Problème
Les services d'anonymisation sont souvent utilisés pour contourner diverses restrictions de navigation et pare-feu Internet. De nombreux anonymiseurs respectés et populaires contournent les NGFW / pare-feux traditionnels en utilisant des techniques d'évasion. Ces techniques incluent le spoofing SNI, les protocoles d'évasion, se cacher derrière des CDN, et le changement entre les IP de serveur. Tout service d'anonymisation pouvant être identifié comme une application ou un service par Cato sera catégorisé sous "Anonymiseurs." Par exemple, ClearVPN, Hola VPN, Mullvad VPN, NordVPN, CyberGhost VPN, TunnelBear VPN, Private Internet Access (PIA), Surfshark VPN, Express VPN, et bien d'autres.
Cet article explique comment créer une règle de pare-feu de base pour bloquer efficacement les services d'anonymisation. Cependant, en raison des diverses techniques d'évasion employées par les anonymiseurs, il peut être difficile de tous les bloquer avec succès. Si un anonymiseur n'est pas bloqué malgré la configuration des règles de base, veuillez contacter Support pour assistance.
NOTE : TLSi et IPS doivent également être activés.
Solution
Pour établir une protection de base, deux règles d'Internet Firewall (IFW) doivent être créées. De plus, il est préférable de créer une règle de contrôle des applications, qui nécessite une licence CASB valide.
- La première règle bloque la catégorie Anonymiseur en utilisant une règle IFW.
- La deuxième règle bloque les protocoles communs et techniques d'évasion utilisés par les anonymiseurs en utilisant une règle IFW.
- (Optionnel) La troisième règle bloque les fichiers OpenVPN en utilisant une règle de contrôle d'application. (Cela nécessite une licence CASB valide)
Cato maintient une liste organisée des anonymiseurs les plus couramment utilisés. Pour afficher cette liste, allez à Resources > App Catalog et sélectionnez "Anonymizers" sous la "Catégorie"
Pour les autres anonymiseurs non répertoriés dans cette liste, nous les identifions par les protocoles et techniques d'évasion qu'ils utilisent. WireGuard, OpenVPN, DNS Evasif, et TLS Evasif sont des protocoles et techniques couramment utilisés par les anonymiseurs pour améliorer la confidentialité et contourner les restrictions de réseau.
WireGuard
Bloquer le protocole WireGuard nécessite de bloquer le Protocole WireGuard dans la règle de pare-feu Internet.
OpenVPN
OpenVPN est un protocole de tunneling sécurisé utilisé pour les connexions site à site et point à point. Il peut communiquer via TCP ou UDP, et l'utilisateur peut définir le port.
Bloquer le protocole OpenVPN nécessite de bloquer le Protocole OpenVPN dans la règle de pare-feu Internet et de bloquer les fichiers de configuration OpenVPN en utilisant la règle de contrôle des fichiers.
DNS Evasif
De nombreux anonymiseurs utilisent le tunneling DNS et d'autres trafics UDP via le port 53 (AKA "DNS Evasif") pour contourner les pare-feu.
Trafic Evasif sur TCP/443
Le trafic évitant sur le port 443 est une technique que les anonymiseurs utilisent pour dissimuler leurs activités dans un trafic TLS apparemment légitime. Selon le RFC officiel, ce ne sont pas les véritables trafics TLS.
De nombreux anonymiseurs utilisent le trafic TLS évasif pour contourner le pare-feu.
Voici quelques anonymiseurs connus qui peuvent être bloqués avec succès en bloquant la catégorie anonymiseur et les services IFW respectifs.
|
Services de pare-feu Internet (IFW) |
||||||
| Anonymiseurs | Protocole WireGuard | Protocole OpenVPN | DNS Evasif | Trafic évasif sur TCP/443 | Configurez une règle IFW pour bloquer la catégorie anonymiseur | Observations |
| Clear VPN | ✔︎ | |||||
| Hola VPN | ✔︎ | Il est également nécessaire de bloquer le service IFW HTTP Proxy | ||||
| Mullvad | ✔︎ | |||||
| NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | Le mode de « serveurs obscurcis » dans Windows ne sera pas bloqué |
| CyberGhost VPN | ✔︎ | ✔︎ | ||||
| TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | Il est également nécessaire de bloquer les services IFW ISAMP et IPsec NAT Traversal. Il est nécessaire de bloquer le Port/Protocole IFW TCP/6418 | ||
| PIA (Private Internet Access) | ✔︎ | |||||
| Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
| ExpressVPN | ✔︎ | ✔︎ | Le dispositif Windows nécessite de bloquer le service OpenVPN dans la règle IFW | |||
| VPN Illimité | ✔︎ | ✔︎ | ✔︎ | ✔︎ | L'IPS doit être activé. Il est également nécessaire de bloquer les services IFW IPsec NAT Traversal. | |
Pour les anonymiseurs non répertoriés dans le tableau ci-dessus, suivez les étapes ci-dessous pour créer les règles de pare-feu de base pour les bloquer.
Règle 1 : Bloquer la catégorie Anonymiseur
- Naviguez vers Security > Internet Firewall
- Cliquez sur New > New Rule
- Sous App/Catégorie, sélectionnez Catégorie d'application. Ensuite, sélectionnez Anonymiseur dans la liste déroulante.
Règle 2 : Bloquer les services suspects
- Naviguez vers Security > Internet Firewall
- Cliquez sur New > New Rule
- Sous Service/Port, configurez les services suivants
Une fois ces deux règles configurées, elles devraient ressembler à l'exemple montré ci-dessous :
NOTE : Configurer la Règle 2 pour Bloquer les Services Suspects peut bloquer involontairement des applications légitimes, car ces protocoles et techniques ne sont pas exclusivement utilisés par les anonymiseurs. Par exemple, Telegram utilise le trafic évasif sur TCP/443. Comme meilleure pratique, nous suggérons de régler la règle sur Monitor pendant une semaine pour identifier tout faux positif. Si des faux positifs se produisent, créez une exception dans la règle pour permettre à l'application légitime de fonctionner correctement. Après avoir résolu les faux positifs, modifiez la règle pour la mettre en Blocage.
Consultez Utilisation des exceptions pour autoriser les connexions Internet sur comment créer une règle d'exception.
Règle 3 (Optionnel) : Bloquer les fichiers OpenVPN
- Accédez à Sécurité > Contrôle des applications
- Créez une nouvelle règle de contrôle de fichiers
- Sous Attributs de fichier, configurez le type de contenu comme fichier de configuration OpenVPN.
Une fois la règle configurée, elle devrait ressembler à l'exemple ci-dessous :
REMARQUE :
- Une licence CASB valide est requise.
- L'inspection TLS doit être activée.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.