Le site Web hébergé sur Cloudflare contourne le pare-feu Cato

Problème

Le pare-feu Cato ne parvient pas à appliquer les règles de pare-feu sur les sites Web hébergés sur Cloudflare. Par exemple, le site Web research.cloudflare.com, classé en tant que Base de données, est autorisé malgré une règle de pare-feu bloquant cette catégorie.

L'événement lié au CMA montre un nom de domaine différent, cloudflare-ech.com, qui ne correspond pas au site prévu et contourne la règle du pare-feu. Cet événement peut être trouvé en filtrant l'adresse IP de destination du site.

Environnement

• Règle du Pare-feu bloquant une catégorie spécifique.
• Inspection TLS non activée.

Dépannage

La présence du nom de domaine cloudflare-ech.com dans l'événement suggère que le protocole Encrypted Client Hello (ECH) est utilisé.

Qu'est-ce que ECH ?

Comme décrit dans la documentation de Cloudflare, ECH chiffre des parties du paquet TLS Client Hello, y compris le masquage de l'Indication de Nom de Serveur (SNI), qui est généralement utilisé pour établir une session TLS. Cela signifie que bien que Cato voit la connexion à Cloudflare, il ne peut pas identifier le site spécifique. Le navigateur et le site doivent être compatibles avec ECH pour que cela fonctionne.

Comment fonctionne ECH

1. Distribution de Clé Publique : Les serveurs partagent une clé publique (dans la configuration ECH) via DNS, souvent en utilisant des protocoles de DNS sécurisés comme DoH (DNS sur HTTPS) ou DoT (DNS sur TLS). Cependant, un DNS non chiffré via UDP peut également être utilisé. Cette clé est utilisée par le client pour chiffrer le message Client Hello. Ci-dessous se trouve un exemple de réponse DNS de type HTTPS contenant la configuration ECH.
   
2. Chiffrement du Client Hello : Lors de la connexion, le client chiffre des parties sensibles du Client Hello, telles que le SNI, en utilisant la clé publique du serveur. Seul le serveur peut déchiffrer cette information. Un Client Hello extérieur non chiffré est également transmis, affichant des informations génériques telles qu'un SNI par défaut, qui peut ne pas révéler la cible réelle. Dans l'exemple ci-dessous, le SNI par défaut est cloudflare-ech.com
   
3. Mécanisme de Repli: Si ECH est pris en charge, le serveur traite le Client Hello chiffré, et la connexion se poursuit. Sinon, un mécanisme de repli réessaie la connexion avec un Client Hello non chiffré, maintenant la compatibilité avec les serveurs TLS 1,3 traditionnels.

Solution

Cato ne prend pas actuellement en charge ECH, donc les solutions de contournement suivantes sont recommandées pour forcer un repli vers des connexions TLS avec SNI non chiffré en fonction de votre configuration de réseau :

• Bloquez les protocoles DoH, DoT et QUIC dans le pare-feu Internet. Cela empêchera l'utilisation de protocoles DNS sécurisés pour échanger des configurations ECH.
  
• Selon le navigateur, le client peut revenir à un DNS basé sur UDP pour échanger des configurations ECH. Si tel est le cas, activez l'inspection TLS pour les sites ou utilisateurs concernés. ECH ne prend pas en charge les techniques de l'homme du milieu (MITM), donc la connexion reviendra à SNI non chiffré.
• En dernier recours, bloquez le domaine cloudflare-ech.com dans le pare-feu Internet. Cela oblige les navigateurs à revenir à SNI non chiffré, permettant ainsi l'application correcte de la règle du pare-feu.