করুন - ব্যবহারকারীদের একটি প্রম্পট দেখানো হয় যা তাদের নিশ্চিত করতে বলে যে তারা চালিয়ে যেতে এবং অপ্রমাণিত সার্টিফিকেট সহ সাইটে যেতে চায়। যদি ব্যবহারকারী সাইটে যেতে থাকে, তাহলে ট্রাফিকটি ইনস্পেক্ট করা হয়।
-
ব্লক করুন - অপ্রমাণিত সার্টিফিকেট সহ সাইটে ট্রাফিক ব্লক করা হয়।
নোট
নোট: অ্যাপ্লিকেশনগুলির জন্য যেগুলি TLS ইনস্পেকশন প্রতিরোধ করতে সার্টিফিকেট পিনিং ব্যবহার করে, তাদের একটি বাইপাস নিয়মে যোগ করুন যাতে তারা শেষ ব্যবহারকারীদের জন্য সঠিকভাবে কাজ করে।
TLS ইনস্পেকশন নীতিতে নিয়ম যোগ করতে:
-
নেভিগেশন মেনু থেকে, সিকিউরিটি > TLS ইনস্পেকশন ক্লিক করুন।
-
নতুন ক্লিক করুন।
-
নিয়মটির জন্য একটি নাম লিখুন।
-
নিয়মটি সক্ষম বা নিষ্ক্রিয় করতে সক্ষম টগলটি ব্যবহার করুন।
সক্রিয় করা হলে টগলটি সবুজ হয়
.
-
এই নিয়মটির জন্য নিয়মের ক্রম কনফিগার করুন।
-
উৎস প্রসারিত করুন এবং উৎসের প্রকার নির্বাচন করুন।
-
প্রকারটি নির্বাচন করুন (উদাহরণ: হোস্ট, নেটওয়ার্ক ইন্টারফেস, IP, যেকোনো)। ডিফল্ট মান হল যেকোনো।
-
প্রয়োজন হলে, সেই প্রকারের জন্য ড্রপ ডাউন তালিকা থেকে একটি নির্দিষ্ট অবজেক্ট নির্বাচন করুন।
-
-
ডিভাইস বিভাগে, এই নিয়মের সাথে মিল করতে প্ল্যাটফর্মগুলি, দেশগুলি, ডিভাইস পোস্টার প্রোফাইলগুলি এবং সংযোগের উৎস কনফিগার করুন।
ডিভাইসের কন্ডিশন সম্পর্কে আরো জানুন TLS পরিদর্শনের জন্য ডিভাইস কন্ডিশন যোগ করা.
-
নিয়মটি কী প্রয়োগ করা হয় তা সংজ্ঞায়িত করুন। উদাহরণস্বরূপ, একটি সার্ভিস, একটি অ্যাপ্লিকেশন, একটি কাস্টম বা প্রিডিফাইনড ক্যাটেগরি।
-
Inspect বা Bypass নির্বাচন করে অ্যাকশন কনফিগার করুন।
-
যদি আপনি Inspect নির্বাচন করেন, Untrusted Server Certificates ড্রপ-ডাউন মেনু থেকে, সমস্যাগ্রস্থ সার্টিফিকেট সহ ট্র্যাফিকের জন্য অ্যাকশন নির্বাচন করুন: Allow, Block, অথবা Prompt। ডিফল্ট মানটি Allow।
-
-
Apply ক্লিক করুন।
-
Save ক্লিক করুন। TLS Inspection নিয়মটি রুলবেসে সংরক্ষিত হয়।
এই সেকশনটি TLS Inspection নীতিমালায় নিয়মগুলি কীভাবে পরিচালনা করতে হয় তা ব্যাখ্যা করে, এর মধ্যে রয়েছে: রুলের অগ্রাধিকার পরিবর্তন, সক্ষম করা এবং নিয়মগুলি মুছে ফেলা।
একটি মিলিত কানেকশনে কখন রুল অ্যাকশন প্রয়োগ করা হবে তা নির্ধারণ করতে একটি রুলের অগ্রাধিকার পরিবর্তন করুন। নিয়মগুলি প্রতিটি কানেকশনের জন্য ক্রমানুসারে প্রয়োগ করা হয়, একবার একটি কানেকশন একটি নিয়মের সাথে মিলিয়ে গেলে, নিম্ন অগ্রাধিকার সহ নিয়মগুলি এতে প্রয়োগ হয় না।
TLS Inspection নীতিমালায় পৃথক নিয়মগুলি সক্রিয় এবং নিষ্ক্রিয় করতে স্লাইডারটি ব্যবহার করুন।
আপনি TLS Inspection নিয়ম বেস থেকে একটি বা একাধিক নিয়ম মুছে ফেলতে পারেন। নিয়মগুলি মুছে ফেলার পরে, আপনি সেগুলি পূর্বাবস্থায় ফিরিয়ে আনতে বা পুনরুদ্ধার করতে পারবেন না।
Cato ডিফল্ট TLS পরিদর্শন নিয়মাবলী পরিচালনা করে যা নির্দিষ্ট App, Operating System এবং Clientকে বাইপাস করে যা সমস্যা সৃষ্টি করতে পারে। এই নিয়মগুলি নিয়মের গ্রন্থাগারের উপরের স্থানে রয়েছে এবং এটি সম্পাদনা করা যাবে না। TLS পরিদর্শন Policy-এর জন্য পরিকল্পনা এবং সিদ্ধান্ত গ্রহণে আপনার সাহায্যের জন্য, আপনি ডিফল্ট বাইপাস নিয়মাবলী বিভাগের Settings দেখতে পারেন।
0 comments
Please sign in to leave a comment.