Problema
Los servicios de anonimización a menudo se utilizan para eludir varias restricciones de navegación y firewalls de Internet. Muchos anonimadores respetados y populares eluden los NGFW/firewalls tradicionales mediante técnicas de evasión. Estas técnicas incluyen suplantación de SNI, protocolos evasivos, ocultarse detrás de CDNs y saltar entre IPs de servidores. Cualquier servicio de anonimización que pueda ser identificado como una aplicación o servicio por Cato será categorizado bajo "Anonimizadores" Por ejemplo, ClearVPN, Hola VPN, Mullvad VPN, NordVPN, CyberGhost VPN, TunnelBear VPN, Private Internet Access (PIA), Surfshark VPN, Express VPN, y muchos más.
Este artículo explica cómo crear una regla de firewall baseline para bloquear efectivamente servicios de anonimización. Sin embargo, debido a las diversas técnicas de evasión utilizadas por los anonimadores, bloquear con éxito a todos puede ser un desafío. Si un anonimador no es bloqueado a pesar de configurar las reglas de baseline, por favor contacte a Soporte para asistencia.
NOTA: TLSi e IPS también deben estar habilitados.
Solución
Para establecer protección baseline, se deben crear dos reglas de Internet Firewall (IFW). Además, es mejor práctica crear una regla de Control de Aplicación, que requiere una licencia CASB válida.
- La primera regla bloquea la categoría Anonimizador usando una regla IFW.
- La segunda regla bloquea protocolos comunes y técnicas evasivas utilizadas por anonimizadores usando una regla IFW.
- (Opcional) La tercera regla bloquea los archivos OpenVPN usando una Regla de Control de Aplicación. (Esto requiere una licencia CASB válida)
Cato mantiene una lista curada de los anonimadores más comúnmente utilizados. Para ver esta lista, vaya a Recursos > Catálogo de Aplicaciones y seleccione "Anonimizadores" bajo la "Categoría"
Para otros anonimizadores que no están en esta lista, los identificamos por los protocolos y técnicas de evasión que usan. WireGuard, OpenVPN, DNS Evasivo, y TLS Evasivo son protocolos y técnicas comúnmente usadas por anonimizadores para mejorar la privacidad y eludir restricciones de red.
WireGuard
Bloquear el protocolo WireGuard requiere bloquear el Protocolo WireGuard en la regla de Internet Firewall.
OpenVPN
OpenVPN es un protocolo de tunelización segura utilizado para conexiones de punto a punto y de sitio a sitio. Puede comunicarse a través de TCP o UDP, y el usuario puede definir el puerto.
Bloquear el protocolo OpenVPN requiere bloquear el Protocolo OpenVPN en la regla de Internet Firewall y bloquear los archivos de configuración OpenVPN usando la regla de Control de Archivos.
DNS Evasivo
Many anonymizers use DNS tunneling and other UDP traffic over port 53 (AKA “DNS Evasivo”) to evade Firewalls.
Tráfico evasivo sobre TCP/443
El tráfico evasivo sobre el puerto 443 es una técnica que los anonimizadores emplean para ocultar sus actividades dentro del tráfico TLS aparentemente legítimo. Según el RFC oficial, este no es el tráfico TLS real.
Muchos anonimizadores utilizan tráfico TLS evasivo para eludir el Firewall.
Los siguientes son algunos anonimizadores conocidos que pueden ser bloqueados exitosamente bloqueando la categoría de anonimizador y los respectivos servicios IFW.
|
Servicios de Internet Firewall (IFW) |
||||||
| Anonimizadores | Protocolo WireGuard | Protocolo OpenVPN | DNS Evasivo | Tráfico evasivo sobre TCP/443 | Configure una regla IFW para bloquear la categoría de anonimizador | Observaciones |
| Clear VPN | ✔︎ | |||||
| Hola VPN | ✔︎ | Es necesario también bloquear el servicio IFW HTTP Proxy | ||||
| Mullvad | ✔︎ | |||||
| NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | El modo de “servidores ofuscados” en Windows no será bloqueado |
| CyberGhost VPN | ✔︎ | ✔︎ | ||||
| TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | Es necesario también bloquear los servicios IFW ISAMP e IPsec NAT Traversal. Es necesario bloquear IFW Port/Protocol TCP/6418 | ||
| PIA (Private Internet Access) | ✔︎ | |||||
| Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
| ExpressVPN | ✔︎ | ✔︎ | El dispositivo Windows requiere bloquear el servicio OpenVPN en la regla IFW | |||
| VPN Ilimitada | ✔︎ | ✔︎ | ✔︎ | ✔︎ | IPS necesita estar habilitado. Es necesario también bloquear los servicios IFW IPsec NAT Traversal. | |
Para anonimizadores no listados en la tabla anterior, siga los pasos a continuación para crear las reglas de firewall baseline para bloquearlos.
Regla 1: Bloquear Categoría Anonimizador
- Navegue a Security > Internet Firewall
- Haga clic en New > New Rule
- Bajo el App/Categoría, seleccione Categoría de Aplicación. Luego, seleccione Anonimizador del menú desplegable.
Regla 2: Bloquear Servicios Sospechosos
- Navegue a Security > Internet Firewall
- Haga clic en New > New Rule
- Bajo Servicio/Puerto, configure los siguientes Servicios
Una vez configuradas estas dos reglas, deberían asemejarse al ejemplo mostrado a continuación:
NOTA: Configurar la Regla 2 para Bloquear Servicios Sospechosos puede bloquear inadvertidamente aplicaciones legítimas, ya que estos protocolos y técnicas no son utilizados exclusivamente por anonimizadores. Por ejemplo, Telegram usa tráfico evasivo sobre TCP/443. Como mejor práctica, sugerimos configurar la regla para Monitorear durante una semana para identificar cualquier falso positivo. Si ocurren falsos positivos, cree una excepción en la regla para permitir que la aplicación legítima funcione correctamente. Después de abordar cualquier falso positivo, cambie la regla a Bloquear.
Consulte Usando Excepciones para Permitir Conexiones de Internet sobre cómo crear una regla de excepción.
Regla 3 (Opcional): Bloquear Archivos OpenVPN
- Navegue a Security > Application Control
- Cree una nueva Regla de Control de Archivos
- Bajo Atributos de Archivo, configure el Tipo de Contenido es archivo de configuración OpenVPN.
Una vez que la regla haya sido configurada, debería asemejarse al ejemplo mostrado a continuación:
NOTA:
- Se requiere una licencia CASB válida.
- La inspección TLS necesita estar habilitada.
0 comentarios
Inicie sesión para dejar un comentario.